keyfive5/threat-hunting-telegram-exfiltration

# 威胁狩猎：检测数据外泄与后渗透活动 ## 📌 概述 本仓库展示了在网络流量（PCAP）和端点日志中进行的多项**威胁狩猎调查**，用于识别真实的攻击者行为。 该项目演示了以下检测能力： - 通过 Telegram Bot API 进行数据外泄 - 窃取凭证的恶意软件（Racoon Stealer） - 利用 PowerShell 进行后渗透活动 - 使用 LOLBAS 技术通过受信任的 Windows 二进制文件规避防御 ## 🎯 目标 - 识别已受感染的主机 - 检测数据外泄技术 - 分析攻击者行为（TTPs） - 制定检测与响应策略 # 🔍 调查 1：Telegram 数据外泄（PCAP 分析） ## 关键发现 - 受感染主机与 Telegram API 通信 - 目标地址：`149.154.167.220 (api.telegram.org)` - 协议：HTTPS（TLS 加密） - 通过 Telegram Bot API（`/sendMessage`）外泄数据 - 使用 JSON 格式进行结构化数据传输 ## 分析要点 - 过滤条件：ip.addr == 149.154.167.0/24 - 使用 SSL 密钥日志解密 TLS 会话 - 识别出向外发送数据的 HTTP POST 请求 ## 威胁洞察 攻击者利用了： - 加密流量（TLS） - 合法平台（Telegram） ➡️ 这是一种常见的**隐蔽 C2 + 外泄技术** # 🔍 调查 2：恶意 PowerShell 活动（日志分析） ## 关键发现 - 混淆后的 PowerShell 执行：`powershell.exe -nop -w hidden -EncodedCommand` - 滥用 Windows Defender 排除项：`Add-MpPreference` ➡️ 用于绕过检测并维持持久性：contentReference[oaicite:0]{index=0} ## 关键指标 - 隐藏执行（`-w hidden`） - 禁用配置文件（`-nop`） - 编码载荷 ## 威胁洞察 - 无文件恶意软件行为 - 防御规避 - 后渗透活动 - 在 **Administrator/SYSTEM** 权限下执行 # 🔍 调查 3：Racoon Stealer 恶意软件（PCAP 分析） ## 关键发现 - 凭证窃取恶意软件活动 - 可疑的 HTTP POST 流量 - 通过 `/gate.php` 端点外泄数据 - 数据包中观察到明文凭证 ➡️ 表明**主动数据窃取与外泄**：contentReference[oaicite:1]{index=1} ## 威胁洞察 - 使用伪造头部模拟合法流量 - 分块数据上传 - 已知恶意 C2 基础设施 # 🛡️ 检测工程与手册 ## LOLBAS 规避检测 ### 技术： - 滥用受信任的 Windows 二进制文件 `wuauclt.exe` - 恶意 DLL 侧加载 ### 指标： - 加载无签名 DLL（`helpa.dll`） - 可疑命令：`wuauclt.exe /UpdateDeploymentProvider` - 子进程：`cmd.exe` ➡️ 经典的**利用受信任二进制文件进行防御规避**：contentReference[oaicite:2]{index=2} ## 检测策略 - Sigma 规则用于： - PowerShell 混淆 - Defender 排除项滥用 - 隐藏文件操作 # 🛠️ 工具与技术 - Wireshark - PCAP 分析 - TLS 解密 - 日志分析 - Sigma 规则 - Suricata - Flowsynth # 📁 仓库结构 . ├── data/ │ ├── 21.pcap │ └── Racoon.pcap ├── logs/ │ └── suspicious_activity.log ├── rules/ │ ├── rule1_add-mppreference.yaml │ └── rule2_attrib-hidden-files.yaml ├── simulation/ │ └── cve2025.fs ├── report/ │ ├── telegram_case_study.pdf │ ├── powershell_investigation.pdf │ └── racoon_analysis.pdf ├── playbook/ │ └── lolbas_detection_playbook.pdf └── README.md # 🔐 检测机会 - 监控到 Telegram API 的出站流量 - 检测异常的 HTTPS POST 模式 - 对编码的 PowerShell 执行发出告警 - 标记 `Add-MpPreference` 的使用 - 检测通过受信任二进制文件加载的无签名 DLL - 监控可疑的 HTTP 外泄模式 # 🧾 结论 本仓库展示了： - **网络威胁狩猎**（PCAP 分析） - **端点威胁狩猎**（日志分析） - **恶意软件检测**（Racoon Stealer） - **检测工程**（Sigma + Suricata） 这些发现代表了**高置信度妥协场景**，包括： - 数据外泄 - 凭证窃取 - 防御规避 - 特权攻击者活动 # ⚠️ 数据集声明 本仓库中使用的所有数据仅用于**教育和研究目的**。 未故意包含任何敏感或个人身份信息。 # 🚀 核心要点 有效的威胁狩猎在于： # 👤 作者 Muhammad Hasan Zafar 网络安全毕业生 | 威胁狩猎 | 检测工程

标签：AI合规, DNS 反向解析, DNS 解析, HTTP工具, IPv6, IP 地址批量处理, LOLBAS, Metaprompt, PCAP分析, PowerShell, Racoon Stealer, SSL解密, T1005, T1027, T1036, T1055, T1059, T1071, Telegram, TLS解密, Windows Defender, 代理, 信任二进制滥用, 恶意PowerShell, 数据外泄, 无文件攻击, 检测开发, 电报, 端点日志, 编码命令, 自定义DNS解析器, 隐藏窗口