tylercasey2263/APT33-ThreatHuntingSafari
GitHub: tylercasey2263/APT33-ThreatHuntingSafari
针对 APT33 组织的威胁狩猎实战资料包,包含完整的 Sigma 检测规则、Splunk 查询语句和演讲幻灯片,覆盖从 CTI 情报到杀伤链还原的全流程。
Stars: 0 | Forks: 0
```
# 威胁狩猎之旅:针对 APT33 的情报驱动式狩猎
```
**BSides KC 2026** — Tyler Casey, [SCYTHE](https://scythe.io)
这是一场 50 分钟的演讲,通过对 Tickler 恶意软件活动的攻击者模拟所产生的真实遥测数据,详细演示了如何针对 APT33 (Peach Sandstorm) 进行一次真实的端到端威胁狩猎。每一个查询、每一次追踪、每一项发现都来自真实的 Sysmon 和 Windows 事件数据——而非合成日志或假设场景。
## 本次演讲涵盖的内容
从 [Microsoft 2024 年 8 月威胁情报报告](https://www.microsoft.com/en-us/security/blog/2024/08/28/peach-sandstorm-deploys-new-custom-tickler-malware-in-long-running-intelligence-gathering-operations/) 中的一句话开始,我们通过 Splunk 遥测数据进行狩猎,并在 5 次狩猎和 12 次追踪中追踪证据,重建完整的杀伤链:
1. **CTI 到假设** — 从 Microsoft Peach Sandstorm 报告中提取可狩猎的程序执行特征
2. **首次命中** — 双扩展名文件 (tickler.pdf.exe) 上的 Sigma 规则匹配
3. **端点范围界定** — EventCode 细分以映射主机上的所有活动
4. **进程树分析** — 发现 a1.exe (C2 implant) 是所有活动的根源
5. **发现级联** — whoami, dir, net use, AV check, DNS, arp — 攻击者掌握了哪些信息
6. **工具暂存** — peaches.zip 解压出完整的 10 件套操作工具包
7. **持久化** — tickler → sold.dll → SharePoint.bat → Registry Run key,并通过 PowerShell EID 4103 证明 sold.dll 编排过程
8. **凭据获取** — LaZagne + 以 0x1FFFFF (PROCESS_ALL_ACCESS) 访问 LSASS,输出结果已暂存以备窃取
9. **RMM 部署** — AnyDesk 作为来自非标准路径的备份/冗余 C2
10. **AD 侦察** — ADExplorer -snapshot 通过 LDAP (端口 389) 获取域控制器快照
11. **横向移动** — 使用通过 LaZagne 窃取的凭据执行 net use
12. **网络与数据外发** — 完整的 C2、DNS 和数据暂存情况及 IOC 提取
## 仓库结构
```
├── README.md # You are here
├── resources.md # References, tools, and further reading
├── splunk_queries_by_slide.md # Every Splunk query used in the talk, by slide
├── LICENSE
├── 2026_BSidesKC_ThreatHuntingSafari_APT33.pdf # Slide deck
│
├── sigma_rules/ # 12 Sigma detection rules covering the full attack
│ ├── file_event_win_susp_double_extension.yml
│ ├── win_proc_creation_double_extension.yml
│ ├── proc_creation_win_susp_cmd_posh_parentimage.yml
│ ├── proc_creation_win_lolbas_discovery.yml
│ ├── proc_creation_win_sus_img_location.yml
│ ├── reg_set_win_run_keys.yml
│ ├── proc_creation_win_hktl_lazagne.yml
│ ├── proc_creation_win_remote_access_tools_anydesk.yml
│ ├── proc_creation_win_remote_access_tools_anydesk_susp_exec.yml
│ ├── proc_creation_win_RAS_nonstandard_folder.yml
│ ├── proc_creation_win_sysinternals_adexplorer_execution.yml
│ └── file_event_win_susp_archive_creation.yml
```
## 幻灯片概述 (39 张)
| 幻灯片 | 章节 | 内容 |
|--------|---------|---------|
| 1–2 | 开场 | 标题,whoami |
| 3 | 议程 | 五部分路线图 |
| 4–5 | 第 1 部分 | 威胁狩猎方法论;基于情报的狩猎场景 |
| 6 | 基础 | 基于状态的变化 — 攻击者在端点上留下的蛛丝马迹 |
| 7 | 第 3 部分 | 狩猎过程 (假设 → 收集 → 分析 → 调查 → 优化) |
| 8 | 第 2 部分 | APT33 / Peach Sandstorm 背景 — 别名,目标行业,与 IRGC 的联系 |
| 9 | 第 2 部分 | Tickler 活动细节 — 程序执行,工具和时间线 |
| 10 | 设置 | 工具与实验环境搭建 (Sysmon, Splunk, Sigma, SCYTHE) |
| 11 | 狩猎之旅开始 | 狩猎之旅开始 — 过渡幻灯片 |
| 12 | 狩猎之旅开始 | CTI → 假设 — 提取 tickler.pdf.exe 作为狩猎锚点 |
| 13–14 | 首次命中 | 双扩展名 Sigma 检测触发 + 我们的发现 |
| 15–16 | 范围界定 | 全部 Sysmon EventCode 细分 — 映射活动面 |
| 17–19 | 狩猎 1 | 进程树 (a1.exe 为根),执行链,发现级联 |
| 20–21 | 狩猎 2 | 文件创建 (EID 11) — 完整的攻击者工具包清单 |
| 22–24 | 狩猎 3a | 持久化链 (EID 1 + EID 13 + PowerShell EID 4103) |
| 25–27 | 狩猎 3b | 凭据获取 (LaZagne, LSASS 0x1FFFFF,暂存以备外发) |
| 28–29 | 狩猎 4a | AnyDesk — 来自非标准路径的冗余 C2 通道 |
| 30–32 | 狩猎 4b | AD 侦察 (ADExplorer -snapshot),横向移动,分析 |
| 33–34 | 狩猎 5 | 完整网络图景 — C2,AnyDesk 中继,通过 LDAP 连接 DC,DNS 查询 |
| 35 | 总结 | 完整杀伤链重建 — 12 次追踪映射到 ATT&CK |
| 36 | 检测 | 覆盖攻击各个阶段的全部 12 条 Sigma 规则 |
| 37–38 | 核心要点 | 六个关键经验;三个可操作的下一步行动 |
| 39 | 结束 | 致谢,联系方式 |
## 如何使用这些资源
**如果您参加了本次演讲** — `splunk_queries_by_slide.md` 包含了屏幕上显示的每个查询,可以直接复制粘贴到您自己的 Splunk 实例中。`sigma_rules/` 中的 Sigma 规则可以使用 [sigma-cli](https://github.com/SigmaHQ/sigma-cli) 或 [Sigconverter.io](https://sigconverter.io/) 转换为您 SIEM 的规则。
## 使用的关键工具
| 工具 | 用途 | 链接 |
|------|---------|------|
| Splunk | SIEM / 日志分析 | [splunk.com](https://www.splunk.com/) |
| Sysmon | 增强的 Windows 端点日志记录 | [Sysinternals](https://learn.microsoft.com/en-us/sysinternals/downloads/sysmon) |
| Sigma | 开源检测规则 | [SigmaHQ](https://github.com/SigmaHQ/SigmaHQ) |
| SCYTHE | 攻击者模拟平台 | [scythe.io](https://scythe.io) |
## MITRE ATT&CK 覆盖范围
本次狩猎映射到以下技术 (APT33 / [G0064](https://attack.mitre.org/groups/G0064/)):
| 阶段 | 技术 |
|-------|-----------|
| C2 Implant & 侦察 | T1059, T1033, T1082, T1083, T1049, T1016, T1007, T1518.001 |
| 工具暂存 | T1105, T1036.007 |
| 持久化 | T1547.001 |
| 凭据访问 | T1003, T1555 |
| RMM & AD 侦察 | T1219, T1087.002 |
| 收集与外发 | T1560.001, T1041 |
## 关于
**Tyler Casey** — SCYTHE Labs 首席检测工程师及副主任
- Bluesky: [@1qazCasey](https://bsky.app/profile/1qazcasey)
- LinkedIn: [/tyler-j-casey](https://linkedin.com/in/tyler-j-casey)
本次演讲证明了您不需要一个庞大的 SOC 就能进行有效的威胁狩猎。您需要的是好奇心、遥测数据和一套流程——顺着追踪线索,杀伤链自然会显现。
## 许可证
Sigma 规则源自 [SigmaHQ](https://github.com/SigmaHQ/SigmaHQ),由 Tyler Casey / SCYTHE(标记为 `@1qazCasey` 的规则)或各规则文件中注明的社区贡献者编写。它们受其原始许可证的约束。SCYTHE 威胁包和模拟材料仅供教育和防御目的提供。本仓库中的所有其他内容均按原样提供给安全社区。
标签:Active Directory侦察, ADExplorer, AnyDesk, APT33, BSides KC 2026, C2通信, DAST, DNS 反向解析, IP 地址批量处理, LaZagne, OpenCanary, Peach Sandstorm, Sigma规则, Sysmon, TGT, Tickler Malware, Windows事件日志, 凭据窃取, 后渗透, 安全工具集合, 安全查询语句, 对手模拟, 恶意软件分析, 攻防演练, 数据窃取, 杀伤链, 横向移动, 狩猎推演, 目标导入, 编程规范, 网络威胁情报, 网络安全审计, 网络安全演讲, 远程控制软件