velveteenlabs/velveteen-endpoint-investigation

# Velveteen Endpoint 调查 ## 概述 本项目展示了对可疑 Endpoint 活动的结构化调查，涉及持久化、基于脚本的执行以及外部通信。 该分析是使用定制构建的威胁狩猎框架（**Velveteen**）进行的，重点是将技术指标关联成一个完整且连贯的攻击链。 ## 本项目展示的内容 * 识别持久化机制（计划任务） * 分析基于 PowerShell 的执行技术 * 检测可疑文件伪影（DLL 劫持指标） * 关联 Endpoint、文件和网络活动 * 将技术发现转化为结构化情报报告 ## 主要发现 * 使用 `ExecutionPolicy Bypass` 执行 PowerShell * 通过计划任务（`WinReconService`）建立持久化 * 可疑 DLL 伪影与 DLL 劫持行为一致 * 向被标记的基础设施发起出站加密通信 这些发现表明这是协调一致的活动，而非孤立的异常现象。 ## 攻击链 ``` [Initial Execution] PowerShell Script (ExecutionPolicy Bypass) ↓ [Persistence] Scheduled Task (WinReconService) ↓ [Reconnaissance] Script-Based System Enumeration ↓ [Defense Evasion] DLL Side-Loading ↓ [Command & Control] Outbound Encrypted Traffic (Port 443) ↓ [Sustained Access] Persistent Execution + External Communication ``` ## 调查方法 本次调查遵循结构化的 DFIR 工作流程： 1. 进程与脚本分析 2. 持久化识别 3. 文件伪影检查 4. 网络活动关联 5. 行为解释 这种方法使得各个独立的信号能够被连接成一个完整的入侵生命周期。 ## 工具与方法 * PowerShell 分析 * 日志检查 * 持久化分析（计划任务、自启动项） * 指标关联 * MITRE ATT&CK 映射 ## MITRE ATT&CK 技术 * **T1053.005** – 计划任务 * **T1086** – PowerShell * **T1218.011** – DLL 劫持 * **T1071.001** – Web 协议 ## 附加文档 * [攻击链解析](attack_chain.md) * [报告摘录](report_excerpt.md) * [Velveteen 框架概述](velveteen_overview.md) ## 关于 Velveteen Velveteen 是一个模块化的 Endpoint 检测和威胁狩猎框架，旨在： * 识别可疑的系统行为 * 分析持久化机制 * 关联跨系统层的活动 * 支持结构化的取证调查 它结合了 Endpoint Detection & Response (EDR)、威胁狩猎工作流程和取证分析的要素。 ## 核心洞察 本项目强调，有效的威胁检测需要： * 跨多个系统层的关联 * 理解攻击者的行为，而不仅仅是指标 * 将技术信号转化为清晰的分析性叙述 ## 备注 本项目是一个经过脱敏和泛化处理的案例研究，源自真实的分析模式。所有标识符和敏感细节均已移除。

标签：AI合规, C2通信, Cloudflare, DLL侧载, EDR, MITRE ATT&CK, OpenCanary, PowerShell分析, Velveteen, 入侵生命周期, 命令与控制, 威胁情报, 威胁调查, 子域名变形, 开发者工具, 恶意脚本分析, 持久化检测, 攻击链分析, 数字取证与应急响应, 私有化部署, 端点安全, 端点检测与响应, 系统枚举, 网络安全, 脆弱性评估, 脱壳工具, 自定义威胁狩猎框架, 补丁管理, 计划任务, 防御规避, 隐私保护