CyberKamerin/threat-hunt-rdp-compromise
GitHub: CyberKamerin/threat-hunt-rdp-compromise
一份基于KQL和MITRE ATT&CK框架的RDP入侵威胁狩猎案例报告,完整记录了从暴力破解到数据外泄的全攻击链分析与检测方法。
Stars: 0 | Forks: 0
# 🛡️ 威胁狩猎报告:虚拟机攻陷 — “隐藏你的 RDP”
**事件日期:** 2025年9月14日
**分析师:** Kamerin Crawford
**被攻陷主机:** `slflarewinsysmo`
**被攻陷账户:** `slflare`
## 🚀 执行摘要
2025年9月14日,在一台云托管的 Windows 虚拟机上检测到了可疑的 RDP 登录活动。暴力破解攻击导致攻击者成功使用 `slflare` 账户获取了访问权限。
在获取初始访问权限后,攻击者执行了完整的攻击链:
* 部署了恶意二进制文件(`msupdate.exe`)
* 通过计划任务建立持久化
* 修改了 Microsoft Defender 的排除项
* 执行了系统发现
* 将数据打包暂存至 `backup_sync.zip` 中
* 尝试通过 `curl` 将数据外传至外部基础设施(`185.92.220.87:8081`)
本次事件经历了一个完整的入侵生命周期:
## 📅 事件时间线
| 时间 (UTC+09:00) | 阶段 | 事件 |
| ---------------- | --------------- | ----------------------------------------------- |
| 9月16日, 06:40:57 | 初始访问 | 来自 `159.26.106.84` 的成功 RDP 登录 |
| 9月16日, 06:43:46 | 初始访问 | 建立了 RemoteInteractive 会话 |
| 9月16日, 07:38:01 | 执行 | 通过 PowerShell 创建了 `msupdate.exe` |
| 9月16日, 07:38:40 | 执行 | 绕过 PowerShell ExecutionPolicy 执行了文件 |
| 9月16日, 07:39:45 | 持久化 | 创建了计划任务 `MicrosoftUpdateSync` |
| 9月16日, 07:39:48 | 防御规避 | 添加了 Defender 排除项(`C:\Windows\Temp`) |
| 9月16日, 07:40:28 | 发现 | 执行了 `systeminfo` |
| 9月16日, 07:41:30 | 收集 | 创建了 `backup_sync.zip` |
| 9月16日, 07:42:17 | 命令与控制 (C2) | 连接到 `185.92.220.87:80` |
| 9月16日, 07:43:42 | 数据外传 | 通过 `curl` POST 到 `185.92.220.87:8081` |
## 🎯 Flag 发现
### 🚩 Flag 1 — 攻击者 IP
**发现:** `159.26.106.84`
通过多次失败登录后成功登录的模式确认了暴力破解。
### 🚩 Flag 2 — 被攻陷账户
**发现:** `slflare`
该账户被成功用于 RDP 访问。
### 🚩 Flag 3 — 执行的二进制文件
**发现:** `msupdate.exe`
释放至 `C:\Users\Public\` 目录
### 🚩 Flag 4 — 执行命令
```
msupdate.exe -ExecutionPolicy Bypass -File C:\Users\Public\update_check.ps1
```
### 🚩 Flag 5 — 持久化
**发现:** `MicrosoftUpdateSync` 计划任务
### 🚩 Flag 6 — Defender 修改
**发现:** `C:\Windows\Temp` 被添加到排除项中 (T1562.001)
### 🚩 Flag 7 — 发现命令
```
cmd.exe /c systeminfo
```
### 🚩 Flag 8 — 创建的归档文件
**发现:** `backup_sync.zip`
### 🚩 Flag 9 — C2 目标地址
**发现:** `185.92.220.87:80`
### 🚩 Flag 10 — 数据外传
**发现:** `185.92.220.87:8081`
## 🧠 MITRE ATT&CK 映射
| 阶段 | 技术 | ID |
| --------------- | ---------------------------- | --------- |
| 初始访问 | 有效账户 | T1078 |
| 执行 | PowerShell | T1059.001 |
| 持久化 | 计划任务 | T1053.005 |
| 防御规避 | Defender 排除项 | T1562.001 |
| 发现 | 系统信息发现 | T1082 |
| 收集 | 本地数据归档 | T1560.001 |
| 命令与控制 (C2) | 应用层协议 | T1071.001 |
| 数据外传 | 非加密传输 | T1048.003 |
## 🛡️ 事后建议
### 遏制
* 隔离受影响主机
* 终止恶意进程
* 移除计划任务 `MicrosoftUpdateSync`
### 根除
* 删除 `msupdate.exe`
* 移除 Defender 排除项
* 重置受损凭据
### 加固
* 在 RDP 上强制执行 MFA
* 阻止 RDP 直接暴露在互联网中
* 监控绕过 PowerShell ExecutionPolicy 的活动
标签:AI合规, ATT&CK框架, Cloudflare, DAST, IPv6, KQL, Microsoft Defender, MITRE ATT&CK, OpenCanary, PoC, PowerShell, RDP攻击, Windows虚拟机, 初始访问, 嗅探欺骗, 微隔离, 恶意软件分析, 数据展示, 数据渗出, 数据窃取, 无线安全, 暴力破解, 权限维持, 案例研究, 私有化部署, 红队, 网络安全, 计划任务, 防御规避, 隐私保护