Navya240/intel471-threat-hunting-cve-2023-46604

# Intel 471 威胁狩猎研讨会 – CVE-2023-46604 调查 ## 概述 本仓库记录了我首次参与 Intel 471 专注于 CVE-2023-46604 的情报驱动威胁狩猎研讨会的实践经验。 通过本次实践研讨会，我调查了攻击者如何利用严重的 Apache ActiveMQ 漏洞，使用 Elastic SIEM 分析了漏洞利用后的行为，并应用了情报驱动的威胁狩猎方法来识别恶意的持久化机制。 ## 展示的技能 - 威胁狩猎 - Elastic SIEM 调查 - 漏洞情报 - Windows 事件分析 - LOLBIN 检测 (`sc.exe`) - 服务持久化分析 - 事件 ID 7045 检测 - 蓝队运营 - 网络威胁情报 (CTI) ## 研讨会目标 - 了解 CVE-2023-46604 的漏洞利用 - 构建以漏洞为中心的狩猎假设 - 调查漏洞利用遥测数据 - 检测漏洞利用后的持久化 - 恢复验证 flag ## 调查工作流 ### 步骤 1：虚拟机部署 - 访问 Intel 471 实验虚拟机 - 审查狩猎包 - 了解漏洞背景 ### 步骤 2：Elastic SIEM 分析 - 查询可疑的进程执行 - 调查 `sc.exe` LOLBIN 的使用 - 审查命令行参数 ### 步骤 3：服务名追踪 识别出的可疑命令： `sc create "DailyCleanup" binPath= "C:\Users\Jamesmurphy\AppData\Local\Temp\powershell.exe" start= auto` - 提取的服务名称：`DailyCleanup` - 使用服务名进行追踪搜索 ### 步骤 4：事件关联 - 事件 ID 4688 = 进程创建 - 事件 ID = 成功的服务安装 ### 步骤 5：Flag 恢复 ### 最终 Flag 1 答案： **系统上安装了一个新服务** ## 关键经验总结 - 仅靠漏洞严重性是不够的 - 威胁情报能提高狩猎的精确度 - 进程执行并不能确认攻击者已成功实现目标 - 追踪搜索至关重要 - 行为检测是关键 ## MITRE ATT&CK 映射 - T1543.003 – Windows 服务 - T1218 – 签名二进制文件代理执行 - T1059 – 命令和脚本解释器 ## 完整博客文章 https://navyacyber.hashnode.dev/my-first-hands-on-threat-hunting-workshop-experience-with-intel-471-hunting-cve-2023-46604-from-curiosity-to-confidence ## 与我联系 https://www.linkedin.com/in/navya-machhi-/ ## 免责声明 本仓库仅用于教育和专业作品集目的。 它侧重于方法论、学习成果和实用的威胁狩猎技能，未披露专有的研讨会材料。

标签：Apache ActiveMQ漏洞, CISA项目, CVE-2023-46604, Elastic SIEM, Event ID 4688, Event ID 7045, LOLBIN检测, OpenCanary, sc.exe滥用, SOC分析, Windows事件分析, 后渗透检测, 安全实验室, 安全工作坊, 持久化机制分析, 服务创建检测, 漏洞情报分析, 网络安全威胁情报, 蓝队作战, 进程创建监控