Nanyachris/Threat-Hunting-Log-Analysis-

# 威胁狩猎-日志分析- 调查可疑的身份验证和进程日志，以重建多阶段网络攻击 在本次调查中，我作为安全分析师分析了用户 John 的系统日志。 目标是识别恶意行为，重建时间线，并提供修复步骤。 **##任务 1：识别可疑活动** 根据提供的日志，我识别出以下危险信号： *异常登录* 来自阿布贾的登录之后，仅 7 分钟后就出现了来自德国的尝试。 *暴力破解尝试* 多次 LOGIN_FAILED 事件之后，同一个德国 IP 出现了 LOGIN_SUCCESS。 *混淆的 PowerShell* 启动 powershell.exe 时带有 -nop -w hidden 标志（用于隐藏活动。） *侦察命令* 执行了 whoami 和 ipconfig，这是攻击者网络映射的典型操作。 *数据窃取* 建立出站连接后，向一个未知的外部 IP 传输了 12MB 的数据。 **##任务 2：威胁狩猎假设##** 如果一个账户经历了来自国外 IP 的多次登录失败，随后登录成功并执行了隐藏的系统进程，这可能表明账户已被成功接管，并随后发生了数据窃取。 **##任务 3：攻击时间线##** *初始活动* 用户 John 正常从阿布贾 (102.89.34.12) 登录。 *可疑行为* 来自德国 IP (185.203.116.45) 的登录失败尝试。 *失陷* 来自德国 IP 的登录成功，表明账户已被攻破。 *失陷后操作* 攻击者运行隐藏的 PowerShell 和侦察命令 (whoami, ipconfig)。 *最终目的* 建立出站连接并将 12MB 数据窃取至 45.77.12.90。 **##任务 4：失陷指标##** *IP 地址 (攻击者)* 185.203.116.45 *IP 地址 (数据窃取目标)* 45.77.12.90 *可疑命令* powershell.exe -nop -w hidden *工具使用* whoami & ipconfig **##任务 5：分析员行动##** *立即响应* 将受影响的主机 (192.168.1.10) 从网络中隔离，以阻止数据传输。重置用户 John 的凭据。 *深入调查* 审查 VPN 和防火墙日志，以查看是否有其他账户成为同一德国 IP 的目标。 *防御预防* 为所有用户强制执行多因素身份验证，并对未授权区域实施地理位置封锁。 **##威胁狩猎扩展##** 为确保攻击者被彻底清除，我将进一步调查： *持久化日志* 检查新的计划任务或注册表项更改。 *DNS 日志* 查找与数据窃取 IP 相关的可疑域名查询。 *账户日志* 检查在此次会话期间是否创建了任何新的“Admin”账户。

标签：AI合规, IPv6, OpenCanary, PE 加载器, PoC, PowerShell, 不可能的旅行, 多阶段攻击, 安全运营, 异常登录, 扫描框架, 攻击还原, 数字取证, 数据窃取, 暴力破解, 横向移动, 漏洞分析, 红队行动, 编程规范, 网络安全, 自动化脚本, 账户接管, 路径探测, 防御加固, 隐私保护