seyifalode-cmd/crowdstrike-threat-hunt-portfolio

# CrowdStrike 威胁狩猎作品集 — 狩猎 SCATTERED SPIDER **分析师：** Shaymill — 云与网络安全工程师 **平台：** CrowdStrike Falcon（模拟环境） **日期：** 2026 年 5 月 **分类：** 作品集项目 ## 概述 本仓库包含一份针对 **SCATTERED SPIDER**（又名 Octo Tempest / UNC3944）的结构化威胁狩猎报告，该组织是目前破坏力最强的以经济利益为动机的威胁行为者之一。本次狩猎使用 **CrowdStrike Falcon** 平台进行，并完全映射至 **MITRE ATT&CK Enterprise Framework (v14)**。 SCATTERED SPIDER 应对 2023 年 MGM Resorts 数据泄露事件（约 1 亿多美元损失）以及 Caesars Entertainment 被入侵事件负责。与大多数对手不同，他们几乎完全依赖**社会工程学和身份滥用**——不使用恶意软件，也不利用零日漏洞。这使得他们对基于特征的工具具有隐蔽性，只能通过行为威胁狩猎来检测。 ## 包含内容 | 文件 | 描述 | |------|-------------| | `CrowdStrike_ThreatHunt_SCATTERED_SPIDER.docx` | 完整的威胁狩猎报告 — 假设、CQL 查询、发现、时间线和建议 | ## 威胁行为者画像 | 属性 | 详情 | |-----------|--------| | CrowdStrike 名称 | SCATTERED SPIDER | | 别名 | Octo Tempest, UNC3944, Starfraud, 0ktapus | | 动机 | 经济利益 — 勒索软件、数据敲诈、加密货币盗窃 | | 主要方法 | 社会工程学、SIM 卡劫持、绕过 MFA | | 使用的恶意软件 | 极少 — 主要依赖就地取材 (LOLBins) | | 主要目标 | 酒店、博彩、电信、金融服务 | | 著名入侵事件 | MGM Resorts (2023), Caesars Entertainment (2023), Okta, Twilio | ## 狩猎假设 本次狩猎围绕四个检测假设构建，每个假设均关联一项特定的 MITRE ATT&CK 技术： | # | 假设 | MITRE 技术 | 严重性 | |---|------------|----------------|----------| | H1 | 正在进行 MFA 疲劳轰炸 — 用户从无法识别的 IP 收到 5 次及以上失败的推送通知 | T1621 — MFA 请求生成 | CRITICAL | | H2 | 人类身份在非工作时间创建了未经授权的特权账户 | T1136.001 — 创建本地账户 | CRITICAL | | H3 | 单个凭证通过网络登录对 10 个及以上独立端点进行身份验证 | T1021 — 远程服务 | HIGH | | H4 | 通过端口 443 向单个外部 IP 传输超过 500MB 的出站数据 | T1041 — 通过 C2 通道渗透 | CRITICAL | ## 狩猎查询 (CrowdStrike 查询语言) ### H1 — MFA 疲劳检测 ``` event_simpleName=UserLogon | AuthMethod="MFA_PUSH" | LogonResult="FAILED" | stats count by UserName, IPAddress | where count > 5 | sort count desc ``` ### H2 — 未经授权的管理员账户创建 ``` event_simpleName=UserAccountCreated | CreatedByUserName!="automated_provisioning" | NewUserPrivilege="Admin" | stats count by CreatedByUserName, ComputerName, timestamp | sort timestamp desc ``` ### H3 — 横向移动检测 ``` event_simpleName=UserLogon | LogonType="Network" | stats dc(ComputerName) as UniqueHosts by UserName | where UniqueHosts > 10 | sort UniqueHosts desc ``` ### H4 — 数据渗透检测 ``` event_simpleName=NetworkConnectIP4 | RemotePort IN (443, 80) | stats sum(BytesSent) as TotalSent by UserName, RemoteIP | where TotalSent > 500000000 | sort TotalSent desc ``` ## 关键发现 所有四个假设均在模拟的 72 小时数据集中得到证实： - **H1 — MFA 疲劳：** `j.morrison@corp.com` 在 47 分钟内收到来自 Tor 出口节点 (`185.220.101.47`) 的 23 次失败的 MFA 推送通知，随后批准了第 24 次 — 攻击者在东部标准时间 (EST) 02:14 获得了访问权限。 - **H2 — 未经授权的管理员账户：** 被攻陷的身份于东部标准时间 03:22 在 `CORP-DC-01` 上创建了账户 `svc_backup_admin`，并立即被添加到 Domain Admins 组中。没有相关的变更工单。 - **H3 — 横向移动：** `svc_backup_admin` 在 4 小时内通过网络登录对 **37 个独立端点** 进行了身份验证，包括文件服务器和 HR 数据库 (`CORP-HR-DB-02`)。该环境中服务账户的基线为：2-3 台主机。 - **H4 — 数据渗透：** 东部标准时间 10:15–11:47 期间，通过 HTTPS 将 **2.3GB** 数据从 `CORP-HR-DB-02` 传输到防弹主机 IP (`185.220.101.52`) — 比该主机 30 天的基线高出 1,900%。 ## 攻击时间线 | 时间 | 阶段 | 事件 | MITRE ATT&CK | |------|-------|-------|--------------| | 第 1 天 00:30 | 初始访问 | 攻击者冒充员工对 IT 服务台进行语音钓鱼，请求取消注册 MFA | T1566, T1078 | | 第 1 天 02:14 | 凭证访问 | 发送了 23 次 MFA 推送；受害者批准了第 24 次。攻击者从 Tor 出口节点登录 | T1621 | | 第 1 天 03:22 | 持久化 | 在域控上创建了 `svc_backup_admin`，并被添加到 Domain Admins 组 | T1136.001, T1098 | | 第 1 天 06:00 | 横向移动 | 在 4 小时内访问了 37 个端点，包括 HR 数据库 | T1021, T1078.002 | | 第 1 天 09:47 | 收集 | 从 `CORP-HR-DB-02` 批量下载了 HR、工资单和客户 PII 数据 | T1005, T1213 | | 第 1 天 10:15 | 渗透 | 通过 HTTPS 将 2.3GB 数据渗透到防弹主机 | T1041, T1048.002 | | 第 2 天 08:00 | 影响 | 提出了 450 万美元的赎金要求，并威胁泄露数据 | T1486, T1657 | ## 建议 | 优先级 | 建议 | |----------|---------------| | CRITICAL — 立即执行 | 启用 MFA 号码匹配或 FIDO2 硬件密钥，以消除疲劳轰炸 | | CRITICAL — 立即执行 | 对任何在已批准变更窗口之外创建的特权账户进行告警 | | HIGH — 7 天内 | 在 Falcon 中设置横向移动检测阈值（2 小时内达到 8 个及以上独立主机） | | HIGH — 7 天内 | 建立每个主机的出站数据基线；在突破 3 倍基线时自动隔离 | | HIGH — 30 天内 | 部署 CrowdStrike Falcon OverWatch 以进行持续的托管威胁狩猎 | | MEDIUM — 30 天内 | 培训服务台员工在执行任何账户操作之前进行带外身份验证 | ## 涵盖的 MITRE ATT&CK 技术 `T1566` `T1078` `T1621` `T1136.001` `T1098` `T1021` `T1078.002` `T1005` `T1213` `T1041` `T1048.002` `T1486` `T1657` ## 工具与框架 - **CrowdStrike Falcon** — EDR 平台，Event Search，CQL - **MITRE ATT&CK Enterprise Framework v14** - **模拟环境：** 500 个端点，混合云 (AWS + Azure)，72 小时数据集 ## 关于本项目 这是一份作为网络安全实操项目一部分而制作的威胁狩猎作品集报告。它展示了使用行业标准和对手情报的结构化、假设驱动的威胁狩猎方法——这与企业 SOC 环境中专业威胁猎人所使用的方法相同。

标签：Cloudflare, CrowdStrike, ESC8, Falcon平台, LOLBins, MFA疲劳攻击, MITRE ATT&CK, Octo Tempest, SCATTERED SPIDER, SIM卡劫持, UNC3944, 免杀技术, 勒索软件, 多因子认证绕过, 安全工程师, 安全报告, 安全运营中心, 数据勒索, 暴力破解检测, 社会工程学, 端点安全, 网络安全, 网络映射, 补丁管理, 身份盗用, 隐私保护, 高级威胁防御, 黑产组织