AntNegron/AWS-Cloud-Intrusion-Multi-Stage-Incident-Investigation

# AWS 云入侵多阶段事件调查 **分析师：** Anthony Negron **日期：** 2026 年 5 月 **工具：** AWS CloudTrail, Splunk SIEM, OSINT, CyberChef **范围：** 云配置错误、凭证滥用、加密货币挖矿及 C2 检测 ## 📖 目录 * [执行摘要](#-executive-summary) * [技术环境](#-technical-environment) * [调查生命周期](#-investigation-lifecycle) * [MITRE ATT&CK 映射](#-mitre-attck-mapping) * [失陷指标](#-indicators-of-compromise) * [修复措施](#-recommended-remediation) * [工件与证据](#-artifacts--evidence) ## 🛡️ 执行摘要 本仓库记录了对一次多阶段企业入侵事件的全面调查。该事件源于一个**公开泄露的 IAM 访问密钥**，随后升级为 **EC2 资源劫持（加密货币挖矿）** 以及向内部用户终端的**横向移动**。 作为首席调查员，我通过 AWS CloudTrail 和端点遥测数据进行了日志关联分析，将攻击者的活动映射到 **MITRE ATT&CK Framework**，识别了失陷指标，并制定了修复策略以强化环境安全。 ## 🛠️ 技术环境 * **云基础设施：** AWS (IAM, EC2, CloudWatch) * **SIEM/分析：** Splunk Enterprise（日志关联与查询） * **可见性：** AWS CloudTrail, Sysmon (端点), 网络流量日志 * **攻击模拟：** 受损的 `web_admin` 凭证和 `hoth` Linux 服务器。 ## 🕵️ 调查生命周期 ### 1. 初步分类与识别 本次调查是由 AWS 关于属于 `web_admin` 用户的 IAM 访问密钥通过公共 GitHub 仓库泄露的安全通知触发的。 * **告警 ID：** `UR-AWS-20180820-0038` * **受损身份：** `web_admin` * **初步发现：** 识别到源自未知 IP 地址（`45.77.53.176`）的未授权 `DescribeInstances` 和 `RunInstances` 调用。 ### 2. 云端升级（资源劫持） 攻击者利用泄露的凭证配置了高计算能力的 EC2 实例用于加密货币挖矿。 * **证据：** 将 `RunInstances` 事件与 CloudWatch 中监控到的异常 CPU 飙升进行了关联。 * **识别的 IoC：** 对 `coinhive.com` 及相关矿池（例如 `ws005.coinhive.com`）的 DNS 查询。 ### 3. 横向移动与端点失陷 攻击者成功从云平台转移到工作负载平台，入侵了一台 Linux Web 服务器（`hoth`）。 * **技术：** 通过进程创建日志发现的权限提升。 * **发现：** 识别到恶意文件下载（`colonelnew`）以及随后由 `tomcat8` 用户执行的 `chmod +x` 操作。 * **解密：** 在进程命令行中发现了 Base64 编码的字符串。通过 CyberChef 解码后，揭示了指向 C2 服务器的反向 shell。 ## 📊 MITRE ATT&CK 映射 | 战术 | 技术 | ID | 证据 | | :--- | :--- | :--- | :--- | | **初始访问** | 有效账户：公开泄露的凭证 | [T1078.001](https://attack.mitre.org/techniques/T1078/001/) | IAM 密钥通过 GitHub 泄露。 | | **执行** | 命令和脚本解释器：PowerShell | [T1059.001](https://attack.mitre.org/techniques/T1059/001/) | 端点上的恶意脚本执行。 | | **持久性** | 创建账户：本地账户 | [T1136.001](https://attack.mitre.org/techniques/T1136/001/) | 在 `hoth` 上未授权创建用户。 | | **影响** | 资源劫持 | [T1496](https://attack.mitre.org/techniques/T1496/) | 未授权的 EC2 加密货币挖矿。 | ## 🚨 失陷指标 * **攻击者 C2 IP：** `45.77.53.176` * **恶意域名：** `coinhive.com` * **文件哈希 (SHA256)：** `99925199059EE049F7AEDA8904C2F5BDFBA86671FD7A5989BD60B72F26EF737C` * **可疑 URI：** `/admin/get.php` ## 📈 建议的修复措施 1. **立即撤销身份凭证：** 轮换所有暴露的 AWS 访问密钥，并对 `web_admin` 账户强制启用 MFA。 2. **资源清理：** 终止分类报告中识别出的所有未授权 EC2 实例。 3. **机密管理：** 实施 **AWS Secrets Manager** 并集成 **GitHub Secret Scanning** 以防止未来的凭证暴露。 4. **检测改进：** 创建 Splunk 告警，在出现 `异常 CPU 使用率 + 挖矿 DNS 关联` 时触发。 ## 📁 工件与证据 * **[分类报告](evidence/Triage_Report.pdf)：** 完整的事件摘要和时间线。 * **[调查笔记](evidence/Investigation_Notes.pdf)：** 深入探讨 Splunk 查询和原始日志分析。 * **[日志证据](evidence/log_evidence_sample.csv)：** 来自端点 `hoth` 的可疑进程日志的 CSV 导出文件。

标签：AWS, Cloudflare, CloudTrail, CyberChef, DNS 解析, DPI, ESC4, GitHub泄露, IAM凭据滥用, IoC指标, IP 地址批量处理, MITRE ATT&CK, OPA, OSINT, PE 加载器, 云渗透测试, 云计算, 云配置错误, 企业安全, 加密货币挖矿, 安全调查, 安全运营, 扫描框架, 挖矿木马, 横向移动, 缓解措施, 编程规范, 网络信息收集, 网络安全, 网络资产管理, 规则引擎, 访问密钥泄露, 隐私保护, 靶场