Paulcyber06/E7-MITRE-ATT-CK-Full-Attack-Chain

# E7 — MITRE ATT&CK：完整攻击链重构 ## 📚 目录 - [1. 全局背景](#1-contexte-global) - [2. Cyber Kill Chain® — Lockheed Martin](#2-cyber-kill-chain--lockheed-martin) - [3. 完整 Kill Chain — Buttercup Games](#3-kill-chain-complète--buttercup-games) - [4. ATT&CK 技术细节](#4-détail-des-techniques-attck) - [5. 调查盲点](#5-gaps-dinvestigation) - [6. 升级报告 — 提交给 N2 团队的要素](#6-rapport-descalade--éléments-transmis-à-léquipe-n2) - [7. 结论](#7-conclusion) ## 1. 全局背景 **Buttercup Games** 的 SOC 团队检测并调查了一系列针对该公司基础设施的协同攻击。调查始于对一封钓鱼邮件的检测，最终以发现 Web 服务器上存在一个活动的 webshell 而告终。 攻击者极具耐心且手法严谨，每次失败后都会调整策略——从钓鱼攻击转向 Web 侦察，再到 FTP 暴力破解。 **事件时间线：** | 剧集 | 工具 | 检测到的事件 | |---------|-------|-----------------| | [E1](https://github.com/Paulcyber06/E1-Phishing-Proton-Brand-Impersonation) | Email | 伪装成 Proton for Business 的钓鱼尝试 | | [E2](https://github.com/Paulcyber06/E2-Splunk-Reconnaissance-Detection) | Splunk | Web 侦察 — IP 探测 `/passwords.pdf` | | [E3](https://github.com/Paulcyber06/E3-Splunk-Behavioral-Analysis) | Splunk | 行为分析 — 双重可疑活动 | | [E4](https://github.com/Paulcyber06/E4-Splunk-Dashboard-and-Alerts) | Splunk | SOC 仪表板 + 配置自动告警 | | [E5](https://github.com/Paulcyber06/E5-Wireshark-FTP-Brute-Force) | Wireshark | FTP 暴力破解 — `jenny` 账户被攻破 | | [E6](https://github.com/Paulcyber06/E6-Wireshark-Post-Exploitation) | Wireshark | 后渗透 — 部署 webshell `shell.php` | ## 2. Cyber Kill Chain® — Lockheed Martin 由 Lockheed Martin 开发的 **Cyber Kill Chain®** 框架，指出了任何攻击者为达成目标必须完成的 7 个阶段。在任意阶段打断攻击，都足以使其失效。 [](https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html) | 阶段 | 描述 | |-------|-------------| | 1. Reconnaissance | 攻击者收集关于目标的信息 | | 2. Weaponization | 制作用于利用漏洞的 payload | | 3. Delivery | 交付 payload — 电子邮件、Web、USB | | 4. Exploitation | 在目标系统上执行代码 | | 5. Installation | 安装持久化工具 | | 6. Command & Control | 与受控主机的通信通道 | | 7. Actions on Objectives | 攻击者达成最终目标 | ## *来源：[Lockheed Martin — Cyber Kill Chain®](https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html)* ## 3. 完整 Kill Chain — Buttercup Games 将调查结果映射到 MITRE ATT&CK 框架： | Kill Chain 阶段 | MITRE 技术 | ID | 工具 | 结果 | 剧集 | |-----------------|----------------|-----|-------|---------|---------| | Reconnaissance | File and Directory Discovery | [T1083](https://attack.mitre.org/techniques/T1083/) | Splunk | ❌ 未找到 `/passwords.pdf` | [E2](https://github.com/Paulcyber06/E2-Splunk-Reconnaissance-Detection) / [E3](https://github.com/Paulcyber06/E3-Splunk-Behavioral-Analysis) | | Delivery | Phishing | [T1566](https://attack.mitre.org/techniques/T1566/) | Email | ❌ 员工未中招 | [E1](https://github.com/Paulcyber06/E1-Phishing-Proton-Brand-Impersonation) | | Exploitation | Brute Force | [T1110](https://attack.mitre.org/techniques/T1110/) | Wireshark | ❌ 凭据被攻破：jenny/password123 | [E5](https://github.com/Paulcyber06/E5-Wireshark-FTP-Brute-Force) | | Exploitation | Valid Accounts | [T1078](https://attack.mitre.org/techniques/T1078/) | Wireshark | ❌ FTP 登录成功 | [E5](https://github.com/Paulcyber06/E5-Wireshark-FTP-Brute-Force) | | Installation | Web Shell | [T1505.003](https://attack.mitre.org/techniques/T1505/003/) | Wireshark | ❌ shell.php 被部署在 /var/www/html | [E6](https://github.com/Paulcyber06/E6-Wireshark-Post-Exploitation) | | Actions on Objectives | Exploit Public-Facing Application | [T1190](https://attack.mitre.org/techniques/T1190/) | Wireshark | ❌ Webshell 通过 Linux 浏览器访问 | [E6](https://github.com/Paulcyber06/E6-Wireshark-Post-Exploitation) | [](https://attack.mitre.org) *来源：[MITRE ATT&CK® Matrix for Enterprise](https://attack.mitre.org)* ## 4. ATT&CK 技术细节 ### [T1566](https://attack.mitre.org/techniques/T1566/) — Phishing **剧集 1** — 攻击者了解到 Buttercup Games 使用 **Proton for Business** 后，伪造了 Proton 身份，试图通过托管在 `vercel.app` 上的虚假登录页面窃取员工的凭据。 | 指标 | 值 | |-----------|--------| | SPF | ❌ 失败 | | DMARC | ❌ 失败 | | DKIM | ⚠️ 通过 — 由 `bttlazer[.]org` 签名（攻击者域） | | 结果 | ❌ 失败 — 员工未中招 | ### [T1083](https://attack.mitre.org/techniques/T1083/) — File and Directory Discovery **剧集 2 & 3** — IP `87.194.216.51` 在 **7 天** 的时间里主动探测 Web 服务器以寻找敏感文件。 | 指标 | 值 | |-----------|--------| | 主要目标 | `/passwords.pdf` — 尝试了 3 次 | | 技术 | Slow and low — 低频率以躲避检测 | | 双重活动 | 894 次合法访问与侦察尝试同时发生 | | 结果 | ❌ 失败 — 未找到文件 | ### [T1110](https://attack.mitre.org/techniques/T1110/) — Brute Force **剧集 5** — 由于未找到 `/passwords.pdf`，攻击者对 `jenny` 账户发起了 FTP 暴力破解攻击。 [](https://attack.mitre.org/techniques/T1110/) | 指标 | 值 | |-----------|--------| | 日期 | 2021-02-01 23:26:22 | | 找到的凭据 | jenny / password123 | | 可能的字典 | rockyou.txt | | 结果 | ❌ 攻破成功 | ### [T1078](https://attack.mitre.org/techniques/T1078/) — Valid Accounts **剧集 5** — 找到凭据后，攻击者在 **23:26:31** 使用 `jenny` 账户登录了 FTP 服务器。 ### [T1505.003](https://attack.mitre.org/techniques/T1505/003/) — Web Shell **剧集 6** — 在成功连接 FTP 后不到 15 秒内： [](https://attack.mitre.org/techniques/T1505/003/) | 时间 | 操作 | |-------|--------| | 23:26:31 | FTP 成功连接 | | 23:26:33 | 识别目录：`/var/www/html` | | 23:26:39 | 上传：`shell.php` | | 23:26:41 | `CHMOD 777 shell.php` — 赋予执行权限 | | 23:26:58 | 通过浏览器访问 webshell | ### [T1190](https://attack.mitre.org/techniques/T1190/) — Exploit Public-Facing Application **剧集 6** — 确认访问 webshell： ``` GET /shell.php HTTP/1.1 Host: 192.168.0.115 User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:78.0) Firefox/78.0 ``` | 指标 | 值 | |-----------|--------| | 受害服务器 IP | 192.168.0.115 | | 攻击者 OS | Linux x86_64 | | 浏览器 | Firefox 78.0 | ## 5. 调查盲点 作为 SOC L1 分析师，某些问题目前仍无答案，需要 N2 团队进行深入调查： | 问题 | 假设 | 优先级 | |----------|-----------|---------| | 攻击者是如何获得用户名 `jenny` 的？ | 前员工 / 内部消息 / 早期获取但未被检测到的文档 | 🔴 关键 | | IP `87.194.216.51` 和 FTP 攻击者是同一个人吗？ | 作案手法相似 — 严谨且执着 | 🟡 待确认 | | webshell 在首次访问后是否被使用过？ | 未确定 — 需要分析 Web 服务器日志 | 🔴 关键 | | 是否有其他账户被作为目标？ | 未确定 — 需要完整分析 2021-02-01 会话的 FTP 日志 | 🟡 待核实 | ## 6. 升级报告 — 提交给 N2 团队的要素 ### 🔴 需要立即采取的行动 - 从服务器上删除 `/var/www/html/shell.php` - 禁用 `jenny` 账户并强制重置密码 - 在防火墙层面封锁 IP `192.168.0.115` 和 `87.194.216.51` - 在调查期间隔离受害服务器 ### 📋 收集的证据 | 要素 | 来源 | 剧集 | |---------|--------|---------| | 钓鱼邮件 + IOCs | 邮件分析 | E1 | | 可疑 IP `87.194.216.51` | Splunk 日志 | E2/E3 | | 活动 SOC 仪表板 | Splunk | E4 | | 被攻破的凭据 jenny/password123 | Wireshark 抓包 | E5 | | 位于 /var/www/html 的 webshell shell.php | Wireshark 抓包 | E6 | | 攻击者 OS：Linux x86_64，Firefox 78.0 | Wireshark 抓包 | E6 | | 攻破时间：2021-02-01 23:26:31 | Wireshark 抓包 | E5/E6 | ### 🔍 要求 N2 团队进行的补充调查 - 分析 Apache 日志以检测首次之后对 `shell.php` 的任何访问 - 检查 FTP 日志以识别其他暴力破解尝试 - 将 IP `87.194.216.51` 与 FTP 攻击的源 IP 进行关联 - 调查用户名 `jenny` 的来源 ## 7. 结论 本次调查展示了一场分为 **三个不同阶段** 的攻击： 1. **社会工程学访问尝试** (E1) — Proton 钓鱼 → ❌ 失败 2. **侦察与绘制网络拓扑** (E2/E3/E4) — IP 寻找 `/passwords.pdf` → ❌ 失败 3. **通过暴力破解直接访问** (E5/E6) — FTP 暴力破解 → ✅ 在 32 秒内完全攻破 **本次调查表明：** 一个意志坚定的攻击者不会因为第一次失败而停下脚步。他会不断调整策略，直到找到薄弱环节——在这里，是一个未加密协议 (FTP) 上的弱密码。 **SOC 已采取的措施：** - 自动化监控仪表板 (E4) - 针对可疑行为的实时告警 - 用于 N2 升级的完整文档 ## 📁 复现此分析 本报告基于剧集 E1 至 E6 的调查。 所有源文件均可在各自的文章中找到： - **E1** — 真实钓鱼邮件（出于保密原因不予分发） - **E2/E3/E4** — [tutorialdata.zip Splunk](https://docs.splunk.com/images/Tutorial/tutorialdata.zip) - **E5/E6** — [TryHackMe — room h4cked](https://tryhackme.com/room/h4cked) *© Paulcyber06 — 保留所有权利。*

标签：ATT&CK框架, FTP协议, PoC, Webshell, Wireshark, 句柄查看, 安全告警, 安全运营中心, 密码管理, 库, 应急响应, 攻击链分析, 数字取证, 数据展示, 暴力破解, 案例分析, 漏洞修复, 红队, 网络安全, 网络安全培训, 网络攻防, 网络映射, 自动化脚本, 隐私保护