chouaibtogola/Eviction-APT28-Threat-Hunting-SOC-Investigation-Lab
GitHub: chouaibtogola/Eviction-APT28-Threat-Hunting-SOC-Investigation-Lab
基于MITRE ATT&CK框架的APT28威胁狩猎与SOC调查实验,通过模拟企业入侵场景完整展示了蓝队从情报接收、TTP映射到杀伤链各阶段狩猎分析的实战流程。
Stars: 0 | Forks: 0
# Eviction-APT28-威胁狩猎-SOC-调查实验室
专注于使用 MITRE ATT&CK 框架分析 APT28 对手行为的威胁狩猎与 SOC 调查实验室。
图片来源: https://www.crowdstrike.com/content/dam/crowdstrike/www/en-us/wp/2016/09/FancyBearBlog-1.jpg
# 概述
本项目记录了我完成“Eviction”实验室的过程,在实验室中,我基于与 APT28 威胁组织相关的情报,执行了威胁狩猎和 SOC 分析活动。
该实验室的重点是使用 MITRE ATT&CK 框架识别对手的战术、技术和程序 (TTPs),并了解攻击者如何通过网络杀伤链 的不同阶段进行攻击。
在整个调查过程中,我分析了高级威胁行为者使用的持久化机制、执行技术、横向移动活动、发现行动以及潜在的数据窃取方法。
本项目展示了以下实际的蓝队能力:
威胁狩猎
MITRE ATT&CK 分析
SOC 调查工作流
检测工程概念
对手行为分析
事件响应思维
# 我们面临的问题如下:
Sunny 是 E-corp 的一名 SOC 分析师,该公司为政府和非政府客户制造稀土金属。她收到一份机密情报报告,通知她某个 APT 组织 (APT28) 可能正试图攻击类似 E-corp 的组织。为了应对这一情报,她必须使用 MITRE ATT&CK Navigator 来识别该 APT 组织使用的 TTPs,以确保其尚未潜入网络;如果已经潜入,则要阻止其进一步行动。
我们拥有这个关于 APT28 的 MITRE ATT&CK 框架数据库
## 1) APT 用于同时执行侦察和获取初始访问权限的技术是什么?
从框架中,我们可以看到他们使用了鱼叉式钓鱼链接
## 2) Sunny 发现该 APT 可能已经从侦察阶段向前推进了。APT 在开发资源期间可能会入侵哪些账户?
在这里,APT 组织很可能会入侵电子邮件账户
## 3) E-corp 发现该 APT 可能已经利用社会工程学获取了初始访问权限,诱使用户为威胁行为者执行代码。Sunny 想确认该 APT 是否也成功实现了执行。Sunny 应该防范哪两种用户执行技术?
针对这个问题,如果我们查看用户执行,最好是防范恶意文件和恶意链接
## 4) 如果上述技术成功执行,Sunny 应该搜索哪些脚本解释器来识别成功的执行?
最好检查 powershell 和 windows command shell
## 5) 在查看问题 4 中识别出的脚本解释器时,Sunny 发现了一些更改了注册表的混淆脚本。假设这些更改是为了维持持久化,Sunny 应该观察哪些注册表键来跟踪这些更改?
最好使用注册表运行键,它们被设置为在登录时自动运行
## 6) Sunny 发现该 APT 执行系统二进制文件以逃避防御。Sunny 应该审查哪个系统二进制文件的执行情况以排查代理执行?
这里是 rundll32
## 7) Sunny 在其中一台受感染的主机上发现了 tcpdump。假设这是由威胁行为者放置的,APT 在这里可能使用哪种技术进行发现?
从框架来看,最合适的选项是网络嗅探
## 8) 看来该 APT 通过利用远程服务实现了横向移动。Sunny 应该观察哪些远程服务以识别 APT 活动痕迹?
我们知道 smb/远程管理共享 是正确的选项,因为它允许管理员在内部网络上远程控制主机
## 9) 看来该 APT 的主要目标是从 E-corp 的信息存储库中窃取知识产权。哪个信息存储库可能是 APT 的攻击目标?
sharepoint,因为它被组织用来共享文档和信息
## 10) 尽管该 APT 已经收集了数据,但它无法连接到 C2 进行数据窃取。为了挫败其任何此类企图,APT 可能会使用哪种类型的代理?
如果攻击者足够狡猾,他们会使用:外部代理或多跳代理
# 现在我们已完成了
图片来源: https://www.crowdstrike.com/content/dam/crowdstrike/www/en-us/wp/2016/09/FancyBearBlog-1.jpg
# 概述
本项目记录了我完成“Eviction”实验室的过程,在实验室中,我基于与 APT28 威胁组织相关的情报,执行了威胁狩猎和 SOC 分析活动。
该实验室的重点是使用 MITRE ATT&CK 框架识别对手的战术、技术和程序 (TTPs),并了解攻击者如何通过网络杀伤链 的不同阶段进行攻击。
在整个调查过程中,我分析了高级威胁行为者使用的持久化机制、执行技术、横向移动活动、发现行动以及潜在的数据窃取方法。
本项目展示了以下实际的蓝队能力:
威胁狩猎
MITRE ATT&CK 分析
SOC 调查工作流
检测工程概念
对手行为分析
事件响应思维
# 我们面临的问题如下:
Sunny 是 E-corp 的一名 SOC 分析师,该公司为政府和非政府客户制造稀土金属。她收到一份机密情报报告,通知她某个 APT 组织 (APT28) 可能正试图攻击类似 E-corp 的组织。为了应对这一情报,她必须使用 MITRE ATT&CK Navigator 来识别该 APT 组织使用的 TTPs,以确保其尚未潜入网络;如果已经潜入,则要阻止其进一步行动。
我们拥有这个关于 APT28 的 MITRE ATT&CK 框架数据库
## 1) APT 用于同时执行侦察和获取初始访问权限的技术是什么?
从框架中,我们可以看到他们使用了鱼叉式钓鱼链接
## 2) Sunny 发现该 APT 可能已经从侦察阶段向前推进了。APT 在开发资源期间可能会入侵哪些账户?
在这里,APT 组织很可能会入侵电子邮件账户
## 3) E-corp 发现该 APT 可能已经利用社会工程学获取了初始访问权限,诱使用户为威胁行为者执行代码。Sunny 想确认该 APT 是否也成功实现了执行。Sunny 应该防范哪两种用户执行技术?
针对这个问题,如果我们查看用户执行,最好是防范恶意文件和恶意链接
## 4) 如果上述技术成功执行,Sunny 应该搜索哪些脚本解释器来识别成功的执行?
最好检查 powershell 和 windows command shell
## 5) 在查看问题 4 中识别出的脚本解释器时,Sunny 发现了一些更改了注册表的混淆脚本。假设这些更改是为了维持持久化,Sunny 应该观察哪些注册表键来跟踪这些更改?
最好使用注册表运行键,它们被设置为在登录时自动运行
## 6) Sunny 发现该 APT 执行系统二进制文件以逃避防御。Sunny 应该审查哪个系统二进制文件的执行情况以排查代理执行?
这里是 rundll32
## 7) Sunny 在其中一台受感染的主机上发现了 tcpdump。假设这是由威胁行为者放置的,APT 在这里可能使用哪种技术进行发现?
从框架来看,最合适的选项是网络嗅探
## 8) 看来该 APT 通过利用远程服务实现了横向移动。Sunny 应该观察哪些远程服务以识别 APT 活动痕迹?
我们知道 smb/远程管理共享 是正确的选项,因为它允许管理员在内部网络上远程控制主机
## 9) 看来该 APT 的主要目标是从 E-corp 的信息存储库中窃取知识产权。哪个信息存储库可能是 APT 的攻击目标?
sharepoint,因为它被组织用来共享文档和信息
## 10) 尽管该 APT 已经收集了数据,但它无法连接到 C2 进行数据窃取。为了挫败其任何此类企图,APT 可能会使用哪种类型的代理?
如果攻击者足够狡猾,他们会使用:外部代理或多跳代理
# 现在我们已完成了标签:AI合规, APT28, ATT&CK Navigator, Fancy Bear, IP 地址批量处理, MITRE ATT&CK框架, PE 加载器, SOC分析师, SOC调查, Sofacy, TTP分析, 子域名变形, 安全运营, 对手行为分析, 扫描框架, 持久化机制, 插件系统, 数据包嗅探, 数据窃取, 横向移动, 管理员页面发现, 编程规范, 网络安全实验, 网络安全审计, 网络杀伤链, 防御分析, 高级持续性威胁