Chrisstoute/Ghost-in-the-Stack
GitHub: Chrisstoute/Ghost-in-the-Stack
一个基于Microsoft Sentinel与KQL的高级Linux威胁猎捕实战项目,旨在通过多源日志分析重建完整攻击链并制定响应策略。
Stars: 1 | Forks: 0
栈中幽灵 — 高级威胁猎捕
🛡️ 网络靶场场景致谢 🛡️此威胁猎捕场景由 The Cyber Range 的 CEO Josh Madakor 提供。
|
🏆 挑战完成情况
完成了 "栈中幽灵" 威胁猎捕的所有 41 个标志,并在 45 名猎手中排名第 7。
此威胁猎捕要求在 Linux 认证日志、进程遥测、文件遥测、Shell 历史记录、网络活动、持久化机制、Sigma 风格检测工程以及实时威胁遏制规划方面进行全链调查。
## 概述 **栈中幽灵** 是一项高级威胁猎捕和事件响应调查,旨在重建针对 `GF-DEV01` 的多阶段 Linux 入侵。 调查跟踪了攻击者在认证日志、进程遥测、文件遥测、Linux Shell 历史记录、网络事件、持久化产物和服务状态证据中的活动。目标是识别操作者从初始访问到植入物部署、持久化、横向移动准备、载荷暂存以及实时威胁遏制规划的路径。 本项目展示了使用 KQL、时间线重建、证据验证、检测工程和事件响应决策的实际 SOC 和威胁猎捕技能。 ## 调查重点 本次猎捕集中解答以下问题: - 哪个账户被入侵? - 植入物是如何下载和启动的? - 哪个进程链确认了植入物的执行路径? - 创建了哪些持久化机制? - 植入物与哪些工具和监控键进行了交互? - 操作者使用了哪些基础设施? - 哪些产物需要遏制和清理? - 未来可以用什么检测逻辑来识别这种行为? - 轮班结束时主机上还存在什么实时威胁状态? ## 工具与数据源 | 类别 | 工具 / 表格 | |---|---| | SIEM / 猎捕 | Microsoft Sentinel, Defender 高级搜寻 | | 查询语言 | KQL | | 主机遥测 | LinuxProcess_CL, LinuxFile_CL, LinuxAuth_CL, LinuxNetwork_CL, LinuxShellHistory_CL | | 调查产物 | 进程遥测、文件事件、Shell 历史记录、认证日志、网络事件 | | 检测工程 | Sigma 风格规则设计 | | 事件响应 | 遏制范围界定、产物清理规划、实时威胁简报 | ## 文档 | 文档 | 描述 | |---|---| | [完整演练](docs/walkthrough.md) | 分步调查流程、证据透视、证据与结论 | | [发现摘要](docs/findings-summary.md) | 主要发现和支持证据的执行摘要 | | [经验教训](docs/lessons-learned.md) | 来自猎捕和响应过程的关键要点 | ## 关键发现 ### 受感染主机 受影响的 Linux 主机是: ``` GF-DEV01 ``` ### 被入侵/滥用的用户上下文 调查确定了在后期入侵阶段涉及 `sancadmin` 账户的攻击者活动。 ### 植入物执行 植入物以以下方式启动: ``` /tmp/helix-update ``` 经过验证的进程关系显示植入物运行时具有: ``` PID: 34616 PPID: 1 ``` 这支持植入物从原始 Shell 分离并成为独立长期运行进程的观点。 ### 外部访问 `sancadmin` 的首次外部 SSH 活动来自: ``` 194.36.110.139 ``` ### 驻留时间 从植入物分离到首次外部 `sancadmin` SSH 的计算驻留时间为: ``` 104 minutes ``` ### 网络/基础设施发现 `install.sh` 下载活动显示 curl 流量指向: ``` 104.21.57.185:443 ``` 开源情报富集显示,该目的地与 Cloudflare 基础设施相关,这支持了直接封锁该 IP 存在风险的发现,因为对手隐藏在前端 CDN 基础设施后面。 ### 监控列表/IOC 发现 后期会话操作者探测识别出基础设施 IOC: ``` 194.36.110.139:9080 ``` ## 检测工程 针对植入物启动模式的 Sigma 风格检测标题: ``` sliver implant launched via systemd ``` 匹配的 Linux 日志源服务基于通过内核监控键捕获的系统调用级别执行遥测。 ## 实时威胁简报 轮班结束时,实时威胁状态分三层进行了总结: ``` authorized_keys:persistent, helix-sync.service:dormant, helix-update:running ``` 这将剩余的产物分离为: - **文件遥测:** 持久化 SSH 密钥材料 - **服务状态:** 休眠的 systemd 服务产物 - **进程遥测:** 正在运行的植入物进程 ## 仓库结构 ``` Ghost-in-the-Stack/ │ ├── README.md ├── Walkthrough.md │ ├── docs/ │ ├── walkthrough.md │ ├── findings-summary.md │ └── lessons-learned.md │ ├── queries/ │ ├── reports/ │ └── Screenshots/ ├── 1_Linux_Authentication_Table.jpg ├── 2_Implant_Download_Defender_Process_Tree_pt_1.jpg ├── 3_Defender_Process_Tree_Partial_Installer_Actions_pt_1.jpg ├── 4_PID_Chain_Query_Broad_Filter_pt_1 (1).jpg ├── 7_Helix_Update_PID_PPID_Validation.jpg ├── 26_Dwell_Time_104_Minutes_Calculation.jpg ├── 28_DEV01_Containment_Cleanup_Paths.jpg ├── 29_InstallSH_Curl_To_Cloudflare_Fronted_IP.jpg ├── 30_Late_Session_C2_Watchlist_IOC.jpg ├── 41_Process_Telemetry_Helix_Update_Running_pt_1.jpg ├── 41_Service_Persistence_Helix_Sync_Service_pt_2.jpg └── 41_File_Telemetry_Hbsync_Dormant_pt_3.jpg ``` ## 截图 ### 植入物 PID/PPID 验证  ### 驻留时间计算  ### 遏制清理路径  ### 安装脚本 Cloudflare 前端目的地  ### 后期会话 IOC 提取  ### 实时威胁简报证据    ## 展示技能 - 高级 KQL 猎捕 - 进程链重建 - Linux 认证分析 - Linux Shell 历史记录分析 - 文件遥测调查 - 网络遥测富集 - 基于开源情报的基础设施分析 - IOC 提取 - 检测工程 - Sigma 风格规则命名 - 事件响应遏制范围界定 - 基于证据的报告 - 实时威胁简报 ## 经验教训 本次调查强化了跨多个遥测源验证发现的重要性。单一表格很少能讲述完整的故事。最有力的结论来自于关联进程事件、Shell 历史记录、文件创建事件、服务活动、认证日志和网络遥测。 它还突显了基础设施富集为何重要。某些目的地可能解析为合法共享服务或 CDN 提供商,这意味着在网络边界封锁 IP 可能带来运营风险,却无法真正阻止对手。 ## 最终总结 "栈中幽灵" 调查识别了一个活跃的 Linux 植入物,验证了其进程谱系,重建了攻击者行为,提取了 IOC,界定了持久化范围,并产出了以遏制为重点的发现。本次猎捕从原始遥测推进到了可操作的事件响应决策和检测工程建议。