ShacharLF/SQLateral-Movement---Logs-Research-Challenge

# SQLateral-Movement---日志研究挑战 一个蓝队检测工程数据集，记录了 Active Directory 域环境内无文件型身份滥用攻击链（WMI、Kerberoasting、白银票据和 DCSync）。数据格式为 JSON，适用于 Splunk 导入和训练（也可用作 CTF）。 SQLateral Movement - 检测工程实验室数据与攻击流程 该仓库包含一组自定义生成的 Windows 事件查看器与 Sysmon 日志（JSON 格式），完整记录了 Active Directory 域环境中多阶段身份型与横向移动攻击生命周期。 该仓库专为原始实验室基础设施设计。讲师、安全运营中心管理人员及培训负责人可将这些日志导入自己的 Splunk 实例，从而构建定制化的威胁狩猎挑战、CTF 或技术面试评估。 ## 场景背景 攻击者将一台非域加入的恶意设备直接接入物理网络端口。凭借已泄露的域凭据（`HOSHEN\eliyanko`），攻击者从终端设备发起无文件型攻击链，利用 Kerberos 漏洞，转向生产环境 SQL 数据库基础设施，最终尝试实现域级接管。 ## 基础设施与导入 1. 原始遥测数据以 JSON 格式存储在 `logs/` 目录下。 2. 在 Splunk 实例中创建专用索引（例如 `index=sql_lateral`）。 3. 导入 JSON 文件，正确提取时间戳，并将 sourcetype 设置为 `_json`。 ## 按时间顺序的攻击流程与遥测映射 请使用以下详细分解来理解事件序列，并据此设计自己的问题与查询： ### 阶段 1：初始远程访问（Living off the Land） * **行为：** 攻击者利用 RPC/WMI 从非域设备（`192.101.10.1`）向域内工作站（`SHACHCHE-014` / `192.101.20.3`）远程执行命令，使用被泄露的凭据 `HOSHEN\eliyanko`。 * **遥测证据：** 查找事件 ID 4624（网络登录，登录类型 3）以及由 WMI 服务（例如 `wmiprvse.exe` 启动 `cmd.exe` 或 `powershell.exe`）生成的父-子进程关系可疑行为。 ### 阶段 2：身份滥用与凭据窃取（Kerberoasting） * **行为：** 进入域内工作站后，攻击者执行 Kerberoasting 攻击，请求高价值服务账户的 TGS（服务票据授予服务）票据，以便离线破解其哈希值。 * **遥测证据：** 查找 Active Directory 服务票据请求事件（事件 ID 4769），特别是使用弱加密类型（RC4 / 0x17）或单个主机产生异常数量的请求。 ### 阶段 3：权限提升与数据库横向移动（白银票据） * **行为：** 攻击者为 SQL Server 服务账户伪造白银票据，绕过传统身份验证边界，直接在数据库管理系统内提升权限。 * **遥测证据：** 查找对 SQL 服务器的异常事件 ID 4624（成功登录），其中的目标服务名称或伪造票据签名与之前的 TGT 请求（事件 ID 4768）不匹配。 ### 阶段 4：远程执行与持久化 * **行为：** 攻击者利用提升的数据库权限或管理权限创建远程计划任务/WMI 订阅，以在关键域基础设施上维持持久化控制。 * **遥测证据：** 查找计划任务创建/修改日志（事件 ID 4698）或 Sysmon 事件 ID 19、20、21（WMI 事件消费者/筛选器）。 ### 阶段 5：域失陷（DCSync） * **行为：** 最终目标——攻击者对域控制器执行 DCSync 攻击，模拟目录复制请求，提取高关键性 `KRBTGT` 账户的 NTLM 哈希，以建立“最终阶段”域持久化。 * **遥测证据：** 查找域控制器上的目录服务访问事件（事件 ID 4662），特别请求复制权限（`DS-Replication-Get-Changes-All`），且请求方为非域控制器计算机账户。 ## 给讲师的建议使用场景 * **安全运营中心挑战：** 将日志导入 Splunk 后，向分析师提供数据，并根据攻击流程设计他们需要通过日志研究回答的问题。

标签：Active Directory, DCSync, Homebrew安装, JSON格式, Kerberoasting, Plaso, SQL服务器, Sysmon, Windows事件日志, WMI, 代理, 域环境, 培训, 安全运营中心, 攻击链, 无文件攻击, 横向移动, 横向移动挑战, 白银票据, 管理员页面发现, 编程规范, 网络映射, 认证滥用, 身份滥用, 面试评估