ShacharLF/Multi-Stage-Memory-Poisoning---Logs-Research-Challenge

# 多阶段内存投毒——日志研究挑战 一个专注于内核级绕过与无文件内存植入的高级威胁狩猎数据集。模拟了 BYOVD 攻击、解除 LSASS PPL 保护，以及导致系统崩溃（蓝屏）的多阶段 DLL 注入。数据格式为 JSON，适用于 Splunk。 # 静默多阶段内存投毒 — 检测工程实验数据 本仓库包含一组高难度的 Windows 安全日志与 Sysmon 日志（JSON 格式），记录了高级恶意软件生命周期的完整过程，涵盖内核级安全绕过与内存注入技术。 该数据集可作为高级 DFIR（数字取证与事件响应）及威胁狩猎实训实验室的完整蓝图。讲师可将这些日志导入 Splunk，以测试分析人员对内存取证遥测及高级规避技术的掌握能力。 ## 场景背景 一台关键工作站（`Eligoat_comp`）上的本地管理员，被社会工程诱导执行了本地目录中一个名为 `WORD.EXE` 的恶意文件，误以为是合法软件安装程序，从而绕过了企业安全防护措施。 攻击者的真实目标是利用仅存在于内存中的植入体，实施长期、隐蔽的情报收集。但由于执行对齐错误或内存冲突，攻击触发了严重的系统不稳定——导致 `LSASS.exe` 崩溃，引发蓝屏死机（BSOD），留下了大量的端点遥测痕迹。 ## 基础设施与数据接入 1. 原始遥测数据以 JSON 格式存储在 `logs/` 目录下。 2. 将数据导入专用的 Splunk 索引（例如 `index=memory_poisoning`）。 3. 确保时间戳正确解析，因为内存注入阶段会包含多个快速连续的事件。 ## 按时间顺序的攻击流程与遥测映射 讲师可根据以下时间线追溯并验证攻击流程（建议查看 PDF 文档以获取完整流程，并了解研究人员需要从海量数据中筛选出哪些日志，以在 Splunk 中构建攻击流程与时间线）： ### 阶段 1：释放器与初始执行 * **行为：** 用户在本地管理员上下文中执行了 `WORD.EXE`。该文件是一个多阶段释放器，旨在初始执行后主要在内存中运行。 * **遥测证据：** 进程创建日志（Sysmon 事件 ID 1 / 安全事件 ID 4688），记录 `WORD.EXE` 的执行情况及其异常的父进程树。 ### 阶段 2：BYOVD（自带易受攻击驱动程序）内核绕过 * **行为：** 为了绕过现代端点防护和操作系统内核边界，释放器释放并加载了一个经过合法签名但已知存在漏洞的第三方驱动程序。这使攻击者获得了对内核内存空间的读写访问权限。 * **遥测证据：** 寻找指向异常或不对齐的内核驱动程序文件名/路径的驱动程序加载事件（Sysmon 事件 ID 6），以及服务安装日志（事件 ID 7045）。 ### 阶段 3：禁用 Windows PPL（进程保护轻量级） * **行为：** 利用易受攻击驱动程序授予的内核级写入能力，攻击者针对内存中的 `LSASS.exe` 进程对象，修改其保护标志以解除其 PPL（进程保护轻量级）状态。 * **遥测证据：** 尽管更改发生在内存中，但应寻找后续目标为 `LSASS.exe` 的高度异常的进程访问事件（Sysmon 事件 ID 10），其中包含通常当 PPL 激活时会被阻止的广泛 GrantedAccess 权限（例如 `0x1F0FFF`）。 ### 阶段 4：多阶段内存注入（投毒） * **行为：** 进程保护被解除后，攻击者执行复杂的多阶段 DLL 注入，直接将代码注入到一个选定的干净/受保护进程的内存空间中，安装一个持久化的、无文件的内存植入体。 * **遥测证据：** 寻找 Sysmon 事件 ID 8（CreateRemoteThread）或 Sysmon 事件 ID 10，指示从释放器到目标系统进程的注入/跨进程操作。 ### 阶段 5：检测触发（LSASS 崩溃与蓝屏） * **行为：** 内存操作或 API 挂钩导致 LSASS 内存空间发生严重违规。进程恐慌并崩溃，迫使 Windows 发起内核恐慌（蓝屏）并重启。 * **遥测证据：** 寻找 Windows 错误报告日志、应用程序崩溃事件（事件 ID 1000），或服务控制管理器警报表明 LSASS 意外终止（事件 ID 7031），随后出现遥测数据突然中断，表示系统重启。 ## 讲师建议的使用场景（将日志导入 Splunk 并围绕其设计问题后） * **高级狩猎：** 挑战高级分析师，要求他们在未看到传统凭据转储工具（如 Mimikatz）出现在磁盘上的情况下，识别出解除 LSASS 保护的确切机制。 * **根因分析实验：** 训练响应人员重建系统崩溃（蓝屏），并区分真正的系统故障与恶意的内核级利用尝试。

标签：BSOD, BurpSuite集成, BYOVD, DLL注入, Homebrew安装, JSON, LSASS PPL保护, SecList, SSH蜜罐, Sysmon, Web报告查看器, Windows安全日志, 代理, 内存取证, 内存植入, 内核级绕过, 协议分析, 威胁狩猎数据集, 安全运营, 恶意软件生命周期, 扫描框架, 拒绝服务, 攻击模拟, 数字取证与响应, 无文件攻击, 权限提升, 检测工程实验室, 流量审计, 端点检测与响应, 脱壳工具, 进程注入, 配置错误, 驱动签名利用