Mohammed-11cyber/Sysmon-Threat-Hunting-Investigation

# Sysmon 威胁狩猎调查 主动威胁狩猎调查EDR绕过，使用Sysmon遥测来揭露Base64混淆的PowerShell有效载荷、schtasks持久性和无文件C2信标。 # 端点威胁狩猎：调查EDR绕过和无文件执行 ## 项目描述 本案例研究详细描述了一个由网络异常警告触发的主动威胁狩猎调查。一个警报标记了一个连接到已知的恶意外部IP地址，但自动化的端点检测和响应系统未能阻止或缓解该活动。在假设存在活生生的妥协的情况下，我分析了原始Sysmon事件日志来追踪初始入侵向量、识别持久机制、解码混淆的攻击有效载荷，并评估威胁行为者的最终目标。 ## 分析框架和关联遥测 * **Sysmon事件ID 3（网络连接）：** 用于隔离通过网络接口通信的确切进程。此分析确认PowerShell通过端口80向恶意目标IP 192.168.10.45发起出站连接。 * **Sysmon事件ID 1（进程创建）：** 分析用于寻找持久性指标。这揭示了未经授权部署的Windows任务计划程序二进制文件schtasks.exe，执行一个隐蔽的持久性循环。 ## 揭示的攻击链时间线 ### 1. 初始执行和规避 威胁行为者通过PowerShell使用高度混淆的Base64编码命令字符串启动执行。这种技术有效地隐藏了程序的真实意图，使标准基于签名的防病毒定义无法检测到，从而使进程在本地端点防御下完全不受阻碍地执行。 ### 2. 持久机制 为了确保在用户注销或重启后继续访问系统，对手使用本地任务计划程序建立了一个持久立足点。调查捕获了一个创建重复任务的命令，该任务以WindowsUpdateCheck的欺骗性名称运行。此任务被设计为每30分钟在公共用户目录深处静默执行一个隐藏的本地有效载荷Update.exe。 ### 3. 有效载荷去混淆和C2发现 混淆的PowerShell有效载荷被提取并在Linux终端环境中安全解码。解码后的命令暴露了一个活跃的摇篮，使用Net.WebClient类执行Invoke-Expression函数。该进程被映射，调用从攻击者的临时服务器直接拉取原始脚本文件shell.ps1。 ## 法医结论 调查证明端点遭受了已确认的无文件命令和控制入侵。由于二级阶段有效载荷直接从网络获取并编译到本地系统的活动内存上下文中，它不会在物理硬盘上留下任何即时痕迹。这强调了行为日志跟踪相对于基本自动扫描工具的至关重要性。 ## 完整威胁狩猎简报PDF 包括原始JSON日志片段、VS Code工作区配置和逐步Linux终端解码序列的完整法医文件已完全保存在此存储库中。 请直接从下面的文件资源管理器视图下载完整的PDF报告，以阅读完整的案例研究！

标签：AI合规, Subfinder