stephenraj-cybersec/Malware-Threat-Hunting-Reverse-Shell-Persistence-Investigation-using-Splunk-SIEM

# 使用Splunk SIEM进行恶意软件威胁狩猎、反向shell持久性调查 ## 概述 该项目模拟了一个受控实验室环境中的真实恶意软件入侵。目标是使用Splunk SIEM和Sysmon调查恶意软件执行、反向shell通信、命令行活动、基于注册表的持久性和攻击者行为。 ## 目标 * 检测恶意软件执行 * 调查反向shell活动 * 分析攻击者命令执行 * 识别注册表持久机制 * 使用VirusTotal进行IOC丰富 * 将观察到的行为映射到MITRE ATT&CK * 重构攻击时间线 ## 实验室环境 1)攻击者 * Kali Linux * Metasploit 框架 * Python HTTP 服务器 2)受害者 * Windows 10 * Sysmon * Splunk 通用转发器 3)监控 * Splunk 企业版 * Sysmon 事件日志 * VirusTotal * Jira 用于工单 ## 攻击场景 1. 攻击者使用msfvenom生成有效载荷。 2. 有效载荷托管在Python网络服务器上。 3. 受害者下载了Payload2026.exe。 4. 恶意软件执行建立了反向shell连接。 5. 攻击者在CMD中执行了侦察命令。 6. 创建了注册表运行键持久性。 7. 使用Splunk进行了SOC调查。 ## 攻击流程 受害者浏览器 ↓ 下载Payload2026.exe ↓ 执行Payload2026.exe ↓ 建立反向shell ↓ 命令执行 ↓ 注册表持久性 ↓ 威胁狩猎与调查 ## Splunk调查 1)恶意软件执行检测 * 进程创建分析 * 父子进程关系 * 命令行调查 2)网络调查 * 出站连接分析 * 反向shell识别 * 目标IP & 端口调查 3)持久性检测 * 注册表运行键监控 * Sysmon 事件ID 13分析 4)时间线重构 * 恶意软件下载 * 进程执行 * 反向shell活动 * 持久性创建 ## 仪表板概述 仪表板旨在支持威胁狩猎和调查。 ### 仪表板面板 * 可疑可执行文件 * 不寻常的网络连接 * 反向shell活动 * 父 → 子进程关系 * 注册表持久性事件 * 可疑命令行 ## 网络入侵指标（IOCs） 1)文件IOC * Payload2026.exe 2)哈希IOC * SHA256: E9EF013238495BFFCE7459E059BFFE340A0F08B439EC94E7D4436F4E13714ECD, 3)网络IOC * 攻击者IP: 192.168.1.104 * TCP端口: 1012 4)注册表IOC * • HKEY_CURRENT_User\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v Test12 ## VirusTotal丰富 使用VirusTotal分析了恶意软件文件，以验证声誉并识别其他威胁情报指标。 # 发现 * 多个杀毒软件检测 * 恶意软件分类 * 威胁情报丰富 ## MITRE ATT&CK映射 活动 | Mitre 技术ID Malware (Payload2026.exe) Download from attacker host | T1105 Reverse Shell connection established | T1059 cmd.exe spawned by Payload2026.exe | T1059.003 Registry persistence run key added | T1547.001 ## 关键发现 * 恶意软件在受害者主机上成功执行。 * 建立了反向shell通信。 * 执行了多个侦察命令。 * 识别了注册表持久性。 * Splunk遥测启用了完整的攻击时间线重构。 * IOC丰富提供了分析的其他上下文。 ## 展示的技能 * 威胁狩猎 * 恶意软件调查 * 事件响应 * Splunk SIEM * Sysmon 分析 * IOC丰富 * MITRE ATT&CK映射 * Windows 安全监控 * 工单 ## 使用的技术 * Splunk 企业版 * Sysmon * Windows 事件日志 * Metasploit * PowerShell * VirusTotal * Kali Linux * Windows 10 * Jira 工单 ## 结论 该项目演示了使用Splunk SIEM和Sysmon遥测进行恶意软件执行、反向shell活动、持久性检测、威胁狩猎、IOC丰富和攻击时间线重构的完整SOC调查工作流程。

标签：AI合规, 自定义DNS解析器