Suga-thamil/volt-typhoon-forensic-investigation

GitHub: Suga-thamil/volt-typhoon-forensic-investigation

模拟伏特台风入侵事件，利用Splunk进行取证调查。

Stars: 0 | Forks: 0

# 伏特台风取证调查威胁狩猎 • 事件响应 • Splunk 分析 • MITRE ATT&CK 映射 ## 概述本项目记录了使用 Splunk 对模拟伏特台风入侵进行的取证调查。目标是重建攻击者在网络杀伤链多个阶段的攻击活动，识别攻击者技术，并将观察到的行为映射到 MITRE ATT&CK 框架。调查涵盖了整个攻击生命周期，包括： * 初始访问 * 持久化 * 执行 * 凭据访问 * 发现 * 横向移动 * 收集 * 命令与控制 (C2) * 防御规避 * 清理本项目作为网络安全威胁狩猎和事件响应练习的一部分完成。 ## 使用工具 * Splunk * Windows 事件日志 * PowerShell * WMIC * certutil * netsh * wevtutil * CyberChef ## 展示技能 * Splunk 日志分析 * 威胁狩猎 * 事件响应 * 数字取证 * MITRE ATT&CK 映射 * Windows 事件日志分析 * PowerShell 调查 * 凭据盗窃检测 * IOC 识别 * 攻击时间线重建 * 对手行为分析 ## 调查总结调查揭示了一个与伏特台风操作公开关联的技术完全一致的攻击链。攻击者首先入侵了管理员账户，并通过创建新的特权账户建立了持久化。在攻击者使用 ntdsutil 提取 Active Directory 数据之前，进行了使用 WMIC 的侦察活动。通过部署 Web Shell 扩展了持久化，而通过针对 LSASS 内存转储的 Mimikatz 实现了凭据访问。攻击者后来横向移动，收集财务记录，建立命令与控制通信，并通过清除 Windows 事件日志来试图掩盖其踪迹。 ## 观察到的 MITRE ATT&CK 技术 | 技术 | MITRE ATT&CK ID | | ---------------------------------- | --------------- | | 有效账户 | T1078 | | 创建账户 | T1136 | | Windows 管理工具 | T1047 | | 凭据转储 | T1003 | | Web Shell | T1505.003 | | 主机上的指标清除 | T1070 | | 阶段化数据 | T1074 | | 代理 | T1090 | ## ATT&CK 覆盖范围 | 战术 | 技术 | |----------|----------| | 持久化 | 创建账户 | | 发现 | WMIC 枚举 | | 凭据访问 | 凭据转储 | | 收集 | 数据阶段化 | | 命令与控制 | 代理 | | 防御规避 | 指标清除 | ## 攻击时间线 1. 初始访问 2. 账户接管 3. 建立持久化 4. 侦察 5. 凭据访问 6. Web Shell 部署 7. 横向移动 8. 数据收集 9. 命令 & 控制 10. 防御规避 11. 清理 ## 关键发现 ### 初始访问 * 通过涉及 Dean 账户的未经授权的密码更改活动，发现了账户被入侵的证据。 ### 持久化 * 创建了一个恶意管理员账户（**voltyp-admin**）。 * 通过部署 ASPX Web Shell 维持长期访问。 ### 发现 * 使用 WMIC 在多个服务器上进行的基于环境的侦察。 ### 凭据访问 * 使用 **ntdsutil** 提取 Active Directory 数据。 * 通过对 LSASS 内存转储的 Mimikatz 执行进行凭据收集。 ### 防御规避 * 使用 **wevtutil** 删除 Windows 事件日志。 * 注册表清理以删除攻击者活动的痕迹。 ### 横向移动 * 将 Web Shell 转移到辅助服务器并重命名为 **AuditReport.jspx**。 ### 收集 * 为潜在的泄露准备了财务记录： * 2022.csv * 2023.csv * 2024.csv ## 截图 ### 初始访问 ![初始访问](https://raw.githubusercontent.com/Suga-thamil/volt-typhoon-forensic-investigation/main/screenshots/01-initial-access.png) ### 持久化 – 恶意管理员账户 ![持久化](https://raw.githubusercontent.com/Suga-thamil/volt-typhoon-forensic-investigation/main/screenshots/02-rogue-admin-account.png) ### 发现 – WMIC 侦察 ![WMIC](https://raw.githubusercontent.com/Suga-thamil/volt-typhoon-forensic-investigation/main/screenshots/03-wmic-reconnaissance.png) ### 凭据访问 – NTDS 提取 ![NTDS](https://raw.githubusercontent.com/Suga-thamil/volt-typhoon-forensic-investigation/main/screenshots/04-ntds-dump.png) ### 凭据盗窃 – Mimikatz ![Mimikatz](https://raw.githubusercontent.com/Suga-thamil/volt-typhoon-forensic-investigation/main/screenshots/05-mimikatz-download.png) ### Web Shell 部署 ![Webshell](https://raw.githubusercontent.com/Suga-thamil/volt-typhoon-forensic-investigation/main/screenshots/06-webshell-deployment.png) ### 防御规避 – 日志清除 ![Logs](https://raw.githubusercontent.com/Suga-thamil/volt-typhoon-forensic-investigation/main/screenshots/07-log-clearing.png) ### 横向移动 ![横向移动](https://raw.githubusercontent.com/Suga-thamil/volt-typhoon-forensic-investigation/main/screenshots/08-lateral-movement.png) ### 数据收集 ![Collection](https://raw.githubusercontent.com/Suga-thamil/volt-typhoon-forensic-investigation/main/screenshots/09-data-collection.png) ## 经验教训这项调查展示了高级威胁行为者如何使用合法的管理工具而不是传统的恶意软件进行操作。主要收获包括： * 行为分析对于检测高级威胁至关重要。 * 合法的 Windows 工具可能被滥用于恶意目的。 * 凭据盗窃仍然是攻击者最有效的目标之一。 * 日志分析和时间线重建是事件响应的基本技能。 * MITRE ATT&CK 映射为检测工程提供了有价值的背景。 ## 仓库结构 ``` volt-typhoon-forensic-investigation/ ├── screenshots/ ├── report/ ├── presentation/ └── README.md ``` ## 项目成果成功使用 Splunk 日志分析和取证调查技术重建了模拟伏特台风入侵的完整攻击生命周期。调查确定了攻击者的持久化机制、凭据盗窃活动、横向移动、数据收集、命令与控制通信和防御规避技术，并将发现映射到 MITRE ATT&CK 框架。 ## 可交付成果 - 调查报告（PDF） - 演示文稿（PPTX） - Splunk 调查截图 - MITRE ATT&CK 映射 - 攻击时间线重建 ## 作者 **Suganthi THAMILVANAN** 对威胁狩猎、数字取证、事件响应和 SOC 运营充满热情的网络安全学生。 GitHub: https://github.com/Suga-thamil ## 结论这项调查通过使用 Splunk 进行威胁狩猎、事件响应和取证分析提供了实践经验。通过重建攻击者时间线和将活动映射到 MITRE ATT&CK，该项目展示了高级威胁行为者如何利用合法的管理工具来规避检测并维持持久化。网络安全学生 | 威胁狩猎 | 数字取证 | SOC 分析本项目是为教育和作品集目的，作为网络安全威胁狩猎和事件响应练习的一部分而创建的。

标签：AI合规, 域环境安全