mtalha27709-coder/suspicious-powershell-activity-detection

# 可疑 PowerShell 活动检测 ## 概述 本项目演示了如何使用 Splunk 来识别通常与攻击者行为和后渗透技术相关的可疑 PowerShell 活动。 本次调查的重点是检测： * 编码的 PowerShell 命令 * 执行策略绕过尝试 * 隐藏的 PowerShell 执行 * Invoke-WebRequest 活动 * 潜在的 payload 下载 ## 目标 * 分析 PowerShell 执行日志 * 检测可疑的命令行模式 * 使用 Splunk SPL 进行威胁狩猎 * 开发安全监控检测规则 * 将发现映射到 MITRE ATT&CK ## 使用的工具 * Splunk Enterprise * CSV 数据集 * Windows PowerShell 日志 * MITRE ATT&CK 框架 ## 数据集字段 | 字段 | 描述 | | ----------- | -------------- | | timestamp | 事件时间 | | host | 主机名 | | user | 用户账户 | | process | 进程名 | | commandline | 执行的命令 | ## 检测查询 ### 编码命令 ``` index=powershell commandline="*-enc*" ``` ### 执行策略绕过 ``` index=powershell commandline="*ExecutionPolicy Bypass*" ``` ### Web 请求活动 ``` index=powershell commandline="*Invoke-WebRequest*" ``` ### 隐藏的 PowerShell 执行 ``` index=powershell commandline="*Hidden*" ``` ### 威胁狩猎查询 ``` index=powershell (commandline="*-enc*" OR commandline="*Bypass*" OR commandline="*Invoke-WebRequest*" OR commandline="*DownloadString*" OR commandline="*Hidden*") | table _time host user commandline ``` ## 发现 * 检测到了编码的 PowerShell 命令。 * 观察到了执行策略绕过尝试。 * 识别出了隐藏的 PowerShell 执行。 * 存在 Web 请求活动。 * 多个可疑的命令行模式与常见的攻击者技术相匹配。 ## MITRE ATT&CK 映射 | 技术 | MITRE ID | | --------------------------------- | --------- | | PowerShell | T1059.001 | | 混淆文件或信息 | T1027 | | 命令和脚本解释器 | T1059 | | 削弱防御 | T1562 | ## 展示的技能 * 威胁狩猎 * Splunk SPL * PowerShell 分析 * 安全监控 * 检测工程 * MITRE ATT&CK 映射 * 事件调查 ## 截图 为以下内容添加截图： * 数据集创建 * Splunk 数据接入 * 编码命令检测 * 执行策略绕过检测 * 隐藏的 PowerShell 检测 * 威胁狩猎结果 * 告警配置 ## 作者 Muhammad Talha 网络安全学生 | 见习 SOC Analyst

标签：DNS 反向解析, IPv6, OpenCanary, PowerShell, URL发现, 安全检测, 网络信息收集, 网络安全, 隐私保护