khaledmedz/Defender-XDR-Hunting-NorthKorean-Threat-Actors

# Defender XDR 追踪朝鲜威胁行为者 **使用 Microsoft Defender XDR 揭露国家级攻击** 使用 Microsoft Defender XDR Advanced Hunting 对 **Moonstone Sleet**（关联朝鲜）和 **Crimson Sandstorm** 进行全面调查和归因。 ## 概述 TitanShield 是一家国防承包商，正在运行一个名为 **Project Omega** 的机密项目。本案例记录了对多阶段入侵的全面调查——从 LinkedIn 侦察到钓鱼邮件投递、恶意软件执行、跨 15 台主机 的横向移动，以及确认的数据外发。 ## 攻击摘要 | 阶段 | 发生情况 | |--------------------|---------------| | 侦察 | 威胁行为者 IP 从 7 月 5 日起对公司进行扫描——通过 LinkedIn 定位员工 | | 初始访问 | 包含恶意 Excel 文件的钓鱼邮件发送给国防工程师 | | 执行 | 宏释放了恶意 DLL | | 发现 | 39 条侦察命令记录系统信息 | | 横向移动 | 在 **15 台不同的主机**上发现了相同的模式 | | 收集 | Project Omega 文件被汇集并压缩 | | 外发 | 数据通过 FTP 发送到外部服务器 | | 第二向量 | 通过虚假坦克游戏的独立 Moonstone Sleet 活动 | ## 展示的关键 KQL 技术 - 跨 `Email` 和 `Employees` 表使用 `join kind=inner` 将钓鱼目标映射到职位 - 使用 `let` 变量 + `in` 操作符通过 Passive DNS 进行域名到 IP 的追踪 - 使用 `has_all()` 指纹识别特定的攻击者命令模式 - 使用 `parse_url().Host` 进行域名提取和威胁情报查询 - 使用 `order by timestamp` 重构时间线 ## 威胁行为者归因 **Moonstone Sleet** - 关联到：`detankwar[.]com`，恶意 DLL（`NVUnityPlugin.dll`） - 向量：通过钓鱼分发虚假坦克游戏 - 归因通过 Defender XDR Threat Intelligence 确认 **Crimson Sandstorm (Curium)** - 使用了来自 `marcella_flores[.]gmail[.]com` 的钓鱼邮件 - 基础设施：IP `208.199.30.154` 和 `202.241.233.180` - 外发数据发送至：`exfilbucket93[.]gmail[.]com` - 归因通过 Passive DNS + Defender Threat Intelligence 确认 调查演练 **00. Moonstone Sleet 行为者档案**  **1. Moonstone Sleet 威胁情报归因**  **2. FTP 外发命令——铁证**  **3. 跨 15 台主机的横向移动**  **4. 对国防工程师的精准定位**  **5. Passive DNS 追踪——解析攻击者 IP**  **6. 完整的 Kill Chain 时间线重构**  **7. 内部侦察与 LinkedIn 活动**  **8. 行为者使用的 C2 域名**  ## 展示的技能 `KQL Advanced Hunting` · `Microsoft Defender XDR` · `Threat Intelligence` · `Passive DNS` · `Kill Chain Analysis` · `Threat Actor Attribution` · `Incident Investigation` ## 平台 [KC7 Cyber](https://kc7cyber[.]com) — Titan Shield 模块（由 Microsoft 赞助） *此调查是在 KC7 Cyber 平台的模拟环境中进行的。未访问任何真实系统。* **作者**：Mohamed Khaled **日期**：2026 年 2 月

标签：APT追踪, Go语言工具, HTTP工具, KQL, Microsoft Defender XDR, PE 加载器, 威胁情报, 安全事件调查, 开发者工具, 高级威胁狩猎