Halhebshi/Attack-Chain-Simulation

# 攻击链模拟 这是一个围绕一个简单理念构建的完整红蓝对抗演练：不仅是运行攻击，而是针对真实加固的端点运行攻击，并记录实际发生的一切，包括拦截情况。 大多数攻击链实验室都在没有任何保护措施的、用后即弃的干净 VM 上运行，这使得每个步骤都能成功，但其实际教学价值远低于表面看起来的那样。本实验在一个已经部署了 Microsoft Defender for Endpoint 并通过共同管理应用了安全基线的端点上，运行了相同的八阶段攻击链。攻击并未畅通无阻。Defender 实时捕获了阶段 2，并在其完成之前将其拦截，这是此处记录的真实结果，而不是为了规避而刻意设计的。 受害对象是 testuser1，一个标准的域账户。响应者是 Hussein，他在事后使用与 Tier 2 SOC 分析师在实时事件期间运行的相同 Microsoft Defender XDR 和 Sentinel 查询来调查此次攻击。 ## 环境 - Windows 11 受害端点，已加入 MDE，已注册 Intune，通过 SCCM 共同管理 - 位于同一子网的 Kali Linux 攻击者 VM - Windows Server 2022 域控制器 - 连接到 Defender XDR 的 Microsoft Sentinel - Microsoft 365 E5 租户 ## 构建内容 ### 攻击链 八个阶段，每个阶段都会在 EmailEvents、DeviceProcessEvents、DeviceNetworkEvents、SecurityEvent 和 ThreatIntelligenceIndicator 中生成真实的遥测数据： 1. 钓鱼邮件投递 2. Office 启动 PowerShell 3. 从攻击者主机下载 PowerShell payload 4. 反向 shell C2 连接 5. 滥用 LOLBin 进行防御规避（mshta、rundll32、certutil、wmic） 6. 通过本地 Administrators 组成员身份进行权限提升 7. 使用 WMI 进程创建进行横向移动 8. 通过将攻击者 IP 注册为 Sentinel 指示器进行威胁情报关联 ### 实际触发的防御 阶段 2 被 MDE 的行为检测 `Behavior:Win32/OfficeExecPowershell.C` 直接拦截，这与阻止 Office 应用程序生成子进程的攻击面减少规则相关联。这正是该规则旨在提供的检测，并且它生效了。通过直接在端点上运行等效命令以继续为调查生成遥测数据，攻击链的其余部分得以完成。 ### 调查 这是实验室中更重要的部分。从单一指示器开始，调查重构了完整的杀伤链： - 跨所有五个相关表的联合查询构建了一条按时间顺序排列的时间线，包含受害者账户接触的所有内容 - 跨表对攻击者 IP 进行透视，找出与其通信的每台设备，这是遏制前的横向范围检查 - 杀伤链重构查询以钓鱼邮件时间戳为锚点，并在紧密的时间窗口内联接同一设备上的进程和网络事件，证明 PowerShell 的执行是因为该邮件，而不仅仅是在时间上接近 ### 过程中发现的真实缺口 从本次实验中得出了两个发现，这对于任何构建类似环境的人来说都值得了解。该端点从未配置过 Windows Security 事件转发到 Sentinel，因此尽管权限提升事件在本地 Windows 事件日志中正确触发了（已通过 Get-WinEvent 直接确认），SecurityEvent 查询仍然返回空结果。一个环境即使拥有完整的 MDE 覆盖，如果日志转发从未作为独立 pipeline 设置过，依然可能没有任何 SecurityEvent 数据。 实验室 VM 之间未配置 WinRM，这阻止了计划中用于横向移动的远程 WMI 调用。取而代之的是，通过在本地运行 WMI 进程创建，演示了相同的技术和检测特征，因为 MDE 寻找的行为并不依赖于调用是否跨机器。 ## MITRE ATT&CK 覆盖范围 鱼叉式钓鱼附件、PowerShell、入站工具传输、应用层协议 C2、三个签名二进制代理执行子技术、Windows 管理规范、有效账户权限提升以及远程服务横向移动。包含表来源的完整映射在实验室文档中。 ## 此 repo 中的文件 - 完整的实验室文档，包含分阶段截图、KQL 查询和发现 - MITRE ATT&CK 覆盖范围表 - 截至 2026 年中期的 EmailEvents 和 Entra 登录表的 schema 说明 本实验室是更庞大的 Microsoft 365 安全组合的一部分。有关 IAM 生命周期自动化、Purview 数据治理和 Copilot 安全，以及 SOC 分诊自动化，请参阅其他 repo。

标签：EDR, IP 地址批量处理, Microsoft Defender, PE 加载器, Web报告查看器, 安全运营中心(SOC), 攻击链模拟, 知识库安全, 网络信息收集, 脆弱性评估