🔍 威胁狩猎与事件调查实验室

在隔离实验室中进行多阶段攻击模拟与端到端调查 —— 涵盖从初始告警到分诊、范围界定、遏制及结构化报告的全过程。

## 📋 概述 本仓库记录了在4台机器的隔离实验室环境中进行的 **7次结构化威胁狩猎调查**。每次调查都遵循同样严谨的方法论： 1. 🔴 使用 [Atomic Red Team](https://github.com/redcanaryco/atomic-red-team) **模拟** 真实世界的攻击链 2. 🔍 使用 Sysmon + Suricata 遥测数据在 Splunk 中对活动进行端到端 **狩猎** 3. 📝 **记录** 检测逻辑、ATT&CK 映射、IOC 和建议的响应措施 4. 📊 **撰写** 适合 SOC 知识库的结构化调查报告 ## 🖥️ 实验室环境 ``` ┌─────────────────────────────────────────────────────────────┐ │ ISOLATED LAB NETWORK │ │ 172.16.140.0/24 │ │ │ │ ┌──────────────┐ ┌──────────────┐ ┌──────────────┐ │ │ │ Windows 10 │ │ Windows │ │ Ubuntu │ │ │ │ Workstation │ │ Server 2019 │ │ 22.04 LTS │ │ │ │ (Victim) │ │ (DC / Target)│ │ (Attacker) │ │ │ │ .131 │ │ .132 │ │ .133 │ │ │ │ │ │ │ │ │ │ │ │ Sysmon │ │ Sysmon │ │ Atomic Red │ │ │ │ Splunk UF │ │ Splunk UF │ │ Team │ │ │ └──────┬───────┘ └──────┬───────┘ └──────────────┘ │ │ │ │ │ │ └───────┬───────────┘ │ │ ▼ │ │ ┌──────────────────────────┐ │ │ │ Splunk Enterprise │ │ │ │ (SIEM) + Suricata IDS │ │ │ │ .130 │ │ │ │ │ │ │ │ 30+ Panel Dashboard │ │ │ │ Sigma Rule Engine │ │ │ │ TheHive SOAR │ │ │ └──────────────────────────┘ │ └─────────────────────────────────────────────────────────────┘ ``` ## 📂 调查列表 | # | 调查名称 | 攻击链 | ATT&CK 技术 | 严重程度 | |---|--------------|-------------|-------------------|----------| | 1 | [PowerShell Empire 链](investigations/01-powershell-empire-chain/) | 编码 PS → 下载 → 执行 → C2 | T1059.001, T1105, T1071 | 🔴 严重 | | 2 | [凭证转储](investigations/02-credential-dumping/) | LSASS 访问 → Mimikatz → 凭证窃取 | T1003.001, T1078 | 🔴 严重 | | 3 | [通过 PsExec 横向移动](investigations/03-lateral-movement-psexec/) | 凭证复用 → PsExec → 远程执行 | T1021.002, T1569.002 | 🟠 高危 | | 4 | [数据窃取](investigations/04-data-exfiltration/) | 发现 → 暂存 → 通过 DNS/HTTP 窃取 | T1048, T1041, T1083 | 🔴 严重 | | 5 | [LOLBin 滥用](investigations/05-lolbin-abuse/) | Certutil → Mshta → Regsvr32 → Payload | T1218.001, T1218.005, T1218.010 | 🟠 高危 | | 6 | [RDP 暴力破解](investigations/06-brute-force-rdp/) | 密码喷射 → 账户锁定 → 获取访问权限 | T1110.001, T1110.003 | 🟠 高危 | | 7 | [侦察扫描](investigations/07-reconnaissance-scan/) | 端口扫描 → 服务枚举 → 漏洞探测 | T1046, T1018, T1082 | 🟡 中危 | ## 📝 调查报告格式 每项调查均遵循标准化的模板： ``` # 调查：[Title] ## 执行摘要 Brief overview of the attack, impact, and outcome. ## 攻击模拟 - Atomic Red Team tests executed - Attack tools and commands used - Expected telemetry generated ## Hunt 方法论 - Splunk queries used to identify activity - Sysmon event IDs analyzed - Suricata alerts correlated ## 事件时间线 Chronological reconstruction of the attack chain. ## ATT&CK 映射 Visual mapping of observed techniques to MITRE ATT&CK. ## 妥协指标 (IOCs) - File hashes, IP addresses, domains, command lines ## 检测建议 - New Sigma rules to add - Existing rule improvements - Gaps identified ## 响应行动 - Containment steps taken - Remediation recommendations - Lessons learned ``` ## 🚀 快速开始 ### 1. 克隆仓库 ``` git clone https://github.com/ExelR8ight/Threat-Hunting-Lab.git cd Threat-Hunting-Lab ``` ### 2. 搭建实验室 ### 3. 阅读调查报告 从 [调查 #1：PowerShell Empire 链](investigations/01-powershell-empire-chain/) 开始。 ## 📁 仓库结构 ``` Threat-Hunting-Lab/ ├── README.md ├── LICENSE ├── investigations/ # 📝 Structured investigations │ ├── 01-powershell-empire-chain/ │ │ ├── README.md # Full investigation write-up │ │ ├── queries.spl # Splunk hunt queries │ │ └── iocs.json # Extracted IOCs │ ├── 02-credential-dumping/ │ ├── 03-lateral-movement-psexec/ │ ├── 04-data-exfiltration/ │ ├── 05-lolbin-abuse/ │ ├── 06-brute-force-rdp/ │ └── 07-reconnaissance-scan/ ├── lab-setup/ # 🖥️ Lab environment guide │ └── README.md ├── playbooks/ # 📋 Response playbooks │ ├── incident-response.md │ └── containment.md ├── iocs/ # 🎯 Consolidated IOCs │ └── master_iocs.json └── assets/ # 🎨 Images and diagrams └── banner.png ``` ## 📜 许可证 本项目基于 MIT 许可证授权 —— 详情请参阅 [LICENSE](LICENSE)。 ## 👤 作者 **Ankit Singh** 📧 ankisinsen152@gmail.com 🔗 [LinkedIn](https://linkedin.com/in/ankit-singh-1b0632265) · [GitHub](https://github.com/ExelR8ight)

标签：Metaprompt, TGT, 安全, 安全实验环境, 攻防演练, 超时处理