AJahmadcyber/endpoint-triage-walkthrough

## 工具与技术 ## 执行摘要 ### 关键成果 | 指标 | 之前 | 之后 | 改善幅度 | |---------------------|---------------|---------------|-----------------| | 最高 CPU 占用 | 44,392 秒 | 25 秒 | -99.9% | | CPU 温度 | 76C | 53C | -23C | | WebView2 实例 | 13 | 0 | -100% | | 内存压缩 | 1.1 GB | < 200 MB | -82% | | 冗余服务 | 8 | 0 | -100% | ## 调查概述 ### 初始症状 - 正常使用时笔记本电脑过热（闲置时 76C） - 尽管没有运行重度应用程序，性能依然迟缓 - 风扇持续高速运转 - 系统：ThinkPad，Windows 11，16 GB RAM ### 形成假设 没有正当原因的发热通常表明存在失控的后台进程。调查转向识别 CPU 占用者及其合法性。 ## 分类排查方法论 调查遵循 **PICERL 框架**：准备 -> 识别 -> 遏制 -> 根除 -> 恢复 -> 经验教训。 ### 关键技术：CPU 时间累加器分析 标准的任务管理器显示的是*当前* CPU 使用率，但自启动以来的**累计 CPU 时间**能揭示长期运行的异常值：CPU 正常运行时间百分比 = (进程_CPU_时间 / (系统_正常运行时间 * CPU_核心数)) * 100 **经验法则：** - 正常的后台进程：< 正常运行时间的 1% - 值得调查：1-5% - 严重异常：> 5%（在本案例中，该 PUP 占比约为 10%） ## 关键发现 **进程：** `rsEngineSvc.exe` (ReasonLabs RAV Engine) **CPU 时间：** 44,392 秒（约 12 小时的 CPU 时间） **结论：** 资源消耗严重的 PUP，表现出类似于 T1543.003 的持久化行为 ### 揭露的套件 进一步的枚举发现了一个包含 8 个服务的套件，而不仅仅是一个进程： | 服务 | 功能 | 隐患 | |---------|----------|---------| | rsEngineSvc | 核心引擎 | 高 CPU 消耗 | | rsClientSvc | 客户端代理 | 持久连接 | | rsEDRSvc | EDR 模块 | 内核级监控 | | rsDNSResolver | DNS 拦截 | 流量重定向 | | rsDNSSvc | DNS 服务 | 同上 | | rsVPNSvc | VPN 客户端 | 网络操纵 | | rsWSC | Windows 安全中心 | 干扰 Defender | | rsSyncSvc | 更新同步 | 类似 C2 的信标模式 | ## MITRE ATT&CK 映射 | 技术 | 名称 | 观察到的行为 | |------------|---------------------------------------------------|--------------------------------------------| | T1543.003 | Create or Modify System Process: Windows Service | 安装了 8 个持久化服务 | | T1547.001 | Registry Run Keys / Startup Folder | 多个自启动项（3 层） | | T1071.004 | Application Layer Protocol: DNS | 自定义 DNS 解析器拦截流量 | | T1562.001 | Impair Defenses: Disable/Modify Tools | 操控 Windows 安全中心 | ## 仓库结构 README.md LICENSE .gitignore ``` 05-lessons-learned.md 04-mitre-mapping.md 03-eradication.md 02-investigation.md 01-initial-triage.md ``` docs/ # 详细的 PICERL 演练 ``` sigma-reasonlabs.yml # Sigma rule for installation detection ``` detections/ # SIEM 就绪的检测内容 ``` audit-startup.ps1 # Multi-layer persistence audit check-system.ps1 # Quick health check ``` scripts/ # PowerShell 分类排查自动化 assets/ # 横幅与可视化图表 ## endpoint-triage-walkthrough/ ## 快速开始 ### 克隆仓库 ``` git clone https://github.com/AJahmadcyber/endpoint-triage-walkthrough.git cd endpoint-triage-walkthrough ``` ### 运行分类排查脚本 ``` powershell -ExecutionPolicy Bypass -File .\scripts\check-system.ps1 ``` ## 详细文档 完整的调查分为五个阶段，每个阶段记录了 PICERL 框架的一个环节： | 阶段 | 文档 | 描述 | |-------|----------|-------------| | 1 | [初始分类排查](docs/01-initial-triage.md) | 症状分析与进程枚举 | | 2 | [调查](docs/02-investigation.md) | 服务映射与持久化发现 | | 3 | [根除](docs/03-eradication.md) | 清除程序与验证 | | 4 | [MITRE 映射](docs/04-mitre-mapping.md) | ATT&CK 技术关联 | | 5 | [经验教训](docs/05-lessons-learned.md) | 检测工程与关键要点 | ## 展示的技能 - **应急响应** — 执行 PICERL 框架 - **端点取证** — Windows 主机上的实时分类排查 - **PowerShell 调查** — 进程、注册表和 WMI 枚举 - **进程树分析** — 父子关系映射 - **持久化追踪** — 多层注册表分析 - **MITRE ATT&CK** — 技术映射与行为分析 - **检测工程** — Sigma 规则开发 - **威胁狩猎** — 通过统计分析识别异常 ## 免责声明 本案例研究记录了移除 **ReasonLabs RAV** 的过程，这是一款合法的商业产品，而不是恶意软件。然而，其行为——多服务持久化、DNS 拦截以及修改 Windows 安全中心——与攻击者使用的技术重叠。本指南演示的分类排查方法既适用于合法的 PUP，也适用于恶意软件。 本仓库中的技术和脚本仅用于**防御目的**：端点健康审计、威胁狩猎实践和 SOC 分析师培训。 ## 作者 **Ahmad Abuzarqa** *SOC 分析师实习生 | 网络安全学生 | 约旦* [](https://github.com/AJahmadcyber) [](mailto:ahmad.j.abuzarqa@gmail.com) **目前在考：** CyberDefenders CCDL1 **专注领域：** SOC 运营、威胁检测、应急响应、检测工程 ## 许可证 该项目基于 MIT 许可证授权 — 有关详细信息，请参阅 [LICENSE](LICENSE) 文件。

标签：AI合规, AMSI绕过, IPv6, Libemu, PowerShell, Sigma规则, 威胁检测, 安全案例分析, 库, 应急响应, 目标导入