T0tooro/cve-2025-24054-lab

GitHub: T0tooro/cve-2025-24054-lab

蓝队防御实验室,针对 CVE-2025-24054 NTLM Hash 泄露漏洞,提供基于 Sysmon 和 Wazuh SIEM 的检测规则与 GPO 缓解策略。

Stars: 0 | Forks: 0

# CVE-2025-24054 — 检测与缓解实验室 关于 **CVE-2025-24054**(即 Windows **NTLM Hash 泄露欺骗**漏洞)防御性安全实验室的项目日志, 基于受影响系统短期内**无法修补**的假设。 ## 漏洞详情 | 字段 | 值 | |---|---| | CVE | CVE-2025-24054 | | 类别 | 欺骗 / 强制身份验证 | | 通用缺陷枚举 (CWE) | CWE-73: 外部控制文件名或路径 | | MITRE ATT&CK | T1187 (强制身份验证) | | 受影响平台 | Windows 10 / 11, Windows Server 2008 R2 → 2025 | | 真实案例 | 2025年3月针对波兰和罗马尼亚政府目标的钓鱼攻击 | | CISA KEV | 2025年4月17日收录 | Windows 会自动解析 `.library-ms` 文件(可扩展标记语言 (XML) 库描述符)。恶意文件会嵌入一个指向攻击者服务器的通用命名约定 (UNC) 路径;只需查看或解压该文件,Windows 就会在传输控制协议 (TCP) 的 445 端口上打开一个出站的服务器消息块 (SMB) 连接,并发送用户的 Net-NTLMv2 hash —— 完全 无需点击。 ## 实验室架构 ``` Isolated lab network (/24, air-gapped) ┌────────────────┐ ┌────────────────┐ ┌────────────────┐ │ Attacker (Kali)│ │ Victim (Win10) │ │ SIEM (Ubuntu) │ │ Responder │◄──┤ Sysmon + Agent ├──►│ Wazuh Manager │ └────────────────┘SMB└────────────────┘ └────────────────┘ 445 ``` 检测 pipeline:`Sysmon → Windows Event Log → Wazuh Agent → Wazuh Manager → 自定义规则 → Dashboard 告警` ## 目录内容 - [`detection/`](detection/) — Sysmon 配置 + 自定义 Wazuh 规则 - [`mitigation/`](mitigation/) — 组策略对象 (GPO) NTLM 限制 - [`exploit/`](exploit/) — 触发器的防御性描述(占位 IP) - [`docs/`](docs/) — 演练过程、限制说明以及截图证据日志 ## 实施过程中的两项发现(已记录,非假设) 1. 出站 445 端口连接归属于 **`System` (Process ID 4)**, 即内核 SMB 重定向器 —— 而**不是** `explorer.exe`。因此检测规则 **未使用镜像名称过滤器**,这正是其能够触发的原因。 2. 受害者主机上被阻止的 NTLM 事件为 **Event ID 4001**("Blocking NTLM"), 而非某些文档中记载的 8002。本实验室环境即为权威标准。 ## 参考资料 - Check Point Research (2025). *CVE-2025-24054, NTLM Exploit in the Wild.* - CISA (2025). *Known Exploited Vulnerabilities Catalog: CVE-2025-24054.* - Microsoft Learn (2022). *Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers.* - MITRE ATT&CK (2025). *T1187: Forced Authentication.*
标签:NTLM, Sysmon, Wazuh