T0tooro/cve-2025-24054-lab
GitHub: T0tooro/cve-2025-24054-lab
蓝队防御实验室,针对 CVE-2025-24054 NTLM Hash 泄露漏洞,提供基于 Sysmon 和 Wazuh SIEM 的检测规则与 GPO 缓解策略。
Stars: 0 | Forks: 0
# CVE-2025-24054 — 检测与缓解实验室
关于 **CVE-2025-24054**(即 Windows
**NTLM Hash 泄露欺骗**漏洞)防御性安全实验室的项目日志,
基于受影响系统短期内**无法修补**的假设。
## 漏洞详情
| 字段 | 值 |
|---|---|
| CVE | CVE-2025-24054 |
| 类别 | 欺骗 / 强制身份验证 |
| 通用缺陷枚举 (CWE) | CWE-73: 外部控制文件名或路径 |
| MITRE ATT&CK | T1187 (强制身份验证) |
| 受影响平台 | Windows 10 / 11, Windows Server 2008 R2 → 2025 |
| 真实案例 | 2025年3月针对波兰和罗马尼亚政府目标的钓鱼攻击 |
| CISA KEV | 2025年4月17日收录 |
Windows 会自动解析 `.library-ms` 文件(可扩展标记语言 (XML)
库描述符)。恶意文件会嵌入一个指向攻击者服务器的通用命名约定
(UNC) 路径;只需查看或解压该文件,Windows
就会在传输控制协议 (TCP) 的 445 端口上打开一个出站的服务器消息块 (SMB) 连接,并发送用户的 Net-NTLMv2 hash —— 完全
无需点击。
## 实验室架构
```
Isolated lab network (/24, air-gapped)
┌────────────────┐ ┌────────────────┐ ┌────────────────┐
│ Attacker (Kali)│ │ Victim (Win10) │ │ SIEM (Ubuntu) │
│ Responder │◄──┤ Sysmon + Agent ├──►│ Wazuh Manager │
└────────────────┘SMB└────────────────┘ └────────────────┘
445
```
检测 pipeline:`Sysmon → Windows Event Log → Wazuh Agent → Wazuh Manager → 自定义规则 → Dashboard 告警`
## 目录内容
- [`detection/`](detection/) — Sysmon 配置 + 自定义 Wazuh 规则
- [`mitigation/`](mitigation/) — 组策略对象 (GPO) NTLM 限制
- [`exploit/`](exploit/) — 触发器的防御性描述(占位 IP)
- [`docs/`](docs/) — 演练过程、限制说明以及截图证据日志
## 实施过程中的两项发现(已记录,非假设)
1. 出站 445 端口连接归属于 **`System` (Process ID 4)**,
即内核 SMB 重定向器 —— 而**不是** `explorer.exe`。因此检测规则
**未使用镜像名称过滤器**,这正是其能够触发的原因。
2. 受害者主机上被阻止的 NTLM 事件为 **Event ID 4001**("Blocking NTLM"),
而非某些文档中记载的 8002。本实验室环境即为权威标准。
## 参考资料
- Check Point Research (2025). *CVE-2025-24054, NTLM Exploit in the Wild.*
- CISA (2025). *Known Exploited Vulnerabilities Catalog: CVE-2025-24054.*
- Microsoft Learn (2022). *Network security: Restrict NTLM: Outgoing NTLM traffic to remote servers.*
- MITRE ATT&CK (2025). *T1187: Forced Authentication.*
标签:NTLM, Sysmon, Wazuh