rus1tam/DNS-lookup-to-external-domain-associated-with-simulated-activity

GitHub: rus1tam/DNS-lookup-to-external-domain-associated-with-simulated-activity

基于 Splunk 与 Sysmon 的事件响应实验项目,模拟并调查从 PowerShell 执行到外部通信的完整攻击链,用于练习 SIEM 调查与检测工程技能。

Stars: 0 | Forks: 0

# 事件响应调查 — 可疑的 PowerShell 执行与 Payload 部署 ## 概述 本项目使用 **Splunk**、**Sysmon** 和 **VirtualBox** 对 Windows 端点上的可疑攻击链进行模拟和调查。 调查重点在于检测和分析类攻击行为,包括: - 可疑的 PowerShell 执行 - 混淆的命令行参数 - 将 payload 部署到磁盘 - DNS 解析 - 出站网络通信 本项目展示了实用的**事件响应**、**威胁狩猎**、**检测工程**和 **SIEM 调查**技能。 ## 目标 本项目的目标是: - 利用遥测数据检测可疑的端点活动 - 关联多个主机和网络事件 - 调查攻击者技术 - 将发现映射到 MITRE ATT&CK - 通过调整 Sysmon 配置来提高遥测可见性 - 生成专业的事件响应报告 ## 实验环境 ### 使用的工具 - Splunk Enterprise - Sysmon - Splunk Universal Forwarder - Oracle VirtualBox - Windows 虚拟机 - PowerShell ### 数据源 调查期间分析的遥测数据包括: - 进程创建日志(Sysmon EventCode 1) - 文件创建日志(Sysmon EventCode 11) - 网络连接日志(Sysmon EventCode 3) - DNS 查询日志(Sysmon EventCode 22) - Windows 事件遥测 ## 攻击模拟 执行了以下命令以模拟可疑的攻击者行为: ### 可疑的 PowerShell ``` powershell.exe -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -Command "whoami" ``` ### 混淆的 PowerShell ``` powershell.exe -nop -w hidden -enc SQBFAFgAIAAoAGcAZQB0AC0AZABhAHQAZQApAA== ``` ### Payload 部署 模拟 payload 创建: ``` C:\Users\Public\update.exe ``` ### 外部通信 ``` curl http://neverssl.com ``` ## 调查时间线 ### 事件 1 — 可疑的 PowerShell 执行 检测到 PowerShell 执行包含以下特征: - 执行策略绕过 - 隐藏窗口 - 不加载配置文件 这些指标暗示了可能存在防御规避。 ### 事件 2 — 混淆的 PowerShell 检测到使用以下参数的 Base64 编码命令执行: - `-enc` - `-nop` - `-w hidden` 这是攻击者常用的混淆和规避技术。 ### 事件 3 — Payload 部署 创建了可疑的可执行文件: ``` C:\Users\Public\update.exe ``` 此位置通常被攻击者滥用以分发恶意软件。 ### 事件 4 — DNS 解析 观察到针对外部域名的 DNS 查询: ``` neverssl.com ``` 表明正在进行出站通信准备。 ### 事件 5 — 出站网络通信 观察到来自以下地址的网络活动: ``` curl.exe ``` 检测到: - 外部 IP 通信 - 通过端口 80 的 HTTP 流量 这暗示了可能存在: - C2 流量 - payload 获取 - 恶意软件信标 - 数据外泄 ## MITRE ATT&CK 映射 | 技术 ID | 技术 | |---|---| | T1059.001 | PowerShell | | T1027 | 混淆的文件或信息 | | T1036 | 伪装 | | T1071 | 应用层协议 | ## 检测查询(Splunk) ### 检测编码的 PowerShell ``` index=main EventCode=1 ("-enc" OR "EncodedCommand") ``` ### 检测隐藏的 PowerShell ``` index=main EventCode=1 ("hidden" OR "-w") ``` ### 检测可疑的 EXE 创建 ``` index=main EventCode=11 ".exe" ``` ### 检测出站连接 ``` index=main EventCode=3 ``` ## 遇到的挑战 在调查过程中发现了几个遥测问题: - Splunk 中的 Windows XML 日志使用 `EventCode` 而不是 `EventID` 进行解析 - 部分网络事件缺失 - 需要手动验证以进行关联 ### 根本原因 Sysmon `NetworkConnect` 规则最初排除了: - `curl.exe` 因此,curl 的 EventCode 3 网络遥测数据缺失。 在调整 Sysmon 配置以包含 `curl.exe` 后,出站网络的可见性得到了提升。 这突显了以下工作的重要性: - SIEM 字段验证 - 遥测 pipeline 验证 - 检测工程 ## 展示的技能 本项目增强了以下方面的实践技能: - 事件响应 - SIEM 调查 - 威胁狩猎 - 检测工程 - Windows 遥测分析 - Splunk 查询 - MITRE ATT&CK 映射 - Sysmon 配置调优 ## 关键结论 诸如可疑的 PowerShell 标志等微小指标可以揭示更广泛的恶意攻击链。 本项目展示了如何通过关联多个微弱信号来发现攻击者行为,并提升防御可见性。
标签:AI合规, DNS 反向解析, OpenCanary, Sysmon, 安全靶场, 库, 应急响应, 攻击模拟, 网络信息收集, 驱动签名利用