rus1tam/DNS-lookup-to-external-domain-associated-with-simulated-activity
GitHub: rus1tam/DNS-lookup-to-external-domain-associated-with-simulated-activity
基于 Splunk 与 Sysmon 的事件响应实验项目,模拟并调查从 PowerShell 执行到外部通信的完整攻击链,用于练习 SIEM 调查与检测工程技能。
Stars: 0 | Forks: 0
# 事件响应调查 — 可疑的 PowerShell 执行与 Payload 部署
## 概述
本项目使用 **Splunk**、**Sysmon** 和 **VirtualBox** 对 Windows 端点上的可疑攻击链进行模拟和调查。
调查重点在于检测和分析类攻击行为,包括:
- 可疑的 PowerShell 执行
- 混淆的命令行参数
- 将 payload 部署到磁盘
- DNS 解析
- 出站网络通信
本项目展示了实用的**事件响应**、**威胁狩猎**、**检测工程**和 **SIEM 调查**技能。
## 目标
本项目的目标是:
- 利用遥测数据检测可疑的端点活动
- 关联多个主机和网络事件
- 调查攻击者技术
- 将发现映射到 MITRE ATT&CK
- 通过调整 Sysmon 配置来提高遥测可见性
- 生成专业的事件响应报告
## 实验环境
### 使用的工具
- Splunk Enterprise
- Sysmon
- Splunk Universal Forwarder
- Oracle VirtualBox
- Windows 虚拟机
- PowerShell
### 数据源
调查期间分析的遥测数据包括:
- 进程创建日志(Sysmon EventCode 1)
- 文件创建日志(Sysmon EventCode 11)
- 网络连接日志(Sysmon EventCode 3)
- DNS 查询日志(Sysmon EventCode 22)
- Windows 事件遥测
## 攻击模拟
执行了以下命令以模拟可疑的攻击者行为:
### 可疑的 PowerShell
```
powershell.exe -ExecutionPolicy Bypass -NoProfile -WindowStyle Hidden -Command "whoami"
```
### 混淆的 PowerShell
```
powershell.exe -nop -w hidden -enc SQBFAFgAIAAoAGcAZQB0AC0AZABhAHQAZQApAA==
```
### Payload 部署
模拟 payload 创建:
```
C:\Users\Public\update.exe
```
### 外部通信
```
curl http://neverssl.com
```
## 调查时间线
### 事件 1 — 可疑的 PowerShell 执行
检测到 PowerShell 执行包含以下特征:
- 执行策略绕过
- 隐藏窗口
- 不加载配置文件
这些指标暗示了可能存在防御规避。
### 事件 2 — 混淆的 PowerShell
检测到使用以下参数的 Base64 编码命令执行:
- `-enc`
- `-nop`
- `-w hidden`
这是攻击者常用的混淆和规避技术。
### 事件 3 — Payload 部署
创建了可疑的可执行文件:
```
C:\Users\Public\update.exe
```
此位置通常被攻击者滥用以分发恶意软件。
### 事件 4 — DNS 解析
观察到针对外部域名的 DNS 查询:
```
neverssl.com
```
表明正在进行出站通信准备。
### 事件 5 — 出站网络通信
观察到来自以下地址的网络活动:
```
curl.exe
```
检测到:
- 外部 IP 通信
- 通过端口 80 的 HTTP 流量
这暗示了可能存在:
- C2 流量
- payload 获取
- 恶意软件信标
- 数据外泄
## MITRE ATT&CK 映射
| 技术 ID | 技术 |
|---|---|
| T1059.001 | PowerShell |
| T1027 | 混淆的文件或信息 |
| T1036 | 伪装 |
| T1071 | 应用层协议 |
## 检测查询(Splunk)
### 检测编码的 PowerShell
```
index=main EventCode=1 ("-enc" OR "EncodedCommand")
```
### 检测隐藏的 PowerShell
```
index=main EventCode=1 ("hidden" OR "-w")
```
### 检测可疑的 EXE 创建
```
index=main EventCode=11 ".exe"
```
### 检测出站连接
```
index=main EventCode=3
```
## 遇到的挑战
在调查过程中发现了几个遥测问题:
- Splunk 中的 Windows XML 日志使用 `EventCode` 而不是 `EventID` 进行解析
- 部分网络事件缺失
- 需要手动验证以进行关联
### 根本原因
Sysmon `NetworkConnect` 规则最初排除了:
- `curl.exe`
因此,curl 的 EventCode 3 网络遥测数据缺失。
在调整 Sysmon 配置以包含 `curl.exe` 后,出站网络的可见性得到了提升。
这突显了以下工作的重要性:
- SIEM 字段验证
- 遥测 pipeline 验证
- 检测工程
## 展示的技能
本项目增强了以下方面的实践技能:
- 事件响应
- SIEM 调查
- 威胁狩猎
- 检测工程
- Windows 遥测分析
- Splunk 查询
- MITRE ATT&CK 映射
- Sysmon 配置调优
## 关键结论
诸如可疑的 PowerShell 标志等微小指标可以揭示更广泛的恶意攻击链。
本项目展示了如何通过关联多个微弱信号来发现攻击者行为,并提升防御可见性。
标签:AI合规, DNS 反向解析, OpenCanary, Sysmon, 安全靶场, 库, 应急响应, 攻击模拟, 网络信息收集, 驱动签名利用