aliabdel225/HTBSIEM-SkillAsses

GitHub: aliabdel225/HTBSIEM-SkillAsses

一份 Hack The Box 安全技能评估报告,针对 PKI 服务器环境中可疑特权活动进行事件分析、MITRE ATT&CK 映射与事件响应建议。

Stars: 0 | Forks: 0

## 📝 描述 本仓库记录了一次模拟的安全事件,涉及**可疑的特权账户活动、策略违规,以及关键基础设施系统的潜在被入侵**。 该场景突出了看似低风险信号的事件(例如来自非批准系统的管理员登录)在与**提权和身份验证异常**相关联时,是如何演变为高风险状况的。本次调查重点关注 PKI 服务器环境,并演示了攻击者如何利用有效凭据、进行横向移动,并试图扩展跨系统的访问权限。 本报告是作为**网络安全实践练习**的一部分创建的,重点强调: - 威胁检测与关联 - 风险评估与优先级排序 - 将活动映射到 **MITRE ATT&CK** 和 **NIST 框架** - 事件响应与修复计划 ## 事件报告 **标题:** 可疑特权活动与潜在账户被入侵 **日期:** 进行中(观察到自 2023 年 2 月 28 日起 → 至今) **环境:** PKI.eagle.local 及相关网络资产 ## 🚨 执行摘要 多个安全事件表明存在**特权凭据的潜在泄露**和影响关键系统(PKI 服务器)的**未经授权的特权提升**。 相关联的活动包括: - 来自**非特权访问工作站 (PAW)** 的管理员登录 - 通过组成员身份更改进行的**特权提升** - **失败的 SSH root 登录尝试** ## 📊 观察到的事件 ### 1. 🔐 非 PAW 的管理员登录 ![管理员登录](https://raw.githubusercontent.com/aliabdel225/HTBSIEM-SkillAsses/main/evidence/admin-logons.png) - **用户:** Administrator - **源 IP:** - `192.168.28.132` (51 次登录) - `192.168.28.200` (8 次登录) - `fe80::...` (1 次登录) **隐患:** - 违反了特权访问策略(PAW 强制执行) - 高频率表明存在持续或自动化使用 ### 2. 👑 特权提升事件 ![特权提升](https://raw.githubusercontent.com/aliabdel225/HTBSIEM-SkillAsses/main/evidence/group-change.png) - **操作:** `added-member-to-group` - **组:** Administrators - **目标系统:** PKI.eagle.local - **操作者:** Administrator - **被添加的实体:** `S-1-5-21-...-1111` (SID) **隐患:** - 直接提升至**本地管理员权限** - 发生在**关键基础设施(PKI 服务器)**上 ### 3. 🧪 SSH Root 登录失败 ![SSH 登录](https://raw.githubusercontent.com/aliabdel225/HTBSIEM-SkillAsses/main/evidence/ssh-logins.png) - **用户:** root - **身份验证:** 密码 - **源 IP:** `192.168.28.x` - **尝试次数:** 6 - **结果:** 失败 **隐患:** - 表明**可能存在暴力破解或未经授权的访问尝试** - Root 账户成为目标(Linux 系统上的最高权限) ## 🔗 攻击关联与叙述 这些事件表明了一个潜在的攻击链: 1. **初始访问 / 凭据滥用** - 从非 PAW 系统使用管理员账户 2. **横向移动** - 跨系统重复的管理员登录 3. **特权提升** - 在 PKI 服务器上将用户添加到 **Administrators 组** 4. **后续活动** - SSH root 登录尝试(可能向 Linux 系统扩展) ## 🧩 MITRE ATT&CK 映射 | 战术 | 技术 | ID | |--------|----------|----| | 初始访问 | 有效账户 | T1078 | | 持久化 | 账户操纵 | T1098 | | 横向移动 | 远程服务 | T1021 | | 凭据访问 | 暴力破解 | T1110 | | 特权提升 | 账户操纵 | T1098 | ## 🏛️ NIST 控制措施映射 - **AC-2:** 账户管理 - **AC-6:** 最小权限 - **IA-2:** 识别与身份验证 - **AU-12:** 审计日志记录 - **SI-4:** 系统监控 ## ⚠️ 风险评估 | 因素 | 影响 | |--------|--------| | 特权账户滥用 | 高 | | 涉及 PKI 服务器 | 严重 | | 策略违规 (PAW) | 高 | | 针对 SSH root | 高 | ## 🧪 建议操作 ### 🚨 立即执行(优先级 1) - 禁用或验证受影响的 **Administrator 账户** - 确定以下对象的所有者: - `192.168.28.132` - `192.168.28.200` - 解析添加到 Administrators 组的 SID ### 🔍 调查(优先级 2) - 审查: - 登录时间线 - PKI 服务器上的进程执行情况 - 横向移动模式 - 检查: - 新建的账户 - 持久化机制 ### 🛡️ 遏制(优先级 3) - 强制执行 **PAW 限制** - 重置特权凭据 - 如有需要,隔离可疑主机 ### 🔒 加固(优先级 4) - 禁用 SSH root 登录 - 对管理员账户强制执行 MFA - 监控特权组更改 ## 🧭 结论 这**不是孤立事件**。 以下各项的结合: - 未经授权的管理员登录 - 关键基础设施上的特权提升 - Root 登录尝试 强烈表明存在**潜在的主动入侵**。 ## 证据 1. image 2. image 3. image image image 4. image 5. image 6. image 7. image
标签:AMSI绕过, 事件分析报告, 内存分配, 威胁检测, 子域枚举, 安全运营, 库, 应急响应, 扫描框架, 网络安全, 防御加固, 隐私保护