aliabdel225/HTBSIEM-SkillAsses
GitHub: aliabdel225/HTBSIEM-SkillAsses
一份 Hack The Box 安全技能评估报告,针对 PKI 服务器环境中可疑特权活动进行事件分析、MITRE ATT&CK 映射与事件响应建议。
Stars: 0 | Forks: 0
## 📝 描述
本仓库记录了一次模拟的安全事件,涉及**可疑的特权账户活动、策略违规,以及关键基础设施系统的潜在被入侵**。
该场景突出了看似低风险信号的事件(例如来自非批准系统的管理员登录)在与**提权和身份验证异常**相关联时,是如何演变为高风险状况的。本次调查重点关注 PKI 服务器环境,并演示了攻击者如何利用有效凭据、进行横向移动,并试图扩展跨系统的访问权限。
本报告是作为**网络安全实践练习**的一部分创建的,重点强调:
- 威胁检测与关联
- 风险评估与优先级排序
- 将活动映射到 **MITRE ATT&CK** 和 **NIST 框架**
- 事件响应与修复计划
## 事件报告
**标题:** 可疑特权活动与潜在账户被入侵
**日期:** 进行中(观察到自 2023 年 2 月 28 日起 → 至今)
**环境:** PKI.eagle.local 及相关网络资产
## 🚨 执行摘要
多个安全事件表明存在**特权凭据的潜在泄露**和影响关键系统(PKI 服务器)的**未经授权的特权提升**。
相关联的活动包括:
- 来自**非特权访问工作站 (PAW)** 的管理员登录
- 通过组成员身份更改进行的**特权提升**
- **失败的 SSH root 登录尝试**
## 📊 观察到的事件
### 1. 🔐 非 PAW 的管理员登录

- **用户:** Administrator
- **源 IP:**
- `192.168.28.132` (51 次登录)
- `192.168.28.200` (8 次登录)
- `fe80::...` (1 次登录)
**隐患:**
- 违反了特权访问策略(PAW 强制执行)
- 高频率表明存在持续或自动化使用
### 2. 👑 特权提升事件

- **操作:** `added-member-to-group`
- **组:** Administrators
- **目标系统:** PKI.eagle.local
- **操作者:** Administrator
- **被添加的实体:** `S-1-5-21-...-1111` (SID)
**隐患:**
- 直接提升至**本地管理员权限**
- 发生在**关键基础设施(PKI 服务器)**上
### 3. 🧪 SSH Root 登录失败

- **用户:** root
- **身份验证:** 密码
- **源 IP:** `192.168.28.x`
- **尝试次数:** 6
- **结果:** 失败
**隐患:**
- 表明**可能存在暴力破解或未经授权的访问尝试**
- Root 账户成为目标(Linux 系统上的最高权限)
## 🔗 攻击关联与叙述
这些事件表明了一个潜在的攻击链:
1. **初始访问 / 凭据滥用**
- 从非 PAW 系统使用管理员账户
2. **横向移动**
- 跨系统重复的管理员登录
3. **特权提升**
- 在 PKI 服务器上将用户添加到 **Administrators 组**
4. **后续活动**
- SSH root 登录尝试(可能向 Linux 系统扩展)
## 🧩 MITRE ATT&CK 映射
| 战术 | 技术 | ID |
|--------|----------|----|
| 初始访问 | 有效账户 | T1078 |
| 持久化 | 账户操纵 | T1098 |
| 横向移动 | 远程服务 | T1021 |
| 凭据访问 | 暴力破解 | T1110 |
| 特权提升 | 账户操纵 | T1098 |
## 🏛️ NIST 控制措施映射
- **AC-2:** 账户管理
- **AC-6:** 最小权限
- **IA-2:** 识别与身份验证
- **AU-12:** 审计日志记录
- **SI-4:** 系统监控
## ⚠️ 风险评估
| 因素 | 影响 |
|--------|--------|
| 特权账户滥用 | 高 |
| 涉及 PKI 服务器 | 严重 |
| 策略违规 (PAW) | 高 |
| 针对 SSH root | 高 |
## 🧪 建议操作
### 🚨 立即执行(优先级 1)
- 禁用或验证受影响的 **Administrator 账户**
- 确定以下对象的所有者:
- `192.168.28.132`
- `192.168.28.200`
- 解析添加到 Administrators 组的 SID
### 🔍 调查(优先级 2)
- 审查:
- 登录时间线
- PKI 服务器上的进程执行情况
- 横向移动模式
- 检查:
- 新建的账户
- 持久化机制
### 🛡️ 遏制(优先级 3)
- 强制执行 **PAW 限制**
- 重置特权凭据
- 如有需要,隔离可疑主机
### 🔒 加固(优先级 4)
- 禁用 SSH root 登录
- 对管理员账户强制执行 MFA
- 监控特权组更改
## 🧭 结论
这**不是孤立事件**。
以下各项的结合:
- 未经授权的管理员登录
- 关键基础设施上的特权提升
- Root 登录尝试
强烈表明存在**潜在的主动入侵**。
## 证据
1.
2.
3.
4.
5.
6.
7.
2.
3.
4.
5.
6.
7.
标签:AMSI绕过, 事件分析报告, 内存分配, 威胁检测, 子域枚举, 安全运营, 库, 应急响应, 扫描框架, 网络安全, 防御加固, 隐私保护