milescyx/Threat-Hunting-Lab-Detecting-Sliver-Malware-Using-YARA-Rules-in-LimaCharlie
GitHub: milescyx/Threat-Hunting-Lab-Detecting-Sliver-Malware-Using-YARA-Rules-in-LimaCharlie
该项目演示了在 LimaCharlie EDR 中使用 YARA 规则检测 Sliver 恶意软件并构建自动响应阻断 LSASS 凭证转储的完整威胁狩猎实验。
Stars: 0 | Forks: 0
# Threat-Hunting-Lab-在-LimaCharlie-中使用-YARA-Rules-检测-Sliver-Malware
## 执行摘要
本项目演示了在受控实验室环境中完整的威胁狩猎和恶意软件检测工作流。使用 LimaCharlie 端点检测与响应 (EDR) 对 Windows 端点进行监控,以识别恶意活动。将一个 Sliver 恶意软件可执行文件引入环境中,并将其伪装成合法的可执行文件,以模拟真实的恶意软件分发场景。在 LimaCharlie 内开发并部署了自定义 YARA 规则,以根据其独有特征和指标来检测该恶意文件。在执行和分析后,LimaCharlie 成功识别出该恶意软件并生成了警报,证明了基于 YARA 的检测在威胁狩猎调查中识别已知恶意制品的有效性。
对 LimaCharlie 收集的端点遥测数据进行了分析,以调查恶意活动,验证自定义 YARA 检测规则的有效性,并确认成功识别了该恶意软件制品。检测工作流展示了安全分析师如何利用端点可见性、威胁情报和自定义检测逻辑来识别可疑文件并生成可操作的警报。
该项目演示了使用企业级 EDR 平台进行威胁狩猎方法论、检测工程原则和恶意软件分析技术的实际应用。它强调了创建自定义检测规则的重要性,以提高对新兴威胁的可见性,并增强组织检测和响应恶意活动的能力。
## 项目目标
本实验室的主要目标是:
本实验室的主要目标是:
- 执行手动 YARA 扫描,以识别 Windows 端点上的恶意制品
- 利用威胁情报源开发自定义 YARA 规则,以检测 Sliver 恶意软件指标
- 利用英国国家网络安全中心 (NCSC) 发布的情报来改进恶意软件检测逻辑
- 在 LimaCharlie 中实施自动化 YARA 扫描,以进行持续的恶意软件检测
- 配置检测规则,以识别从 Downloads 目录执行的可疑进程
- 针对潜在的恶意进程执行和文件活动生成警报
- 应用威胁狩猎和检测工程技术,利用 LimaCharlie EDR 遥测数据
## 实验室架构
```
Malware Sample (Sliver Executable)
|
|
v
Windows Endpoint
|
|
v
LimaCharlie Sensor
|
|
v
YARA Rules & Detection Logic
|
|
v
Alert Generation
```
## 使用的工具
| 工具 | 用途 |
| ----------------- | -------------------------------------------- |
| LimaCharlie | 端点检测与响应及遥测数据 |
| YARA | 恶意软件检测和自定义规则创建 |
| Sliver Malware | 用于检测测试的恶意软件样本 |
| Windows 11 | 用于恶意软件分析的端点 |
| UK NCSC Reports | 用于 YARA 规则开发的威胁情报|
| GitHub | 文档和版本控制 |
## MITRE ATT&CK 映射
| 战术 | 技术 | ID |
| ---------------- | --------------------------------- | --------- |
| 执行 | 用户执行 | T1204 |
| 执行 | 命令和脚本解释器 | T1059 |
| 防御规避 | 伪装 | T1036 |
| 防御规避 | 混淆文件或信息 | T1027 |
| 发现 | 进程发现 | T1057 |
| 防御规避 | 主机上的指标移除 | T1070 |
## 攻击场景
一家金融机构的一名员工收到了一封包含恶意附件的钓鱼邮件,该附件伪装成合法的商业文档。员工认为该文件是安全的,因此下载并执行了附加的可执行文件,导致 Windows 端点上执行了恶意软件。
使用 LimaCharlie 中的自定义 YARA 规则对恶意可执行文件进行分析,以识别已知的 Sliver 恶意软件指标。收集并监控端点遥测数据,以检测可疑的文件执行活动,包括从 Downloads 目录启动的进程。
该活动通过 LimaCharlie EDR 遥测数据被检测到,生成警报,使安全分析师能够调查事件、验证检测逻辑并提高威胁检测能力。
# 攻击演练
## 步骤 1 – 载荷分发
一个名为 ANCIENT_CARDIGAN.exe 的恶意可执行文件在受害端点上被下载并执行。
此事件代表了攻击生命周期的初始入侵阶段。
## 步骤 2 – 建立命令与控制
执行后,成功建立了与 Sliver C2 服务器的回调。
攻击者通过枚举活动会话来验证远程访问权限。
### 关键发现:
* 端点被成功入侵
* 获得了远程执行能力
## 步骤 3 – LSASS 枚举
攻击者枚举了正在运行的进程并识别出 LSASS。
进程发现活动通常在凭证窃取操作之前被观察到。
### MITRE ATT&CK:
T1057 – 进程发现
## 步骤 4 – 尝试凭证转储
执行了以下命令:
```
execute rundll32.exe C:\Windows\System32\comsvcs.dll, MiniDump 636 C:\Windows\Temp\lsass.dmp full
```
此技术滥用受信任的 Windows 二进制文件来转储 LSASS 内存。
### MITRE ATT&CK:
T1003.001 – LSASS 内存
T1218.011 – Rundll32
## 步骤 5 – EDR 调查
时间线分析识别出涉及 LSASS 的 NEW_PROCESS 事件。
收集的证据包括:
* 进程名
* 父进程
* 命令行参数
* 进程关系
### 关键发现:
凭证转储活动生成了可观察到的端点遥测数据。
# 检测工程
## 检测策略
目标是识别对 LSASS 的未授权访问,同时尽量减少误报。
检测逻辑侧重于:
* 敏感进程访问事件
* 对 LSASS 的访问
* 可疑的父子进程关系
* LOLBIN 执行模式
## 初始检测规则
每当发生对 LSASS 的可疑访问时,第一条规则就会生成警报。
### 检测名称:
LSASS_access
### 预期结果:
每当观察到凭证转储活动时,生成高保真警报。
## 规则验证
该规则使用 LimaCharlie 的 Target Event 功能针对历史遥测数据进行了验证。
### 结果:
MATCH
这证实了检测逻辑准确地识别了此次攻击。
# 检测测试
## 重放攻击
第二次执行了该攻击,以验证可重复性。
目的是确定该检测是否能持续识别出恶意行为。
### 结果:
检测成功触发。
## 检测审查
生成的警报包含:
* 命令行数据
* 进程标识符
* 父进程信息
* 时间线导航链接
这使得能够快速进行分诊和调查。
# 响应工程
在验证了检测的有效性后,该规则被升级以执行自动响应操作。
### 目标:
从被动监控过渡到主动防御。
## 自动响应规则
检测规则被修改为:
* 生成警报
* 终止违规进程树
### 响应逻辑:
```
respond:
- action: report
name: LSASS_access
- action: task
command: deny_tree <>
```
## 防御验证
再次执行了凭证转储命令。
### 预期结果:
进程在完成前被终止。
### 观察到的结果:
进程执行被中断。
LSASS 转储未成功。
## 响应验证
LimaCharlie 遥测数据确认:
* 检测已触发
* 响应操作已执行
* 恶意进程已终止
### 结果:
攻击被成功阻止。
# 入侵指标 (IOCs)
## 文件
* ANCIENT_CARDIGAN.exe
* lsass.dmp
## 命令行
```
rundll32.exe C:\Windows\System32\comsvcs.dll, MiniDump 636 C:\Windows\Temp\lsass.dmp full
```
## 进程
* rundll32.exe
* lsass.exe
# 检测机会
组织可以通过监控以下内容来检测此活动:
* SENSITIVE_PROCESS_ACCESS 事件
* 对 LSASS 内存的访问
* Rundll32 执行 comsvcs.dll
* 创建 .dmp 文件
* 未签名的父进程生成 LOLBIN
# 经验教训
* 除了进程创建事件之外,凭证转储还会生成多个遥测制品。
* LSASS 访问是 EDR 平台的高价值检测点。
* 在投入生产环境之前,检测验证至关重要。
* 自动响应可显著减少攻击者的驻留时间。
* 基于 LOLBIN 的攻击仍然有效,应进行持续监控。
# 结论
本实验室演示了完整的攻击生命周期,从端点被入侵开始,最终针对 LSASS 进行凭证转储活动。使用 LimaCharlie,通过自定义检测工程和自动响应操作,成功地识别、调查并最终阻止了恶意行为。
该项目强调了如何利用现代 EDR 平台不仅能检测后渗透活动,还能实时主动破坏攻击者的目标。
一个名为 ANCIENT_CARDIGAN.exe 的恶意可执行文件在受害端点上被下载并执行。
此事件代表了攻击生命周期的初始入侵阶段。
## 步骤 2 – 建立命令与控制
执行后,成功建立了与 Sliver C2 服务器的回调。
攻击者通过枚举活动会话来验证远程访问权限。
### 关键发现:
* 端点被成功入侵
* 获得了远程执行能力
## 步骤 3 – LSASS 枚举
攻击者枚举了正在运行的进程并识别出 LSASS。
进程发现活动通常在凭证窃取操作之前被观察到。
### MITRE ATT&CK:
T1057 – 进程发现
## 步骤 4 – 尝试凭证转储
执行了以下命令:
```
execute rundll32.exe C:\Windows\System32\comsvcs.dll, MiniDump 636 C:\Windows\Temp\lsass.dmp full
```
此技术滥用受信任的 Windows 二进制文件来转储 LSASS 内存。
### MITRE ATT&CK:
T1003.001 – LSASS 内存
T1218.011 – Rundll32
## 步骤 5 – EDR 调查
时间线分析识别出涉及 LSASS 的 NEW_PROCESS 事件。
收集的证据包括:
* 进程名
* 父进程
* 命令行参数
* 进程关系
### 关键发现:
凭证转储活动生成了可观察到的端点遥测数据。
# 检测工程
## 检测策略
目标是识别对 LSASS 的未授权访问,同时尽量减少误报。
检测逻辑侧重于:
* 敏感进程访问事件
* 对 LSASS 的访问
* 可疑的父子进程关系
* LOLBIN 执行模式
## 初始检测规则
每当发生对 LSASS 的可疑访问时,第一条规则就会生成警报。
### 检测名称:
LSASS_access
### 预期结果:
每当观察到凭证转储活动时,生成高保真警报。
## 规则验证
该规则使用 LimaCharlie 的 Target Event 功能针对历史遥测数据进行了验证。
### 结果:
MATCH
这证实了检测逻辑准确地识别了此次攻击。
# 检测测试
## 重放攻击
第二次执行了该攻击,以验证可重复性。
目的是确定该检测是否能持续识别出恶意行为。
### 结果:
检测成功触发。
## 检测审查
生成的警报包含:
* 命令行数据
* 进程标识符
* 父进程信息
* 时间线导航链接
这使得能够快速进行分诊和调查。
# 响应工程
在验证了检测的有效性后,该规则被升级以执行自动响应操作。
### 目标:
从被动监控过渡到主动防御。
## 自动响应规则
检测规则被修改为:
* 生成警报
* 终止违规进程树
### 响应逻辑:
```
respond:
- action: report
name: LSASS_access
- action: task
command: deny_tree <
再次执行了凭证转储命令。
### 预期结果:
进程在完成前被终止。
### 观察到的结果:
进程执行被中断。
LSASS 转储未成功。
## 响应验证
LimaCharlie 遥测数据确认:
* 检测已触发
* 响应操作已执行
* 恶意进程已终止
### 结果:
攻击被成功阻止。
# 入侵指标 (IOCs)
## 文件
* ANCIENT_CARDIGAN.exe
* lsass.dmp
## 命令行
```
rundll32.exe C:\Windows\System32\comsvcs.dll, MiniDump 636 C:\Windows\Temp\lsass.dmp full
```
## 进程
* rundll32.exe
* lsass.exe
# 检测机会
组织可以通过监控以下内容来检测此活动:
* SENSITIVE_PROCESS_ACCESS 事件
* 对 LSASS 内存的访问
* Rundll32 执行 comsvcs.dll
* 创建 .dmp 文件
* 未签名的父进程生成 LOLBIN
# 经验教训
* 除了进程创建事件之外,凭证转储还会生成多个遥测制品。
* LSASS 访问是 EDR 平台的高价值检测点。
* 在投入生产环境之前,检测验证至关重要。
* 自动响应可显著减少攻击者的驻留时间。
* 基于 LOLBIN 的攻击仍然有效,应进行持续监控。
# 结论
本实验室演示了完整的攻击生命周期,从端点被入侵开始,最终针对 LSASS 进行凭证转储活动。使用 LimaCharlie,通过自定义检测工程和自动响应操作,成功地识别、调查并最终阻止了恶意行为。
该项目强调了如何利用现代 EDR 平台不仅能检测后渗透活动,还能实时主动破坏攻击者的目标。标签:DAST, DNS 反向解析, DNS 解析, EDR, LimaCharlie, YARA, 云资产可视化, 安全实验室, 恶意软件分析, 脆弱性评估