Loransee/northpeak-descent
GitHub: Loransee/northpeak-descent
一个基于 Microsoft Sentinel 和 MDE 遥测数据的社区威胁狩猎实战靶场,要求参与者通过 KQL 在诱饵噪音中识别出真实的跨平台有效账户入侵路径。
Stars: 1 | Forks: 0
# Northpeak 下降




**在线体验:** [hunt.lognpacific.com/hunt-10-brief](https://hunt.lognpacific.com/hunt-10-brief) · *需要 Cyber Range 会员资格*
## 概述
Northpeak Descent 是一起跨平台入侵调查,背景设定在 **Northpeak Logistics**,这是一家虚构的公司,其资产环境涵盖 Windows 基础设施和一台 Linux 主机。在 6 月 16 日晚,一名攻击者建立了多个并行的初始据点,在内部网络中横移,准备了工具,设置了持久化机制,与命令与控制(C2)基础设施进行信标通信,并窃取了敏感数据——这一切都在大约四个半小时内完成。
遥测数据讲述了一个关于暴力破解入侵的喧嚣故事。然而,这个故事只是诱饵。真正的入侵使用有效的凭据进行了干净的认证,并且从未触发任何告警。防守猎手必须将诱饵噪音与真正的入侵区分开来,通过证据去证明初始据点的先后顺序(而不是主观假设),并学会从“缺失”的证据中进行推理——因为在这场狩猎中,最强有力的发现之一,正是那些故意没有发生的事情。
## 狩猎结构
本次狩猎包含 18 个 flag,分为一个准备阶段和五个按顺序进行的调查阶段:
| 阶段 | 重点 |
|-------|-------|
| **00 — 准备关卡** | 在接触案件前,确认已连接到正确的 Sentinel 工作区 |
| **01 — 初始访问** | 真正的入口、初始据点的真实顺序、攻击者使用的客户端,以及访问服务器的方式 |
| **02 — Linux 侦察与工具** | 提权检查、不使用扫描器测试网络连通性,以及用于内网跳板的工具 |
| **03 — 跳板、执行与持久化** | 内部跳转、隐藏在日常自动化噪音中的手动键盘操作 shell,以及为了在重启后存活而植入的机制 |
| **04 — 命令与控制** | 一个高仿信道、网络检测到的一个域名、未被检测到的两个域名,以及信标节奏证明了什么 |
| **05 — 影响与评估** | 数据窃取、离开时使用的会话,以及让攻击者在不触碰安全工具体系的情况下自由运行的信任模型 |
## 遥测数据与工具
所有证据都存在于一个共享的 Microsoft Sentinel 工作区(`law-cyber-range`)中,并通过 **KQL** 在 Microsoft Defender for Endpoint 的高级搜寻表中进行调查:
`DeviceProcessEvents` · `DeviceFileEvents` · `DeviceNetworkEvents` · `DeviceRegistryEvents` · `DeviceLogonEvents` · `DeviceEvents`
由于该工作区在多个狩猎环境中共享,因此严格界定查询范围是本次实践的一部分——每个查询都必须过滤出 Northpeak 的主机(`npt-ws01`、`npt-srv01`、`npt-linux01`),否则它会返回其他人的遥测数据。
## 设计说明
我在这场狩猎中刻意设计了以下几点:
- **将噪音作为诱饵。** 大量的登录失败风暴让入侵看起来像是暴力破解。实际的入口是一次干净、有效的账户认证——盲目追逐访问量的猎手会迷失方向。
- **事件顺序陷阱。** 数据的展现形式暗示 Linux 先被攻陷,Windows 后被攻陷。构建单一的跨平台时间线将证明事实并非如此。
- **将缺失作为证据。** 安静的表并非死胡同。没有篡改记录、没有文件被释放,这些本身就是有力的发现,指向了猎手必须准确命名的、更隐蔽的攻击手法。
- **将盲点作为信号。** 部分 C2 信道从未出现在网络遥测中。它在启动点留下的痕迹——以及某个控制台的检测盲区——就是我们要找的线索。
- **人与机器。** 攻击者的手动键盘操作被掩埋在常规的资产自动化任务中;将两者区分开来是本次狩猎重点演练的核心技能。
## 此仓库包含什么
- **`index.html`** — 平台上操作简报的独立、完整副本(保留了原始样式,移除了所有平台相关代码)。
- **`assets/`** — 简报的封面图。
此仓库中**不**包含:flag、答案、KQL 解法或底层的攻击模拟。该狩猎目前是上线且可玩的状态——此处仅发布面向公众的简报。
## 查看简报
**在线页面:** [loransee.github.io/Northpeak-Descent](https://loransee.github.io/northpeak-descent/) *(由 GitHub Pages 托管)*
或者在任何浏览器中本地打开 `index.html` —— 除了 Google Fonts 之外它没有任何外部依赖。
## 作者
**Dogukan Oruc** — 威胁狩猎设计、攻击模拟、遥测工程及简报撰写。
标签:后端开发, 多模态安全