Loransee/northpeak-descent

GitHub: Loransee/northpeak-descent

一个基于 Microsoft Sentinel 和 MDE 遥测数据的社区威胁狩猎实战靶场,要求参与者通过 KQL 在诱饵噪音中识别出真实的跨平台有效账户入侵路径。

Stars: 1 | Forks: 0

# Northpeak 下降 ![状态](https://img.shields.io/badge/status-live-ef4444) ![难度](https://img.shields.io/badge/difficulty-intermediate-ef9f27) ![Flag 数量](https://img.shields.io/badge/flags-18-0e0e16) ![遥测数据](https://img.shields.io/badge/telemetry-Sentinel%20%2F%2F%20MDE-2563eb) **在线体验:** [hunt.lognpacific.com/hunt-10-brief](https://hunt.lognpacific.com/hunt-10-brief) · *需要 Cyber Range 会员资格* ## 概述 Northpeak Descent 是一起跨平台入侵调查,背景设定在 **Northpeak Logistics**,这是一家虚构的公司,其资产环境涵盖 Windows 基础设施和一台 Linux 主机。在 6 月 16 日晚,一名攻击者建立了多个并行的初始据点,在内部网络中横移,准备了工具,设置了持久化机制,与命令与控制(C2)基础设施进行信标通信,并窃取了敏感数据——这一切都在大约四个半小时内完成。 遥测数据讲述了一个关于暴力破解入侵的喧嚣故事。然而,这个故事只是诱饵。真正的入侵使用有效的凭据进行了干净的认证,并且从未触发任何告警。防守猎手必须将诱饵噪音与真正的入侵区分开来,通过证据去证明初始据点的先后顺序(而不是主观假设),并学会从“缺失”的证据中进行推理——因为在这场狩猎中,最强有力的发现之一,正是那些故意没有发生的事情。 ## 狩猎结构 本次狩猎包含 18 个 flag,分为一个准备阶段和五个按顺序进行的调查阶段: | 阶段 | 重点 | |-------|-------| | **00 — 准备关卡** | 在接触案件前,确认已连接到正确的 Sentinel 工作区 | | **01 — 初始访问** | 真正的入口、初始据点的真实顺序、攻击者使用的客户端,以及访问服务器的方式 | | **02 — Linux 侦察与工具** | 提权检查、不使用扫描器测试网络连通性,以及用于内网跳板的工具 | | **03 — 跳板、执行与持久化** | 内部跳转、隐藏在日常自动化噪音中的手动键盘操作 shell,以及为了在重启后存活而植入的机制 | | **04 — 命令与控制** | 一个高仿信道、网络检测到的一个域名、未被检测到的两个域名,以及信标节奏证明了什么 | | **05 — 影响与评估** | 数据窃取、离开时使用的会话,以及让攻击者在不触碰安全工具体系的情况下自由运行的信任模型 | ## 遥测数据与工具 所有证据都存在于一个共享的 Microsoft Sentinel 工作区(`law-cyber-range`)中,并通过 **KQL** 在 Microsoft Defender for Endpoint 的高级搜寻表中进行调查: `DeviceProcessEvents` · `DeviceFileEvents` · `DeviceNetworkEvents` · `DeviceRegistryEvents` · `DeviceLogonEvents` · `DeviceEvents` 由于该工作区在多个狩猎环境中共享,因此严格界定查询范围是本次实践的一部分——每个查询都必须过滤出 Northpeak 的主机(`npt-ws01`、`npt-srv01`、`npt-linux01`),否则它会返回其他人的遥测数据。 ## 设计说明 我在这场狩猎中刻意设计了以下几点: - **将噪音作为诱饵。** 大量的登录失败风暴让入侵看起来像是暴力破解。实际的入口是一次干净、有效的账户认证——盲目追逐访问量的猎手会迷失方向。 - **事件顺序陷阱。** 数据的展现形式暗示 Linux 先被攻陷,Windows 后被攻陷。构建单一的跨平台时间线将证明事实并非如此。 - **将缺失作为证据。** 安静的表并非死胡同。没有篡改记录、没有文件被释放,这些本身就是有力的发现,指向了猎手必须准确命名的、更隐蔽的攻击手法。 - **将盲点作为信号。** 部分 C2 信道从未出现在网络遥测中。它在启动点留下的痕迹——以及某个控制台的检测盲区——就是我们要找的线索。 - **人与机器。** 攻击者的手动键盘操作被掩埋在常规的资产自动化任务中;将两者区分开来是本次狩猎重点演练的核心技能。 ## 此仓库包含什么 - **`index.html`** — 平台上操作简报的独立、完整副本(保留了原始样式,移除了所有平台相关代码)。 - **`assets/`** — 简报的封面图。 此仓库中**不**包含:flag、答案、KQL 解法或底层的攻击模拟。该狩猎目前是上线且可玩的状态——此处仅发布面向公众的简报。 ## 查看简报 **在线页面:** [loransee.github.io/Northpeak-Descent](https://loransee.github.io/northpeak-descent/) *(由 GitHub Pages 托管)* 或者在任何浏览器中本地打开 `index.html` —— 除了 Google Fonts 之外它没有任何外部依赖。 ## 作者 **Dogukan Oruc** — 威胁狩猎设计、攻击模拟、遥测工程及简报撰写。
标签:后端开发, 多模态安全