madelynncharron/threat-hunting-scenario-credential-access-dc
GitHub: madelynncharron/threat-hunting-scenario-credential-access-dc
一份基于 Wazuh 平台的威胁狩猎报告,记录了对域控疑似凭据访问告警的调查全过程,最终确认为 Duo MFA 代理流量引发的误报。
Stars: 0 | Forks: 0
# 威胁狩猎报告:域控上的凭据访问告警
**作者:** Madelynn Charron
**日期:** 2026年6月
**使用工具:** Wazuh (OpenSearch Dashboards / DQL)
## 概述
在针对未经授权的凭据访问活动进行主动威胁狩猎时,我在域控制器 `DC08` 上识别出一种模式,该模式匹配 MITRE ATT&CK 的 **Credential Access** 战术——特别类似于 Pass-the-Hash 模式。本报告通过 Wazuh 的威胁狩猎查询界面 (DQL) 查询通过 agent 摄取到 Wazuh 的 Windows 安全事件日志数据和身份验证活动,完整梳理了从初步发现到根本原因的调查过程。
**状态:** 已关闭 — 误报
**使用工具:** Wazuh (OpenSearch Dashboards / DQL)
## 调查过程
### 步骤 1 — 筛选可疑活动
```
rule.mitre.tactic: "Credential Access"
```
查询映射到 Credential Access 战术的活动,以识别值得进一步调查的候选目标,并为后续的狩猎限定时间窗口。
### 步骤 2 — 查找底层的登录失败事件
```
agent.name: "DC08" and data.win.system.eventID: 4625
```
提取触发检测规则的原始登录失败事件 (Event ID 4625),而不是仅仅依赖告警摘要。
### 步骤 3 — 检查来自同一来源的登录成功事件
```
agent.name: "DC08" and data.win.system.eventID: 4624 and data.win.eventdata.ipAddress: 10.11.0.66
```
确定源 IP 最终是否成功通过了身份验证——这对于区分“有人在猜测密码”和“看起来噪声很大的已知身份验证流量”非常重要。
### 步骤 4a — 检查横向移动
```
data.win.eventdata.ipAddress: 10.11.0.66 and not agent.name: "DC08"
```
搜索在同一源 IP 对环境中*其他*主机进行身份验证的记录。没有命中——没有发现横向移动的证据。
### 步骤 4b — 检查持久化或后渗透活动
```
data.win.system.eventID: (7045 or 4698 or 4702) and data.win.eventdata.ipAddress: 10.11.0.66
```
查找与该源 IP 相关的新的服务、计划任务或任务修改(常见的持久化机制)。没有命中。
### 步骤 5 — 识别该来源的真实身份
```
agent.name: "DUOPROXY02"
```
查询结果指向一台受 Wazuh 监控的、名为 `DUOPROXY02` 的主机。我在例会上与 IT 团队确认了这一点,他们核实该 IP 属于组织的 Duo MFA Authentication Proxy——通过人工渠道对日志数据进行了交叉验证,而不是仅仅依赖主机名。
## 根本原因
这种 NTLM 身份验证模式是 **Duo MFA proxy 的预期行为**,而不是攻击者——这一点已得到 IT 团队的确认,他们核实该源 IP 属于组织的 Duo Authentication Proxy。Duo 代理将身份验证请求中继到域控制器的方式,在基于特征的规则看来,其结构类似于 NTLM 中继/PtH 流量,但实际上并不带有恶意。
在整个环境中,均未发现与该来源相关的任何横向移动、权限提升或后渗透活动的证据。
## 为什么这很重要
人们很容易将每个看起来可疑的命中都当作真正的安全事件来处理,但更有用的技能是知道如何真正排除嫌疑。在这里,这意味着要检查攻击者活动也会引发的那些显而易见的后续问题:该来源是否进行了横向移动?它是否试图建立持久化?一旦这两项检查的结果都是干净的,我就可以自信地将其判定为与正常 Duo MFA proxy 行为相关的误报,而不是仅仅耸耸肩就略过。
这也指出了一个实际的修复方法:如果这种模式不断出现并每次都引发调查,那就是在浪费分析师的时间。建议调整检测规则,或者为已知的 Duo 代理流量添加一个例外,使其不再反复弹窗告警。
## 建议
1. 为来自 `DUOPROXY02` 的已知 Duo 代理 NTLM 流量创建检测例外/白名单条目,以减少此规则上反复出现的误报。
2. 记录 MFA proxy 基础设施的预期身份验证模式,以便未来的分析师能更快地对这种模式进行分类甄别。
3. 定期针对其他已知基础设施(例如其他代理、服务账户)审查 Pass-the-Hash 规则的误报率,以主动捕获类似的噪声来源。
标签:Wazuh, 安全运营, 扫描框架