ilolokerry/Threat-Hunting-Lab-Splunk
GitHub: ilolokerry/Threat-Hunting-Lab-Splunk
一个端到端的 Splunk 威胁狩猎实验记录,展示如何使用 SPL 查询追踪模拟攻击链并映射 MITRE ATT&CK 技术。
Stars: 0 | Forks: 0
# 威胁狩猎实验室 — Splunk
## 概述
本项目记录了一次在 Splunk 中进行的实践威胁狩猎练习。我端到端追踪了一次模拟攻击链,使用 SPL 查询 Windows 事件日志数据,狩猎执行、持久化、防御规避、命令与控制(C2)以及横向移动痕迹。每份报告都将狩猎到的技术与 MITRE ATT&CK 框架进行了映射,并记录了用于发现该技术的精确查询逻辑。
## 我所做的工作
- 在 Splunk 中追踪了完整的攻击链,将从初始执行到横向移动的事件进行关联,逐步重建攻击者的活动。
- 狩猎执行痕迹,包括基于 PowerShell 和 Cmd 的执行,以识别恶意的命令行活动。
- 狩猎进程树,以映射父子进程关系并发现异常的执行模式。
- 狩猎持久化痕迹,包括 Registry Run Keys 和查找表滥用,以检测攻击者建立的据点。
- 狩猎用于绕过或致盲安全监控的防御规避痕迹。
- 狩猎命令与控制(C2)活动,包括通过 LOLBAS 执行检测到的入口工具传输、文件系统事件以及网络连接日志。
- 通过 PsExec 狩猎横向移动,检测用于在主机间移动的服务创建、基于正则表达式的日志解析以及命名管道活动。
## 工具与数据源
- Splunk(SPL 查询、字段提取、事件关联)
- Windows 事件日志 / Sysmon 遥测数据
- 用于技术映射的 MITRE ATT&CK 框架
## 仓库结构
```
threat-hunting-lab-splunk/
├── README.md
├── part1-attack-chain-and-execution/
│ ├── tracing-an-attack-chain.md
│ ├── hunting-execution-artifacts.md
│ ├── hunting-powershell-execution.md
│ ├── hunting-cmd-execution.md
│ └── screenshots/
├── part2-process-trees-and-persistence/
│ ├── hunting-process-trees.md
│ ├── hunting-persistence-artifacts.md
│ ├── hunting-persistence-registry-run-keys.md
│ ├── hunting-persistence-lookup-tables.md
│ ├── hunting-defense-evasion-artifacts.md
│ └── screenshots/
├── part3-command-and-control/
│ ├── hunting-c2-artifacts.md
│ ├── hunting-c2-ingress-tool-transfer-lolbas.md
│ ├── hunting-c2-ingress-tool-transfer-file-system-events.md
│ ├── hunting-c2-ingress-tool-transfer-network-connection-events.md
│ └── screenshots/
└── part4-lateral-movement/
├── hunting-lateral-movement-artifacts.md
├── hunting-lateral-movement-psexec-service-creation.md
├── hunting-lateral-movement-psexec-reversing-regex.md
├── hunting-lateral-movement-psexec-named-pipes.md
└── screenshots/
```
## MITRE ATT&CK 映射
| 报告 | 技术 | 战术 |
|---|---|---|
| 狩猎 PowerShell 执行 | T1059.001 | 执行 |
| 狩猎 Cmd 执行 | T1059.003 | 执行 |
| 狩猎进程树 | T1057 | 发现 |
| 狩猎持久化:Registry Run Keys | T1547.001 | 持久化 |
| 狩猎持久化:查找表 | T1546 | 持久化 |
| 狩猎防御规避痕迹 | T1562 | 防御规避 |
| 狩猎 C2:入口工具传输 | T1105 | 命令与控制 |
| 狩猎横向移动:PsExec | T1021.002 | 横向移动 |
## 关键结论
- 跨越多个日志源的 SPL 关联是将孤立事件转化为完整攻击链的关键。
- 执行和持久化痕迹通常是最早且最可靠的入侵信号。
- 基于 LOLBAS 的工具传输会混入正常的管理员活动中,因此需要文件系统和网络事件来确认意图。
- 基于 PsExec 的横向移动会在服务创建、命名管道和日志格式中留下明显的痕迹,可以直接对这些痕迹进行狩猎。
## 总结
我构建并记录了一次完整的基于 Splunk 的威胁狩猎,涵盖了执行、持久化、防御规避、命令与控制(C2)以及横向移动,并将每项技术都映射到了 MITRE ATT&CK。
标签:ATT&CK框架, DNS 反向解析, FOFA, IP 地址批量处理, 安全分析与SIEM, 网络安全实验