ilolokerry/Threat-Hunting-Lab-Splunk

GitHub: ilolokerry/Threat-Hunting-Lab-Splunk

一个端到端的 Splunk 威胁狩猎实验记录,展示如何使用 SPL 查询追踪模拟攻击链并映射 MITRE ATT&CK 技术。

Stars: 0 | Forks: 0

# 威胁狩猎实验室 — Splunk ## 概述 本项目记录了一次在 Splunk 中进行的实践威胁狩猎练习。我端到端追踪了一次模拟攻击链,使用 SPL 查询 Windows 事件日志数据,狩猎执行、持久化、防御规避、命令与控制(C2)以及横向移动痕迹。每份报告都将狩猎到的技术与 MITRE ATT&CK 框架进行了映射,并记录了用于发现该技术的精确查询逻辑。 ## 我所做的工作 - 在 Splunk 中追踪了完整的攻击链,将从初始执行到横向移动的事件进行关联,逐步重建攻击者的活动。 - 狩猎执行痕迹,包括基于 PowerShell 和 Cmd 的执行,以识别恶意的命令行活动。 - 狩猎进程树,以映射父子进程关系并发现异常的执行模式。 - 狩猎持久化痕迹,包括 Registry Run Keys 和查找表滥用,以检测攻击者建立的据点。 - 狩猎用于绕过或致盲安全监控的防御规避痕迹。 - 狩猎命令与控制(C2)活动,包括通过 LOLBAS 执行检测到的入口工具传输、文件系统事件以及网络连接日志。 - 通过 PsExec 狩猎横向移动,检测用于在主机间移动的服务创建、基于正则表达式的日志解析以及命名管道活动。 ## 工具与数据源 - Splunk(SPL 查询、字段提取、事件关联) - Windows 事件日志 / Sysmon 遥测数据 - 用于技术映射的 MITRE ATT&CK 框架 ## 仓库结构 ``` threat-hunting-lab-splunk/ ├── README.md ├── part1-attack-chain-and-execution/ │ ├── tracing-an-attack-chain.md │ ├── hunting-execution-artifacts.md │ ├── hunting-powershell-execution.md │ ├── hunting-cmd-execution.md │ └── screenshots/ ├── part2-process-trees-and-persistence/ │ ├── hunting-process-trees.md │ ├── hunting-persistence-artifacts.md │ ├── hunting-persistence-registry-run-keys.md │ ├── hunting-persistence-lookup-tables.md │ ├── hunting-defense-evasion-artifacts.md │ └── screenshots/ ├── part3-command-and-control/ │ ├── hunting-c2-artifacts.md │ ├── hunting-c2-ingress-tool-transfer-lolbas.md │ ├── hunting-c2-ingress-tool-transfer-file-system-events.md │ ├── hunting-c2-ingress-tool-transfer-network-connection-events.md │ └── screenshots/ └── part4-lateral-movement/ ├── hunting-lateral-movement-artifacts.md ├── hunting-lateral-movement-psexec-service-creation.md ├── hunting-lateral-movement-psexec-reversing-regex.md ├── hunting-lateral-movement-psexec-named-pipes.md └── screenshots/ ``` ## MITRE ATT&CK 映射 | 报告 | 技术 | 战术 | |---|---|---| | 狩猎 PowerShell 执行 | T1059.001 | 执行 | | 狩猎 Cmd 执行 | T1059.003 | 执行 | | 狩猎进程树 | T1057 | 发现 | | 狩猎持久化:Registry Run Keys | T1547.001 | 持久化 | | 狩猎持久化:查找表 | T1546 | 持久化 | | 狩猎防御规避痕迹 | T1562 | 防御规避 | | 狩猎 C2:入口工具传输 | T1105 | 命令与控制 | | 狩猎横向移动:PsExec | T1021.002 | 横向移动 | ## 关键结论 - 跨越多个日志源的 SPL 关联是将孤立事件转化为完整攻击链的关键。 - 执行和持久化痕迹通常是最早且最可靠的入侵信号。 - 基于 LOLBAS 的工具传输会混入正常的管理员活动中,因此需要文件系统和网络事件来确认意图。 - 基于 PsExec 的横向移动会在服务创建、命名管道和日志格式中留下明显的痕迹,可以直接对这些痕迹进行狩猎。 ## 总结 我构建并记录了一次完整的基于 Splunk 的威胁狩猎,涵盖了执行、持久化、防御规避、命令与控制(C2)以及横向移动,并将每项技术都映射到了 MITRE ATT&CK。
标签:ATT&CK框架, DNS 反向解析, FOFA, IP 地址批量处理, 安全分析与SIEM, 网络安全实验