abhinavkishor9/windows-defender-multi-stage-attack-investigation
GitHub: abhinavkishor9/windows-defender-multi-stage-attack-investigation
该项目通过模拟多阶段 Windows 攻击并关联 Sysmon 与 Defender 日志,演示端点威胁狩猎与攻击时间线重建的完整流程。
Stars: 0 | Forks: 0
# windows-defender 多阶段攻击调查
## 概述
本项目演示了一次模拟的多阶段 Windows 攻击,并使用 Sysmon 和 Microsoft Defender 对生成的遥测数据进行了调查。
其目的是了解端点活动如何生成安全事件,以及防御者如何关联日志以重建攻击时间线。
## 实验目标
- 执行 PowerShell 脚本
- 使用计划任务建立持久性
- 模拟文件下载
- 触发 Microsoft Defender 快速扫描
- 调查 Sysmon 进程创建事件
- 调查 Microsoft Defender 操作日志
- 将多个事件关联成单一攻击时间线
## 实验环境
- Windows 10
- Microsoft Defender Antivirus
- Sysmon v15
- Windows Event Viewer
- PowerShell
## 攻击场景
在模拟期间执行了以下活动:
1. 创建了 PowerShell payload。
2. 使用 PowerShell 执行了该 payload。
3. 创建了用于持久性的计划任务。
4. 使用 Invoke-WebRequest 模拟了文件下载。
5. 运行了 Microsoft Defender 快速扫描。
6. 调查了 Sysmon 和 Defender 日志。
7. 将所有事件关联成完整的攻击时间线。
## 调查时间线
### 阶段 1 – PowerShell 执行
观察方式:
- Sysmon Event ID 1
证据
- powershell.exe 已执行
- payload.ps1 已启动
MITRE ATT&CK
- T1059.001 – PowerShell
### 阶段 2 – 持久性
创建了一个名为 **SOCLabTask** 的计划任务。
目的
通过计划任务执行实现持久性。
MITRE ATT&CK
- T1053.005 – Scheduled Task
### 阶段 3 – 文件下载
PowerShell 使用以下命令下载了一个文件:
- Invoke-WebRequest
目的
模拟从 Internet 获取 payload。
MITRE ATT&CK
- T1105 – Ingress Tool Transfer
### 阶段 4 – Microsoft Defender 响应
手动启动了快速扫描。
Windows Defender 生成了:
- Event ID 1000 – Scan Started
- Event ID 1001 – Scan Finished
收集的信息
- 扫描类型
- 扫描参数
- 用户
- 扫描持续时间
## 事件关联
| 事件来源 | Event ID | 目的 |
|--------------|---------|---------|
| Sysmon | 1 | PowerShell 进程创建 |
| Microsoft Defender | 1000 | Scan Started |
| Microsoft Defender | 1001 | Scan Completed |
## MITRE ATT&CK 映射
| 活动 | 技术 |
|----------|-----------|
| PowerShell 执行 | T1059.001 |
| 计划任务持久性 | T1053.005 |
| 文件下载 | T1105 |
## 展示的技能
- 端点威胁狩猎
- Windows 事件日志分析
- Sysmon 调查
- Microsoft Defender 调查
- PowerShell 分析
- 进程创建分析
- 计划任务调查
- 时间线关联
- MITRE ATT&CK 映射
## 学习成果
本实验展示了多个端点活动如何生成安全遥测数据,以及如何在 SOC 调查期间关联 Sysmon 和 Microsoft Defender 日志以重建攻击时间线。
标签:AI合规, Conpot, OpenCanary, Sysmon, Windows安全, 安全实验, 安全日志分析, 攻击溯源, 网络信息收集