abhinavkishor9/windows-defender-multi-stage-attack-investigation

GitHub: abhinavkishor9/windows-defender-multi-stage-attack-investigation

该项目通过模拟多阶段 Windows 攻击并关联 Sysmon 与 Defender 日志,演示端点威胁狩猎与攻击时间线重建的完整流程。

Stars: 0 | Forks: 0

# windows-defender 多阶段攻击调查 ## 概述 本项目演示了一次模拟的多阶段 Windows 攻击,并使用 Sysmon 和 Microsoft Defender 对生成的遥测数据进行了调查。 其目的是了解端点活动如何生成安全事件,以及防御者如何关联日志以重建攻击时间线。 ## 实验目标 - 执行 PowerShell 脚本 - 使用计划任务建立持久性 - 模拟文件下载 - 触发 Microsoft Defender 快速扫描 - 调查 Sysmon 进程创建事件 - 调查 Microsoft Defender 操作日志 - 将多个事件关联成单一攻击时间线 ## 实验环境 - Windows 10 - Microsoft Defender Antivirus - Sysmon v15 - Windows Event Viewer - PowerShell ## 攻击场景 在模拟期间执行了以下活动: 1. 创建了 PowerShell payload。 2. 使用 PowerShell 执行了该 payload。 3. 创建了用于持久性的计划任务。 4. 使用 Invoke-WebRequest 模拟了文件下载。 5. 运行了 Microsoft Defender 快速扫描。 6. 调查了 Sysmon 和 Defender 日志。 7. 将所有事件关联成完整的攻击时间线。 ## 调查时间线 ### 阶段 1 – PowerShell 执行 观察方式: - Sysmon Event ID 1 证据 - powershell.exe 已执行 - payload.ps1 已启动 MITRE ATT&CK - T1059.001 – PowerShell ### 阶段 2 – 持久性 创建了一个名为 **SOCLabTask** 的计划任务。 目的 通过计划任务执行实现持久性。 MITRE ATT&CK - T1053.005 – Scheduled Task ### 阶段 3 – 文件下载 PowerShell 使用以下命令下载了一个文件: - Invoke-WebRequest 目的 模拟从 Internet 获取 payload。 MITRE ATT&CK - T1105 – Ingress Tool Transfer ### 阶段 4 – Microsoft Defender 响应 手动启动了快速扫描。 Windows Defender 生成了: - Event ID 1000 – Scan Started - Event ID 1001 – Scan Finished 收集的信息 - 扫描类型 - 扫描参数 - 用户 - 扫描持续时间 ## 事件关联 | 事件来源 | Event ID | 目的 | |--------------|---------|---------| | Sysmon | 1 | PowerShell 进程创建 | | Microsoft Defender | 1000 | Scan Started | | Microsoft Defender | 1001 | Scan Completed | ## MITRE ATT&CK 映射 | 活动 | 技术 | |----------|-----------| | PowerShell 执行 | T1059.001 | | 计划任务持久性 | T1053.005 | | 文件下载 | T1105 | ## 展示的技能 - 端点威胁狩猎 - Windows 事件日志分析 - Sysmon 调查 - Microsoft Defender 调查 - PowerShell 分析 - 进程创建分析 - 计划任务调查 - 时间线关联 - MITRE ATT&CK 映射 ## 学习成果 本实验展示了多个端点活动如何生成安全遥测数据,以及如何在 SOC 调查期间关联 Sysmon 和 Microsoft Defender 日志以重建攻击时间线。
标签:AI合规, Conpot, OpenCanary, Sysmon, Windows安全, 安全实验, 安全日志分析, 攻击溯源, 网络信息收集