browndarwin231-Tech/Darwin-TryHackMe-Threat-Hunting-Simulator-Lab

GitHub: browndarwin231-Tech/Darwin-TryHackMe-Threat-Hunting-Simulator-Lab

该项目记录了一次使用 Elastic SIEM 分析 Windows Sysmon 日志、追踪多阶段恶意活动并映射 MITRE ATT&CK 技术的 TryHackMe 威胁狩猎实战练习。

Stars: 0 | Forks: 0

# Darwin-TryHackMe-Threat-Hunting-Simulator-Lab ## 使用 Elastic SIEM 的 TryHackMe Threat Hunting Simulator 实战调查,分析恶意 PowerShell 活动、恶意软件执行、凭据转储、攻击者侦察以及 Windows Sysmon 日志,同时使用 MITRE ATT&CK 技术记录攻击链。 ## 目标 - 调查可疑的 Windows 事件 - 分析 Sysmon 进程创建事件 - 识别恶意 PowerShell 活动 - 跟踪恶意软件执行 - 检测凭据转储 - 调查攻击者侦察 - 构建攻击时间线 - 使用 MITRE ATT&CK 记录发现 ## 使用的工具 - TryHackMe Threat Hunting Simulator - Elastic SIEM (Discover) - Elastic Query Language (KQL) - Windows Sysmon - MITRE ATT&CK 框架 ## 展示的技能 - 威胁狩猎 - SIEM 调查 - KQL 搜索 - 进程分析 - IOC 识别 - Windows 事件日志分析 - 恶意软件调查 - 凭据转储检测 - 攻击时间线重建 - MITRE ATT&CK 映射 ## 攻击摘要 ### 阶段 1 – 初始访问 攻击者使用 PowerShell 命令从外部网站下载了恶意可执行文件。 **MITRE ATT&CK** - T1189 – Drive-by Compromise ### 阶段 2 – 恶意软件执行 下载的恶意软件 (`bomb.exe`) 被执行,使攻击者能够在受感染的工作站上获得代码执行权限。 **MITRE ATT&CK** - T1204 – User Execution ### 阶段 3 – 凭据转储 攻击者执行了 **Mimikatz** 以从 LSASS 转储凭据并获取用户密码哈希。 **MITRE ATT&CK** - T1003 – OS Credential Dumping ### 阶段 4 – 网络发现 攻击者执行了 Windows 命令行工具,以枚举用户、组、共享和网络信息。 **MITRE ATT&CK** - T1016 – System Network Configuration Discovery ## 攻陷指标 (IOCs) ### 主机指标 - bomb.exe - mimikatz.exe - net.exe - powershell.exe ### 网络指标 - www.7zipp.org ## MITRE ATT&CK 技术 | 技术 | ID | |-----------|----| | Drive-by Compromise | T1189 | | User Execution | T1204 | | OS Credential Dumping | T1003 | | System Network Configuration Discovery | T1016 | ## 截图 ### 1. Threat Hunting Simulator 简报 ![Threat Hunting Simulator 简报](https://raw.githubusercontent.com/browndarwin231-Tech/Darwin-TryHackMe-Threat-Hunting-Simulator-Lab/main/screenshots/01-typo-snare-briefing.png) ### 2. 威胁情报仪表板 ![威胁情报仪表板](https://raw.githubusercontent.com/browndarwin231-Tech/Darwin-TryHackMe-Threat-Hunting-Simulator-Lab/main/screenshots/02-threat-intel-dashboard.png) ### 3. Elastic Discover 概览 ![Elastic Discover 概览](https://raw.githubusercontent.com/browndarwin231-Tech/Darwin-TryHackMe-Threat-Hunting-Simulator-Lab/main/screenshots/03-elastic-discover-overview.png) ### 4. 进程创建事件 ![进程创建事件](https://raw.githubusercontent.com/browndarwin231-Tech/Darwin-TryHackMe-Threat-Hunting-Simulator-Lab/main/screenshots/04-process-creation-events.png) ### 5. 检测到恶意下载 ![检测到恶意下载](https://raw.githubusercontent.com/browndarwin231-Tech/Darwin-TryHackMe-Threat-Hunting-Simulator-Lab/main/screenshots/05-malicious-download-detected.png) ## 我学到了什么 - 使用 Elastic SIEM 调查了攻击者行为。 - 使用 KQL 查询了 Windows Sysmon 事件。 - 识别了恶意的 PowerShell 活动。 - 通过进程创建事件追踪了恶意软件执行。 - 检测到了使用 Mimikatz 进行的凭据转储。 - 使用 Windows 实用程序调查了攻击者侦察。 - 将攻击者的操作映射到了 MITRE ATT&CK 框架。 - 在结构化的事件时间线中记录了攻击生命周期。 ## 作者 **Darwin Brown** 有志成为 SOC Tier 1
标签:Cloudflare, Elastic SIEM, MITRE ATT&CK, 后渗透, 安全攻防演练, 安全靶场, 搜索语句(dork)