browndarwin231-Tech/Darwin-TryHackMe-Threat-Hunting-Simulator-Lab
GitHub: browndarwin231-Tech/Darwin-TryHackMe-Threat-Hunting-Simulator-Lab
该项目记录了一次使用 Elastic SIEM 分析 Windows Sysmon 日志、追踪多阶段恶意活动并映射 MITRE ATT&CK 技术的 TryHackMe 威胁狩猎实战练习。
Stars: 0 | Forks: 0
# Darwin-TryHackMe-Threat-Hunting-Simulator-Lab
## 使用 Elastic SIEM 的 TryHackMe Threat Hunting Simulator 实战调查,分析恶意 PowerShell 活动、恶意软件执行、凭据转储、攻击者侦察以及 Windows Sysmon 日志,同时使用 MITRE ATT&CK 技术记录攻击链。
## 目标
- 调查可疑的 Windows 事件
- 分析 Sysmon 进程创建事件
- 识别恶意 PowerShell 活动
- 跟踪恶意软件执行
- 检测凭据转储
- 调查攻击者侦察
- 构建攻击时间线
- 使用 MITRE ATT&CK 记录发现
## 使用的工具
- TryHackMe Threat Hunting Simulator
- Elastic SIEM (Discover)
- Elastic Query Language (KQL)
- Windows Sysmon
- MITRE ATT&CK 框架
## 展示的技能
- 威胁狩猎
- SIEM 调查
- KQL 搜索
- 进程分析
- IOC 识别
- Windows 事件日志分析
- 恶意软件调查
- 凭据转储检测
- 攻击时间线重建
- MITRE ATT&CK 映射
## 攻击摘要
### 阶段 1 – 初始访问
攻击者使用 PowerShell 命令从外部网站下载了恶意可执行文件。
**MITRE ATT&CK**
- T1189 – Drive-by Compromise
### 阶段 2 – 恶意软件执行
下载的恶意软件 (`bomb.exe`) 被执行,使攻击者能够在受感染的工作站上获得代码执行权限。
**MITRE ATT&CK**
- T1204 – User Execution
### 阶段 3 – 凭据转储
攻击者执行了 **Mimikatz** 以从 LSASS 转储凭据并获取用户密码哈希。
**MITRE ATT&CK**
- T1003 – OS Credential Dumping
### 阶段 4 – 网络发现
攻击者执行了 Windows 命令行工具,以枚举用户、组、共享和网络信息。
**MITRE ATT&CK**
- T1016 – System Network Configuration Discovery
## 攻陷指标 (IOCs)
### 主机指标
- bomb.exe
- mimikatz.exe
- net.exe
- powershell.exe
### 网络指标
- www.7zipp.org
## MITRE ATT&CK 技术
| 技术 | ID |
|-----------|----|
| Drive-by Compromise | T1189 |
| User Execution | T1204 |
| OS Credential Dumping | T1003 |
| System Network Configuration Discovery | T1016 |
## 截图
### 1. Threat Hunting Simulator 简报

### 2. 威胁情报仪表板

### 3. Elastic Discover 概览

### 4. 进程创建事件

### 5. 检测到恶意下载

## 我学到了什么
- 使用 Elastic SIEM 调查了攻击者行为。
- 使用 KQL 查询了 Windows Sysmon 事件。
- 识别了恶意的 PowerShell 活动。
- 通过进程创建事件追踪了恶意软件执行。
- 检测到了使用 Mimikatz 进行的凭据转储。
- 使用 Windows 实用程序调查了攻击者侦察。
- 将攻击者的操作映射到了 MITRE ATT&CK 框架。
- 在结构化的事件时间线中记录了攻击生命周期。
## 作者
**Darwin Brown**
有志成为 SOC Tier 1
标签:Cloudflare, Elastic SIEM, MITRE ATT&CK, 后渗透, 安全攻防演练, 安全靶场, 搜索语句(dork)