实战威胁狩猎：利用ELK狩猎终端攻击（数据收集、外泄与破坏）

Try Hack Me — Threat Hunting: Endgame — 演练

0x4C1D

关注

17 分钟阅读 · 2023年9月29日

521次播放 分享

进入或点击以查看完整图片

房间链接：https://tryhackme.com/room/threathuntingendgame

难度：中等

标签： #ThreatHunting, #Kibana, #ActionAndObjectives, #Exfiltration, #Impact

这是第三个新发布的SOC L2部分房间。请享受，并仅在遇到困难时使用。

你可以在下面找到前两个房间的链接：

链接至 — Threat Hunting: Introduction

链接至 — Threat Hunting: Foothold

链接至 — Threat Hunting: Pivoting

祝你玩得开心。

任务 1 — 介绍

————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————

Threat Hunting: Endgame

在本房间中，你将学习如何实施威胁狩猎流程，以追查在"网络杀伤链"的"目标行动"阶段执行的恶意活动。你还将体验在收集、外泄和影响战术下常用MITRE ATT&CK技术的狩猎过程。本房间的最终目标是教授如何进行威胁狩猎调查，以检测攻击者在系统中的主要目标。

学习目标

• 获得应用实践的威胁狩猎调查技能。
• 熟悉"目标行动"阶段。
• 熟悉关联和评估假设的工件。
• 体验针对定义范围的威胁狩猎过程。

房间先决条件

• Windows 事件日志
• Windows 取证 1 & 2
• 核心 Windows 进程
• Sysmon
• Sysinternals
• MITRE
• 威胁模拟模块（即将推出！）

问题：阅读上面的任务。

答案：无需回答。

任务 2 — "目标行动"威胁狩猎入门

————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————

威胁狩猎与 MITRE ATT&CK

威胁狩猎是一种主动且系统迭代的方法，专注于检测/发现恶意或可疑活动的主动安全调查过程/实践。MITRE ATT&CK框架是一个联合知识库，用于解释、映射和绑定对手使用的战术和技术。狩猎过程利用该框架作为指导，使用已知和新出现的威胁作为参考来制定假设、进行调查，并对活动进行分类和分级。

统一杀伤链与"目标行动"阶段

"目标行动"阶段是"网络杀伤链"的第七个也是最后一个阶段。此阶段的目标是完成对手活动的目的。典型目标包括数据外泄、数据破坏/中断、勒索加密和凭据窃取。理解对手的目的/目标对于成功有效的威胁狩猎实践至关重要。

再次强调，在威胁狩猎过程中，熟悉统一杀伤链和MITRE ATT&CK至关重要。因此，对检测到的活动进行分类和分级将变得容易。此外，在狩猎此阶段时，请记住攻击者已经规避了已建立的安全措施，拥有持久访问权限，并准备完成其目标。最后，请始终记住对手的侧写和动机各不相同，因此他们可能会根据其动机、目的和目标执行各种或额外的/意外的活动。

主动威胁狩猎心态/方法

主动威胁狩猎心态指的是主动追查过程并在范围内寻找潜在的威胁/入侵指标。主动方法的最终目的是在威胁造成重大损害或在系统中未被注意之前识别它们。"未被注意"的部分被称为"驻留时间"。它代表了威胁行为者在被检测和清除之前访问受感染系统的平均时间。驻留时间越长，对受感染系统造成影响的风险就越大，因为将有更多机会实现目标（针对目标的行动）。许多安全提供商的报告和分析结果表明，当前（2023年第一季度）的平均驻留时间为20-25天。尽可能缩短平均驻留时间是所有蓝队成员的另一个目标。这就是主动心态/方法提高威胁狩猎过程有效性的地方。

主动探索、假设驱动方法、持续监控、利用威胁情报、分析和持续改进是主动心态的关键方面。设计和采用主动威胁狩猎心态可能需要时间。然而，在这样的轨道上工作可以增强安全团队的威胁检测能力和成熟度水平，从而减少平均驻留时间。

最后但并非最不重要：有效威胁狩猎的原子提示

考虑范围和组织资产所有者（组织）的特征、独特因素、运营行业、特定威胁态势和监管要求始终至关重要。观察上述关键点将帮助你实施定制化和有效的威胁狩猎过程。

狩猎和评估方法也可能因实施者的经验和实施领域而异。然而，基础心态始终相同：寻找、检测和根除威胁。

尽可能/可用时，利用威胁情报和MITRE ATT&CK映射。此外，确保遵守隐私和保密协议。

遵循和识别特定的框架步骤有时可能会让人不知所措（由于案例复杂性或分析师的经验水平）。但是，总是可以从定制化（稍微简化）的方法开始，并与团队成员和负责/授权的利益相关者合作。

问题：用来表示对手在网络中生存期的术语是什么？

答案：驻留时间

任务 3— 工具集和提示

————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————

工具集和提示

在本房间中，你有一个ELK实例来帮助你在多个日志文件中进行狩猎。所有日志数据都是预先生成的，并为每个狩猎场景提供单独的索引。更多详细信息在下表中共享。

进入或点击以查看完整图片

进入或点击以查看完整图片

问题：阅读上面的任务并启动附加的ELK仪表板。

答案：无需回答。

任务 4— 战术：收集

————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————

战术：收集

收集战术（也称为TA0009）是攻击者使用（或可能使用）的一组技术，用于从目标系统中收集对其目标可能有价值的数据。由于目标数据直接与攻击者的目标相关联，因此并不总是能够确定哪种数据类型面临重大风险。然而，在威胁狩猎过程中，应考虑一些常见的被获取数据源：

• 可用于利用、横向移动、权限提升的数据。
• 可用于情报收集的数据。
• 可以货币化的数据。
• 包含机密信息、财务记录、知识产权和个人可识别信息的数据。

常用技术如下：

• 中间人攻击
• ARP / LLMNR 投毒
• SMB 中继
• DHCP 欺骗
• 劫持
• 流量转储
• 键盘记录
• 输入捕获
• 从本地/云/存储库收集数据

下表总结了收集战术（也称为TA0009）。

进入或点击以查看完整图片

案例示例：狩猎键盘记录

此案例示例演示了键盘记录器狩猎的练习。这个迷你场景是追查由被滥用的管理员帐户或获得管理员shell会话的攻击者触发的键盘记录器活动。请注意，事前和事后活动不在本次狩猎的范围内；案例示例直接侧重于检测键盘记录活动。

让我们以"事物如何运作"的心态来略读关键点，开始狩猎键盘记录器。

键盘记录器（也称为击键记录器）是记录所有执行键盘活动的工具/实用程序。最常见的形式是通过直接API调用、注册表修改器、恶意驱动程序文件、定制脚本和函数调用以及打包的可执行文件来实现的。大多数现代安全工具可以检测键盘记录器模式，但手动狩猎恶意模式的能力是在威胁狩猎战场上生存的关键。

请注意，实现键盘记录器和检测它的方法有多种。在本案例中，我们狩猎键盘记录器活动的一种常见形式：API执行。下表总结了给定案例的击键记录方法的主要特征。

进入或点击以查看完整图片

进入或点击以查看完整图片

从给定的场景和信息开始，我们将使用关于进程执行和模式匹配的整体搜索洞察力。我们的假设很明确；我们在给定的模式范围内寻找键盘记录动作。我们将使用以下KQL查询快速检查是否有任何可用的日志文件与任何给定的模式匹配：

*GetKeyboardState* or *SetWindowsHook* or *GetKeyState* or *GetAsynKeyState* or *VirtualKey* or *vKey* or *filesCreated* or *DrawText*

进入或点击以查看完整图片

根据结果，可以看到在给定索引中有多个模式匹配。实施快速筛选还显示，主要可见性来自以下日志文件：

Microsoft-Windows-PowerShell/Operational

添加列筛选器显示该文件包含可疑模式。

选择的列：

winlog.channel

winlog.event_data.Path

winlog.event_data.ScriptBlockText

进入或点击以查看完整图片

现在我们有了可疑的文件名和执行的代码块，这给出了另一个可疑的文件名，所以让我们更深入地了解与发现的文件相关的活动，使用以下查询：

*chrome-update_api.ps1* or *chrome_local_profile.db*

请注意，我们设置了以下列以增加可见性：

winlog.channel

winlog.event_data.Path

winlog.event_data.ScriptBlockText

winlog.event_data.CommandLine

winlog.event_data.Data.#text

进入或点击以查看完整图片

先前的结果显示，使用'wget'命令下载了可疑的PowerShell文件并由用户执行。执行的文件是一个脚本；详细信息在应用的列中可见。根据可见的脚本行，我们可以看到第二个可疑文件是键盘记录器的数据库。让我们更深入地了解数据库文件的更多详细信息，使用以下查询：

winlog.event_data.ScriptBlockText : "*chrome_local_profile.db*"

更新列筛选器以增加可见性：

winlog.event_data.Path

winlog.event_data.ScriptBlockText

winlog.event_data.Payload

进入或点击以查看完整图片

这个结果提供了关于数据库文件的更多洞察。'cat'命令用于列出/查看文件内容，因此可能会看到数据库文件的内容并发现记录的击键。

此时，可以利用这些发现来构建搜索链，关联进程执行的父子关系，以获得关于可疑脚本和数据库文件的更多洞察。同样地，专注于命令执行时间并使用View surrounding documents选项深入研究后续事件将提供类似的选择。

所需的步骤：

1. 点击左上角的箭头以展开日志/事件的详细信息。
2. 点击"View surrounding documents"链接/按钮。 进入或点击以查看完整图片

此选项创建一个按时间顺序显示事件的列表。点击Load 5 newer documents链接/按钮以跟踪执行cat命令后的事件。请注意，你点击的事件将显示为浅蓝色，作为搜索的起点。

进入或点击以查看完整图片

我们期望在终端上有一个命令结果的副本，因为命令输出没有重定向到任何文件或地址。这就是为什么我们专注于执行的命令、时间和负载详细信息。现在，键盘记录器数据库的内容完全可见！

结论

根据结果，存在多个活动，包括Chrome、PowerShell、Notepad和其他系统程序。仔细调查结果后，我们注意到PowerShell启动了一个进程，该进程导致子进程从远程主机下载恶意脚本，记录击键并在系统中创建数据库文件。

这是使用给定模式集狩猎键盘记录器活动的最简单方法。不过，你仍然应该跟踪检测到的文件和进程，以识别它们之间的关系，创建时间线并发现记录/窃取的数据。

关于下一步查看内容和操作的建议：

• 文件创建活动，以检测恶意PowerShell脚本何时以及如何创建。
• 进程关系，以理解对手活动的起点。
• 函数调用，以理解攻击者是否打开或传输转储的数据库。

问题：下载恶意脚本的进程的进程ID是什么？

答案：3388

问题：记录的邮件帐户是什么？

答案：hunted-victim2323@gmail.com

任务 5 —战术：外泄

————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————

战术：外泄

外泄战术（也称为TA0010）是攻击者使用（或可能使用）的一组技术，用于从目标系统/网络窃取或泄露数据。由于该战术的最终目的是窃取/泄露数据，因此压缩和加密技术也会出现。压缩和加密通常用于收集尽可能多的数据并避免检测。该战术的常见表现形式如下：

• 将数据发送到命令和控制服务器/通道。
• 通过限制传输大小，将数据发送到备用通道。

常用技术如下：

• 流量复制
• 通过备用协议传输数据
• 通过加密/未加密的C2通道传输数据
• 通过Web服务和云存储介质进行外泄
• 通过蓝牙和便携设备进行外泄

请注意，上述外泄技术可能由自动化或计划作业触发。下表总结了外泄战术（也称为TA00010）。

进入或点击以查看完整图片

案例示例：通过ICMP进行数据外泄

此案例示例演示了通过ICMP进行数据外泄的狩猎练习。这个迷你场景是通过专注于纯粹的Windows工件，来狩猎通过ICMP流量通道进行的数据外泄。请注意，这次我们关注系统和进程而不是网络流量，以深入了解事件，并学习在数据外泄期间系统/进程级别发生的变化。

请注意，实现外泄和检测它的方法有多种。通常，攻击者使用系统原生或其自己的命令和控制通道，并控制大小限制来传输/外泄数据。有时，攻击者实施两个阶段的外泄，首先通过未加密协议将数据传输到替代网络位置，然后再传输到其专用且加密的命令和控制通道。网络IDS和IPS解决方案为检测此类活动提供了令人难以置信的详细信息。再次强调，理解脚本化操作的系统级过程是一个很大的优势。下表总结了给定案例的常见数据外泄方法的主要特征。

进入或点击以查看完整图片

从给定的场景和信息开始，我们将使用关于进程执行和模式匹配的整体搜索洞察力。我们的假设很明确：我们正在寻找导致数据传输的系统工具调用。我们将使用以下KQL查询快速检查是否有任何给定的日志文件与任何给定的模式匹配：

*$ping* or *$ipconfig* or *$arp* or *$route* or *$telnet* or *$tracert* or *$nslookup* or *$netstat* or *$netsh* or *$smb* or *$smtp* or *$scp* or *$ssh* or *$wget* or *$curl* or *$certutil* or *$nc* or *$ncat* or *$netcut* or *$socat* or *$dnscat* or *$ngrok* or *$psfile* or *$psping* or *$tcpvcon* or *$tftp* or *$socks* or *$Invoke-WebRequest* or *$server* or *$post* or *$ssl* or *$encod* or *$chunk* or *$ssl*

进入或点击以查看完整图片

有一个匹配项！现在，让我们继续使用检测到的系统调用来进行狩猎，运行此筛选器：

*System.Net.Networkinformation.ping*

请注意，我们筛选了以下列，以揭示是否有任何可执行文件参与了可疑活动：

winlog.event_data.Path

进入或点击以查看完整图片

结果显示一个可疑的PowerShell脚本。展开日志并查看详细信息。此脚本正在使用ICMP数据包传输文件。换句话说，它是一个数据外泄脚本！

使用View Surrounding Documents选项可能会提供关于脚本的良好洞察，但让我们运行以下查询以查看所有相关的活动。

*icmp4data.ps1*

更新列筛选器以增加可见性：

winlog.event_data.Path

winlog.event_data.ScriptBlockText

进入或点击以查看完整图片

该查询返回了精确的结果，通过识别外泄脚本、外泄文件和上传服务器来结束狩猎！

结论

根据结果，可以看到发现的脚本用于通过ICMP协议外泄数据。与之前的狩猎不同，没有预先的下载外泄脚本的指示器。很可能是由攻击者创建的，或者通过不同的技术植入的。

这是通过系统原生工具在未加密通道上狩猎数据外泄的最简单方法。不过，你应该调查查询结果以深化和丰富你的发现。识别脚本如何工作以及哪些数据被外泄。

关于下一步查看内容和操作的建议：

• 外泄脚本分析（它是如何工作的）。
• 外泄目的地。
• 与外泄目的地建立的连接。

问题：发送的ICMP数据包总数是多少？

答案：21

问题：每个数据包携带的数据量（块）是多少字节？

答案：15

问题：外泄的文档名称是什么？

答案：chrome_local_profile.db

问题：外泄文档被发送到的服务器IP地址（已混淆）是什么？

答案：10.10.87.116

任务 6 — 战术：影响

————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————

战术：影响

影响战术（也称为TA0040）是攻击者使用（或可能使用）的一组技术，通过以数据破坏/中断/操纵的方式完成一系列程序，来破坏可用性、阻碍预期功能并损害完整性。由于每个攻击者都有不同的目的，狩猎者应始终尽可能考虑有价值的数据或系统资源。有时，攻击者会更改数据，并使所有过程在利用期间看起来正常。因此，狩猎攻击链的影响部分需要极其关注，以便在干草堆中找到那根针。该战术的常见表现形式如下：

• 勒索软件
• 文件销毁和删除
• 数据操纵

常用技术如下：

• 通过修改主要设置中断系统环境
• 帐户操纵
• 访问操纵
• 网络配置
• 数据破坏、中断和操纵
• 数据加密
• 污损
• 服务破坏

下表总结了影响战术（也称为TA0040）。

进入或点击以查看完整图片

案例示例：数据中断/操纵

此示例演示了通过原生系统进程进行数据破坏和恢复操纵的狩猎练习。这个迷你场景是狩猎卷影备份删除和系统恢复点损坏，与Olympic Destroyer APT组织的做法相同。

请注意，实现系统中断/操纵和检测它的方法有多种。通常，攻击者使用原生系统实用程序来规避安全产品并保持不被检测。虽然勒索软件是首先想到的事情之一，但它并不总是用于间接的长期系统中断目标。因此，无声的邪恶目标可以被视为不那么明显但具有类似影响。下表总结了给定案例的常见数据中断方法的主要特征。

进入或点击以查看完整图片

从给定的场景和信息开始，我们将使用关于进程执行和模式匹配的整体搜索洞察力。我们的假设很明确：我们正在寻找导致系统中断和数据操纵的系统工具调用。我们将使用以下KQL查询快速检查是否有任何给定的日志文件与任何给定的模式匹配：

*del* or *rm* or *vssadmin* or *wbadmin* or *bcdedit* or *wevutil* or *shadow* *recovery* or *bootstatuspolicy*

进入或点击以查看完整图片

结果难以获得洞察。让我们按日志源进行可视化，并决定首先关注哪里。

点击以下字段并选择可视化选项：

winlog.channel

然后，选择表格格式。

进入或点击以查看完整图片

由于我们正在寻找系统原生工具，安全日志可能提供容易发现的成果。让我们回到主筛选器，并将安全日志添加为日志源筛选器。

进入或点击以查看完整图片

时间字段可以帮助我们突出显示第一个执行的命令。但是，我们仍然需要确定动作的实际起点。让我们专注于第一个可疑事件，通过筛选事件ID，但不缩小日志源的搜索范围。

winlog.event_data.ProcessId : "1972"

更新列筛选器以增加可见性：

winlog.event_data.CommandLine

winlog.event_data.ParentProcessName

winlog.event_data.ProcessId

winlog.event_data.ParentProcessId

winlog.event_data.ParentImage

进入或点击以查看完整图片

此查询提供了足够清晰的结果，可以探索和关联父子进程关系。因此，父进程已被发现，并且所有你需要的嵌套细节都可见！

结论

根据结果，可以看到揭示的动作旨在通过删除卷影副本和破坏系统恢复点/服务来中断系统。

这是使用原生系统工具/实用程序狩猎系统数据操纵的最简单方法。不过，你应该调查查询结果以深化和丰富你的发现。

关于下一步查看内容和操作的建议：

• 发现启动子进程以执行计划的攻击者行动的主要进程。
• 识别链接的PowerShell和CommandShell执行。

问题：用于删除卷影副本的系统可执行文件名称是什么？

答案：vssadmin.exe

问题：启动攻击链的主要shell映像是什么？

答案：powershell.exe

问题：启动攻击链的进程ID是什么？

答案：6512

任务 7 —结论

————————————————————————————————————————————————————————————————————————————————————————————————————————————————————————

结论

恭喜！你已经完成了对三种不同MITRE ATT&CK战术的狩猎。为了总结本房间，让我们详细总结我们讨论过的狩猎方法。

进入或点击以查看完整图片

下面的列表将帮助你创建主动狩猎能力和更具弹性的攻击面。

• 了解你的环境范围、组件和预期的活动模式。
• 实施持续监控解决方案以提高可见性。
• 实施行为分析和威胁情报解决方案。
• 规划并实践威胁狩猎、紫队演练和事件响应演练。

本房间涵盖了追查与受感染主机内目标行动相关的可疑活动的方法。一旦威胁行为者和攻击者成功入侵主机，他们在从前面的攻击步骤获得足够资源后，就会完成其目标行动。本房间提供了一个交互式环境，用于练习攻击者实施的一些常见目标行动程序。

问题：阅读上面的任务。

答案：无需回答。

总结

再次愉快地了解了我们如何获得外泄事件事件和子数据的有用洞察。做得很好。我很享受其中的每一分钟。

强烈建议浏览这些房间并享受 :)

下次见。

CSD0tFqvECLokhw9aBeRqh9bhwdMNzztGiyHFgqK6m4DY/Psqb0fliQRdNU/0VD31VYeNfrgd/AiyUhritjGReXVXxQyvPSCcU54ZFYNGm8XuvH7cueRAs9zf/M7AZE9