TS符就不直接在公众号上说太多了,师傅直发,可以去朋友圈看效果,属蛇、虎、猴、猪的兄弟,可以整一个,大事化小,小事化了
买手作产品,送精品安全学习资源,有需要联系教父微信,购买后拉群,国外资源部分目录
更新palo防火墙使用手册,安服进阶必备,中大型企业,或者外企会需要你们了解他们的产品,dddd
最新数据安全ISO27002落地
高级免杀资源
src报告
资料目录
蛇年大吉 福运绵长
Happy New Year
仅列举部分资料,更多资料可购买手作资源获取
威胁场景
该组织聘请的外部红队能够绕过安全预防和检测控制。该团队制作了一个带有可疑有效负载的 Microsoft Word 文档,将该文档附加到电子邮件中,然后将电子邮件发送给用户。打开文档会自动执行有效负载。有效负载中包含的代码绕过了运行 Windows 10 的用户计算机上的现有安全控制,不会被防病毒软件检测到。此外,其他安全监控工具没有为安全运营中心 (SOC) 团队生成安全警报。红队与您分享了这些发现。
作为一名威胁猎手,您需要发现可能在其他系统上部署了相同技术的恶意活动。您需要研究威胁、规范威胁猎捕并开展调查,以发现现有安全工具可能无法检测到的类似威胁。将此场景视为一个“Hello World”场景,它将带您进入威胁猎捕的世界。
图 3.1 显示了帮助您建立态势感知的高级网络设计。该图显示用户端点共享一个使用网关连接到互联网的网络,该网关充当站点到站点虚拟专用网络 (VPN) 网关,将用户的网络连接到托管在公共云提供商基础设施上的服务器。本章中描述的威胁搜寻策略与其他更复杂的网络设计相关,而不仅仅是图中所示的简单网络设计关于。
研究工作
根据红队报告中包含的信息以及您(作为威胁猎人)进行的研究,以下是映射到 MITRE ATT&CK 的技术:
精心设计一个结构良好的鱼叉式网络钓鱼电子邮件,诱使用户点击嵌入的链接并下载恶意 Word 文档。此活动与 MITRE ATT&CK 子技术 T1566.002“网络钓鱼:鱼叉式网络钓鱼链接”相对应。
Microsoft Word 生成 Windows 命令 shell (
cmd)。此活动映射到 MITRE ATT&CK 子技术 T1059.003,命令和脚本解释器:Windows 命令 shell。Microsoft Office Word 生成 PowerShell 或创建可执行的 PowerShell 脚本文件。该活动映射到 MITRE ATT&CK 子技术 T1059.001,命令和脚本解释器:PowerShell。
定义 鱼叉式网络钓鱼是一种有针对性的攻击,它使用精心制作的个性化、欺骗性电子邮件来诱骗特定的人或组织泄露敏感信息或安装恶意软件。
威胁猎手可能会参考 MITRE ATT&CK 框架和其他公共资源来收集有关攻击者可能用来执行这些技术的常用程序的信息。
假设
根据我们目前掌握的信息,我们的假设可能是这样的:
我们假设攻击者成功诱骗用户下载并打开 Microsoft Office Word 文档。打开该文档会执行恶意代码,从而使攻击者能够破坏终端系统的安全。
狩猎远征
为了发现最初的线索,我们首先在事件中搜索研究发现的可疑活动。假设我们已经收集了 Sysmon 事件端点并将其存储在 Humio 中,这是一个中央事件存储库,允许我们存储和搜索事件。(CrowdStrike 收购了 Humio,并将平台名称从 Humio 更改为 Falcon LogScale。)Humio 事件存储支持在大型数据集上快速搜索事件 - 这是威胁搜寻中的关键功能。Splunk 和 Elasticsearch 是另外两个可行的替代方案。第 3.3 节概述了 Sysmon。对于此场景,我们假设 Sysmon 代理已成功安装,并且这些事件已转发到我们的数据存储 Humio。
定义 Sysmon代表系统监视器,这是一种提供 Windows 日志记录的免费工具。Sysmon 提供有关系统活动的详细信息,例如创建的进程、网络连接、文件更改和注册表活动。
附录介绍了如何在实验室环境中本地安装 Humio (Falcon LogScale)、Splunk 和 Elasticsearch,以帮助您练习本章和本书其他章节中的场景。这些工具是威胁猎手和事件调查员用来搜索和处理大量数据的常见数据存储平台。
您可以从https://mng.bz/QVxv下载本章的数据,并将其上传到您选择的平台以运行搜索。为了简化数据上传,我提供了一个 CSV 格式的文件,ch3_sysmon_events.csv其中包含运行威胁搜寻探险所需的所有字段。此外,如果您想进一步探索,CSV 文件中的字段_raw包含 XML 格式的完整事件。
首次搜索查询
我们首先进行搜索以寻找线索,首先是清单 3.1 中在 Humio 上运行的过去七天生成的事件的搜索。该搜索查找 Microsoft Office 生成 PowerShell 的事件。目的不是记住搜索命令,而是了解搜索内容和搜索方式的逻辑。
使用 Humio 在 Sysmon 事件中搜索生成 PowerShell 的单词
sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational" AND_raw.EventID=1 AND(_raw.ParentCommandLine=/winword.exe/i) AND (_raw.CommandLine=/powershell/i)
搜索使用AND运算,旨在返回符合以下所有条件的事件:
sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational"—仅搜索 Sysmon 事件。XmlWinEventLog:Microsoft-Windows-Sysmon/Operational是sourcetype分配给在端点上运行的代理发送的事件的值,并收集端点生成的 Sysmon 事件。_raw.EventID=1—搜索进程创建 Sysmon 事件。_raw.ParentCommandLine=/winword.exe/i—搜索父命令行包含字符串的事件winword.exe,不区分大小写。_raw.CommandLine=/powershell/i—基于正则表达式,不区分大小写地搜索命令行包含的事件powershell。
注意在 Humio 的情况下,我们_raw在搜索中使用了字段,因为我们在进行狩猎探险时将数据实时输入到 Humio;然后我们将其导出以供将来测试。使用章节的 CSV 文件时,您不必使用的内容_raw。
以下清单显示了如何在另一个平台 Splunk 上运行类似的搜索。在本例中,我们上传了 CSV 文件并将 设置sourcetype为csv而不是XmlWinEventLog:Microsoft-Windows-Sysmon/Operational。
使用 Splunk 在 Sysmon 事件中搜索生成 PowerShell 的 Word
sourcetype="csv"AND EventID=1AND ParentCommandLine=*winword.exe*AND CommandLine=*powershell*
Splunk 语法略有不同。例如,Splunk 搜索默认不区分大小写,星号 ( *) 是通配符,表示搜索字符串中的零个或多个字符。
执行时,清单 3.1 和 3.2 中的搜索不会返回匹配的事件。空输出表示没有 Sysmon 事件符合搜索条件:
Sysmon 事件
ID 1(进程创建)父命令行包含
winword.exe,不区分大小写命令行包含
powershell,不区分大小写
假设 Sysmon 事件被正确收集、发送、存储和搜索,前面的结果告诉我们 Microsoft Word 没有产生 PowerShell 进程。
如果您没有时间安装数据存储平台(例如 Humio、Splunk 或 Elasticsearch),则可以使用 Windows PowerShell 或 Linuxgrep和awk命令/工具进行搜索。这些命令和工具适用于本章,但随着数据量的增长以及数据结构和搜索变得越来越复杂,您将需要一个合适的数据存储来运行您的搜索探险。
接下来,让我们将搜索范围扩大到cmd。在本例中,我们将查找包含 的父命令行和包含或 的winword.exe命令行。powershellcmd
在 Humio 上的 Sysmon 事件中搜索生成 PowerShell 或 CMD 的 Word
sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational" AND_raw.EventID=1 AND(_raw.ParentCommandLine=/winword.exe/i) AND(_raw.CommandLine=/powershell/i OR_raw.CommandLine=/cmd/i)
执行后,此搜索未返回任何匹配事件,表明 Microsoft Word 未生成进程cmd。我们目前还没有任何证据来证明我们的假设。
我们指定的时间范围是否太短?让我们对过去 30 天和过去 90 天收集的数据进行相同的搜索。在这种情况下,搜索将需要更长时间才能完成。数据量和数据存储技术会显著影响搜索的运行时间。虽然 Humio 的部署范围不如 Splunk 或 Elasticsearch 那么广泛,但它能够以更小的计算占用空间实现更快的搜索。
运行这些搜索 30 天和 90 天后,没有返回任何匹配的事件。我们仍未证实我们的假设,但我们不会放弃。
寻找其他线索
研究工作中发现的第二种技术是 Microsoft Office Word 生成 Windows 命令 shell(cmd)。该活动映射到 MITRE ATT&CK 子技术 T1059.003,命令和脚本解释器:Windows 命令 shell。
在这种技术中,Microsoft Word 不会直接生成 PowerShell 进程,而是创建 PowerShell 脚本。攻击者是否有可能指示 Microsoft Word 将 PowerShell 脚本写入磁盘,然后使用其他命令或进程执行该脚本?以下搜索可能会提供答案。
在 Humio 上搜索 Word 并创建一个带扩展名的新文件
sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational" AND_raw.EventID=11 AND(_raw.Image=/winword/i AND _raw.TargetFilename=/.ps1/i)
搜索寻找以下内容:
Sysmon 事件
EventID 11(FileCreate)包含字符串的图像字段
winword,不区分大小写TargetFilename包含字符串的字段.ps1,不区分大小写
以下是如何在 Splunk 中运行类似命令。
在 Splunk 上搜索 Word 创建带扩展名的新文件
sourcetype="csv"ANDEventID=11 ANDImage=*winword* ANDTargetFilename=*.ps1*
成功了!搜索返回单个事件。当您运行清单 3.4 或 3.5 中的相同搜索时,输出的格式可能不同,但事件的内容相同。
Sysmon 事件匹配搜索条件
{"@timestamp": "2021-11-21T13:02:28.000Z","_raw": {"Channel": "Microsoft-Windows-Sysmon/Operational","Computer": "DESKTOP-PC01", ①"CreationUtcTime": "2021-11-21 13:02:28.475","EventID": "11", ②"EventRecordID": "301","Guid": "{5770385f-c22a-43e0-bf4c-06f5698ffbd9}","Image":"C:Program FilesMicrosoft OfficeOffice14WINWORD.EXE", ③"Keywords": "0x8000000000000000","Level": "4","Name": "Microsoft-Windows-Sysmon","Opcode": "0","ProcessGuid": "{10cf5a0f-4359-619a-1402-000000000700}","ProcessID": "1872","SystemTime": "2021-11-21T13:02:28.484734300Z","TargetFilename":"C:Userspc01-userAppDataRoamingwww.ps1", ④"Task": "11","ThreadID": "3648","User": "DESKTOP-PC01pc01-user", ⑤"UserID": "S-1-5-18","UtcTime": "2021-11-21 13:02:28.475", ⑥"Version": "2"...}
①产生 Sysmon 事件的计算机的主机名 DESKTOP-PC01
② Sysmon 事件类型字段设置为11,用于文件创建操作。
③文件创建操作中涉及的可执行映像的完整路径
④在C:Userspc01-userAppDataRoaming下创建的文件名称为www.ps1
⑤用户字段包含与操作相关的用户名,pc01-user。
⑥时间戳显示事件发生时间为 2021-11-21 13:02:28.475,以协调世界时(UTC)表示。
主机名为 的端点DESKTOP-PC01生成了类型 11 的 Sysmon 事件,该事件表明 Microsoft Wordwww.ps1在AppData文件夹内的漫游文件夹中创建了一个 PowerShell 脚本,该脚本默认情况下是隐藏的。
此事件为我们提供了第一条线索(强有力的线索),表明有些事情不对劲。我们可能会立即想到转到主机名并调查 的内容www.ps1。
然而,在行动的这个阶段,由于各种技术和非技术原因,可能无法远程访问终端上的文件。此外,从终端获取数字内容可能不是威胁猎手的工作。
注意事件的创建时间"UtcTime": "2021-11-21 13:02:28.475"。我们可以用这个时间戳作为锚点,开始揭示事件前后发生的事情。让我们将第一个时间戳添加到图 3.2 中的时间轴中。构建如图所示的可视化时间轴对于跟踪我们在威胁搜寻过程中可能发现的结果很有用。
现在我们知道 Microsoft Word 创建了一个 PowerShell 脚本文件,www.ps1让我们尝试回答一些后续问题,以揭示文件创建活动之前和之后发生的事情:
Microsoft Word 为什么要创建这个脚本文件?用户是不是打开了可疑的 Microsoft Office 文档?
该文件是否被其他进程访问或执行?
除了创建此文件之外,Word 还执行了其他可疑活动吗?例如,是否创建了其他具有不同扩展名的文件?
www.ps1问题 2 和 3 可能是最容易回答的。对于问题 2,我们可以在所有 Sysmon 事件中对相关主机名的文件名进行自由文本搜索, DESKTOP-PC01。同样,我们可以对 进行搜索winword.exe。
创建脚本文件后
我们首先对包含该字符串的 Sysmon 事件执行自由文本搜索www.ps1。
winword.exeSysmon 事件中的自由文本搜索
DESKTOP-PC01 ANDsource="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational" AND/winword.exe/i
搜索返回几个 Sysmon 事件。第一个事件"UtcTime": "2021-11-21 13:02:17.356"引起了我们的注意。该事件显示 为用户 打开了位于下载文件夹中的winword.exe名为 的文档。critical_list.docpc01-user
Sysmon 事件包含winword.exe:第一个事件
{"@timestamp": "2021-11-21T13:02:17.000Z","_raw": {"Channel": "Microsoft-Windows-Sysmon/Operational","CommandLine": ""C:Program FilesMicrosoft OfficeOffice14WINWORD.EXE"/n "C:Userspc01-userDownloadscritical_list.doc"", ①"Company": "Microsoft Corporation","Computer": "DESKTOP-PC01","CurrentDirectory": "C:Userspc01-userDownloads","Description": "Microsoft Word","EventID": "1",..."Image": "C:Program FilesMicrosoft OfficeOffice14WINWORD.EXE",..."OriginalFileName": "WinWord.exe","ParentCommandLine": "C:WindowsExplorer.EXE","ParentImage": "C:Windowsexplorer.exe","ParentProcessGuid": "{10cf5a0f-404e-619a-5400-000000000700}","ParentProcessId": "4692","ParentUser": "DESKTOP-PC01pc01-user","ProcessGuid": "{10cf5a0f-4359-619a-1402-000000000700}","ProcessID": "1872","Product": "Microsoft Office 2010","SystemTime": "2021-11-21T13:02:17. ","Task": "1","TerminalSessionId": "1","ThreadID": "3648","User": "DESKTOP-PC01pc01-user","UserID": "S-1-5-18","UtcTime": "2021-11-21 13:02:17.356", ②"Version": "5"},...}
① EventID 为 1 的 Sysmon 事件中的 CommandLine 字段显示 winword.exe 打开了位于用户 pc01-user 的 Downloads 文件夹中的文件名为 critical_list.doc 的 Word 文档。
②记录事件时间戳“UtcTime”:“2021-11-21 13:02:17.356”,比winword.exe创建www.ps1早11秒。
我们将这个时间戳添加到时间轴上(图 3.4)。
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...