小张笔记

构建一套属于你自己的小型仿真威胁狩猎平台

本文主要讲述如何在自己本地构建起一套小型威胁狩猎平台。

# 0x01 前言

本文主要讲述如何在自己本地构建起一套小型威胁狩猎平台，同时你也可以基于该小型威胁狩猎平台来辅助你理解 ATT&CK 相关技战术，并了解蓝队视角下红队攻击技术可能会带来哪些痕迹。

1、模拟部署 Windows AD 域环境，并在域环境下开启 Windows 日志审核策略，并部署 Sysmon 作为 Windows 日志的补充。部署 Splunk 日志转发工具，转发 Windows event_log 和 Sysmon_log 至 Soc 平台；

2、部署 Ubuntu18.04，并安装 Splunk Free，作为 Soc 平台，收集域内主机日志，并对模拟攻击行为产生的数据进行分析。

3、Kali linux 作为模拟 Red Team 的攻击机，本次测试直接使用 Atomic Red Team 在 Windows server 2016 上进行本地测试。也可以使用远程测试，把相关测试文件部署在 Kali linux 上。

在接下来的例子中我们将会模拟使用 Atomic Red Team 在 Windows server 2016 上模拟 T1069-002 权限组发现。

攻击者可能会尝试查找域级别的组和权限设置。域级别的权限组的信息可以帮助攻击者确定存在哪些组以及哪些用户属于特定组。攻击者可以使用此信息来确定哪些用户具有提升的权限，例如域管理员。

在 Windows 操作系统上可以使用 net group /domain 命令进行查找，在 Mac 操作系统上使用 dscacheutil -q group 命令、Linux 上可以使用 ldapsearch 命令查找。

本次模拟主要为 Atomic Red Team 项目中的 T1069-002 第一个测试项，该测试项包含以下命令：

net localgroup
net group /domain
net group "domain admins" /domain
net group "enterprise admins" /domain

1
2
3
4

执行模拟测试：

Invoke-AtomicTest T1069.002 -TestNumbers 1

测试命令执行后，数据采集器将会采集 windows 安全日志 / Sysmon 日志，并发送至 SOC 平台。SOC 平台将会收集到攻击所使用的命令以及基本的进程信息。我们可以在这里提取到许多有价值的信息，包括一些进程调用、命令行参数。

对数据的挖掘和分析，有助于帮助我们观察攻击中的载荷信息。直观的观察到攻击的执行流程，从 powershell.exe 的进程启用，到调用 cmd.exe、net.exe、net1.exe 等进程，再到具体命令的执行。

在完成一次简单的模拟测试之后，你可以，分析哪些字段可以用于生成告警规则，以便于你在真实的生产环境中检测该攻击事件的发生。当然，真实的攻击并非这么简单，因此需要你不断的进行学习红队的相关技术，分析其攻击行为特征。

通过这篇文章，你可以简单的利用自己的资源部署一套小型仿真威胁狩猎平台，来模拟各种攻击手法，并分析相关特征。同时，也可以辅助你来理解 ATT&CK 相关技战术手法。

基于这套小型仿真威胁狩猎平台，你还可以做更多的事情，值得你去发掘，比如利用 Sysmon、Audit 日志等，去做更有意义的事情。

Sysmon 使用社区指南

https://mp.weixin.qq.com/s/yloFDpJ6wvFZymzqCRtbBQ

windows 基本审核策略

https://docs.microsoft.com/zh-cn/windows/security/threat-protection/auditing/basic-security-audit-policies

Atomic Red Team

https://github.com/redcanaryco/atomic-red-team/

Threathunting-book

全文完

本文由简悦 SimpRead (opens new window) 优化，用以提升阅读体验

使用了全新的简悦词法分析引擎 beta，点击查看 (opens new window)详细说明