HELK与APTSimulator的攻防对决:第一部分
女士们先生们,在我们的主要节目中,我为大家呈现...HELK与APTSimulator的生死对决!
HELK安装与配置
HELK的安装非常简单。在Ubuntu 16.04 LTS系统上运行:
git clone https://github.com/Cyb3rWard0g/HELK.git
cd HELK/
sudo ./helk_install.sh
在三个安装选项中,我选择了从cyb3rward0g dockerhub拉取最新的HELK Docker镜像。安装脚本会为您完成依赖项的安装,如果您没有安装Docker,HELK安装脚本会为您完成。
Windows系统配置
为了成功收集日志,需要在Windows系统上安装Winlogbeat,并使用正确的winlogbeat.yml文件运行。关键修改是在Kafka输出的第123行,添加HELK服务器的IP地址:
hosts: ["192.168.248.29:9092","192.168.248.29:9093","192.168.248.29:9094"]
同时建议在目标主机上设置Sysmon,使用@SwiftOnSecurity配置文件以获得丰富的数据返回。
APTSimulator攻击模拟
APTSimulator进行全面的模拟,使您的系统在以下场景中看起来已被入侵:
- 创建典型的攻击者工作目录C:\TMP...
- 激活guest用户账户
- 将guest用户添加到本地管理员组
- 将svchost.exe(实际上是srvany.exe)放入C:\Users\Public
- 修改hosts文件
- 使用curl访问已知的C2地址
- 在APT目录中投放PowerShell netcat替代品
- 在本地网络上执行nbtscan
- 在APT目录中投放修改版的PsExec
- 在At作业中注册mimikatz
- 注册恶意RUN键
- 在计划任务中注册mimikatz
- 将cmd.exe注册为sethc.exe的调试器
- 在新的WWW目录中投放web shell
威胁检测实战
通过HELK的Kibana Discover选项搜索上述APTSimulator活动:
- 搜索TMP在sysmon-*索引中立即产生结果,命中了APTSimulator列表中的第1、6、7和8项
- 检测到guest用户账户的启用和权限提升
- 发现C:\Users\Public中的svchost.exe
- 捕获At作业和计划任务的创建
可视化分析
HELK的Kibana Visualize菜单包含34个可视化选项。通过添加子桶可以快速增加价值,例如在Sysmon_UserName可视化中添加与每个用户关联的进程名称,获得更详细的图表。
总结
HELK和APTSimulator都体现了蓝队和检测质量的真正原则。HELK仍处于alpha状态,表明还有更多功能即将推出。下个月的第二部分将通过网络仪表板和相关可视化探索网络方面的内容,以及HELK与Spark、Graphframes和Jupyter notebooks的集成。
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码
公众号二维码
