HackMD
情境
使用社交工程,對人資發送具有惡意程式附件的釣魚郵件,當人資點開 word 後,便會連接到 C2
病毒會使用一系列手法如下載檔案、DLL injection等。
病毒為 徐牧遠 aka red aka 高中就有OSCP的男人 aka OSCE³ ,所提供
如果需要更多情境可參考此架構自行架設,如完整企業場域(AD、Mail Server等)
Sysmon 已經可以記錄連線狀況,但僅能取得 IP 以及 PORT,若需要更詳細的網路流量資料,可使用 packetbeat。
若需要其他資料或 log,可使用 filebeat 來傳送所需資料
環境架設
Server
參考此篇教學 https://snappyjack.github.io/articles/2020-10/helk安装和试用
1. HELK 架設
需安裝docker
git clone https://github.com/Cyb3rWard0g/HELK.git
cd HELK/docker
sudo ./helk_install.sh
基本上預設就可以,若沒特殊要求選 1 即可
*****************************************************
* HELK - Docker Compose Build Choices *
*****************************************************
1. KAFKA + KSQL + ELK + NGINX
2. KAFKA + KSQL + ELK + NGINX + ELASTALERT
3. KAFKA + KSQL + ELK + NGINX + SPARK + JUPYTER
4. KAFKA + KSQL + ELK + NGINX + SPARK + JUPYTER + ELASTALERT
Enter build choice [ 1 - 4]: 1
Client
開始 Windows Event Log,並透過 winlogbeat 將 log 傳送到 HELK
這裡使用 Sysmon 來蒐集 log
1. Sysmon
使用powershell admin 輸入
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ModuleLogging" /v EnableModuleLogging /t REG_DWORD /d 1 /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ModuleLogging\ModuleNames" /v "*" /t REG_SZ /d "" /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" /v EnableScriptBlockLogging /t REG_DWORD /d 1 /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\PowerShell\ScriptBlockLogging" /v EnableScriptBlockInvocationLogging /t REG_DWORD /d 1 /f
AuditPol /set /subcategory:"Process Creation" /success:enable /failure:enable
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Lsa" -Name "SCENoApplyLegacyAuditPolicy" -Value 1
New-Item -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" -Name "Audit" -Force
Set-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Audit" -Name "ProcessCreationIncludeCmdLine_Enabled" -Value 1
gpupdate /force
Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope Process
git clone https://github.com/guan4tou2/diy-cyberrange.git
cd diy-cyberrange
./sysmon64.exe -accepteula -i sysmonconfig.xml
2. winlogbeat
Invoke-WebRequest -Uri "https://raw.githubusercontent.com/guan4tou2/diy-cyberrange/refs/heads/main/set-winlogbeat.ps1" -OutFile "set-winlogbeat.ps1"; PowerShell -ExecutionPolicy Bypass -File "set-winlogbeat.ps1"
