STATEMENT

声明

由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，雷神众测及文章作者不为此承担任何责任。

雷神众测拥有对此文章的修改和解释权。如欲转载或传播此文章，必须保证此文章的完整性，包括版权声明等全部内容。未经雷神众测允许，不得任意修改或者增减此文章内容，不得以任何方式将其用于商业目的。

前言

DetectionLab项目是一个安装了一些安全工具及其日志检测工具的集合，可以轻松捕获到大部分的威胁，能够为用户快速搭建一个windows域。

安装及部署环境

根据自己的环境进行选择
https://detectionlab.network/deployment/
我的环境信息如下

Win10VMware Workstation 16 Pro其中需要配置如下：硬盘需55G+可用运行内存 16GB 以上VMware Workstation 15+

在搭建之前需要安装如下工具

vagrant - https://www.vagrantup.com/downloadsVagrant VMware Utility - https://www.vagrantup.com/vmware/downloadsvagrant plugin install vagrant-vmware-desktop

安装完成所需工具之后，将DetectionLab下载回来

git clone https://github.com/clong/DetectionLab.git

检查是否符合安装条件

.\prepare.ps1

符合安装条件后，有以下两种方法进行安装

1.

vagrant up --provider=vmware_desktop

2.命令窗口1和窗口2分别运行

vagrant up loggervagrant up dc

当logger和dc安装完成之后就可以继续安装剩下的机器

vagrant up wefvagrant up win10

下载和安装完成之后，运行脚本测试环境是否搭建完成

post_build_checks.ps1

如图上所示，则说明环境部署成功

使用介绍

通过架构展示可以看到，win10为模拟用户，dc和win10将收集到的数据发送到wef，wef则将接收到的数据上传ATA进行检测，同时将数据导入到Splunk中，Splunk并会对所有收集到的日志进行解析。
所有主机的PowerShell日志会被保存在WEF服务器中，位置在\\wef\pslogs并在Splunk中可以查询到。Zeek和Suricata预先配置为监控网络流量并发出告警，Guacamole方便我们从浏览器访问实验机器。

实验环境相关密码及平台

Domain Name: windomain.localAdmininstrator login: vagrant:vagrantFleet login: https://192.168.56.105:8412 - admin@detectionlab.network:admin123#Splunk login: https://192.168.56.105:8000 - admin:changemeMS ATA login: https://192.168.56.103 - wef\vagrant:vagrantGuacamole login: http://192.168.56.105:8080/guacamole - vagrant:vagrantVelociraptor login: https://192.168.56.105:9999 - admin:changeme

威胁检测分析
MS ATA
使用mimikatz进行dcsync

在ATA上查看检测结果

检测PsExec

不过不知道为什么显示的攻击结果是失败的

Splunk
检测dcsync
从源机器数据进行检测

index="sysmon" CommandLine="mimikatz.exe \"lsadump::dcsync /user:krbtgt /domain:windomain.local\""

从DC数据进行检测

(index="wineventlog" source="WinEventLog:Security" (EventCode="4662" Object_Type="%{19195a5b-6da0-11d0-afd3-00c04fd930c9}" Access_Mask="0x100") NOT ((SubjectDomainName="Window Manager") OR ((Account_Name="NT AUTHORITY*" OR Account_Name="MSOL_*")) OR (Account_Name="*$")))

检测PsExec
从目标机器数据进行检测

index="wineventlog" EventCode="4674" Object_Server="SC Manager" Object_Name="PSEXESVC"

index="wineventlog" EventCode="7045" Service_Name="PSEXESVC" Service_File_Name="%SystemRoot%\\PSEXESVC.exe"

从源机器数据进行查询

index="wineventlog" EventCode="4688" Process_Command_Line="*.exe -u * -p * \\\*"

除了上述的方法，还可以从sysmon的数据进行检测，这里就不一一列举了。

检测nopac

noPac.exe -domain windomain.local -user vagrant -pass vagrant /dc dc.windomain.local /mAccount test -mPassword 12qwAS.. /service cifs /ptt

index="wineventlog" EventCode="4781" host="dc.*.*" New_Account_Name="dc" Old_Account_Name="*$"

我们可以新建告警，假如有检测出来的我们就可以第一时间了解到

选择实时，根据个人需求选择触发操作

可在设置-->知识-->搜索、报表和告警处进行修改所添加的告警

可以在活动-->触发的告警中进行查看

Velociraptor
Velociraptor是开源端点监控、数字取证和网络响应平台
点击Show All 则可以看到所在线的机器

点击Client ID进入如下界面

点击VFS则可以查看机器中文件，可以进行下载方便取证等

通过Quarantine host可以对该机器进行隔离，隔离之后该机器只能与Velociraptor服务器进行通信

下面通过USN日志查询noPac.exe的创建及使用等信息
新建狩猎，添加描述

通过搜索快速查找到进行USN查询的Artifact

选择完成之后，进行配置PathRegex参数填入noPac.exe，输入完成点击Launch

点击开始狩猎即可

当狩猎完成之后，可在Notebook查看结果，也可下载回来在本地查看，通过结果可以看到noPac.exe创建时间及使用等情况

Fleet
基于osquery的开源设备管理平台，可以在平台设置策略及定时查询等

该平台可以对机器所安装的软件进行收集，当开启漏洞自动化时，所安装软件发现CVE漏洞时，则会向指定的网址发送webhook请求

踩坑总结

0.网卡设置问题
将Vmnet2子网地址设置为192.168.56.0，或者设置vmnet0(虚拟机默认网卡是vmnet0)

设置完成之后需要更改

假如后面你要进行vagrant provision当机器重启时也要重新进行设置，不然加入域和安装agent连接105的时候会出现问题

1.wef无法加入域
在DC中以管理员模式运行configure-ou.ps1脚本即可
2.虚拟机工具不齐全
运行

vagrant provision 主机名

想要不报错可以设置系统代理，需要下载的时候vagrant会自动使用代理

linux设置全局代理

sudo vim ~/.bashrc输入以下内容export http_proxy='http://192.168.31.123:7890'export https_proxy='http://192.168.31.123:7890'export no_proxy='localhost,127.0.0.1'执行source ~/.bashrc

windows设置系统代理即可

3.一直卡着在服务启动

查看是否能正常访问

将红框内容删除并保存，运行工具补全命令即可

vagrant provision logger

vagrant plugin install vagrant-reload

4.The Hyper-V cmdlets for PowerShell are not available

管理员运行cmd，输入以下命令重启即可

bcdedit /set hypervisorlaunchtype auto

RECRUITMENT

招聘启事

安恒雷神众测SRC运营（实习生）
————————
【职责描述】
1.  负责SRC的微博、微信公众号等线上新媒体的运营工作，保持用户活跃度，提高站点访问量；
2.  负责白帽子提交漏洞的漏洞审核、Rank评级、漏洞修复处理等相关沟通工作，促进审核人员与白帽子之间友好协作沟通；
3.  参与策划、组织和落实针对白帽子的线下活动，如沙龙、发布会、技术交流论坛等；
4.  积极参与雷神众测的品牌推广工作，协助技术人员输出优质的技术文章；
5.  积极参与公司媒体、行业内相关媒体及其他市场资源的工作沟通工作。

【任职要求】 
 1.  责任心强，性格活泼，具备良好的人际交往能力；
 2.  对网络安全感兴趣，对行业有基本了解；
 3.  良好的文案写作能力和活动组织协调能力。

简历投递至 

[email protected]

设计师（实习生）

————————

简历投递至 

[email protected]

安全招聘

简历投递至

[email protected]

岗位：红队攻防(正式/实习)

工作地点：杭州/上海
【职位亮点】
1.种类丰富的内部红蓝对抗工具；

2.具备一定的编程能力，至少掌握一门语言 (C#/C++、Go、Java、Python 等) 

anonysec.zhang#dbappsecurity.com.cn (杭州)

ethan.hong#dbappsecurity.com.cn (上海)

微信投递至

AnonySec (杭州)

a0011221100 (上海)

岗位：安全研究(正式/实习)

工作地点：杭州/上海
【职位亮点】

1.漏洞挖掘与研究的时间自由；

2.探索前沿的攻防技术，并在实战中进行实践验证；

3.参与红蓝对抗等高端项目，丰富个人实战攻防经验；

4.与安全大牛一起打造武器化工具落地，赋能一线人员.

【岗位要求】
1.拥有大型产品、CMS、厂商漏洞挖掘案例；

2.具备出色的编程能力，熟练掌握一门语言 (C#/C++、Go、Java、Python 等) 

简历投递至

anonysec.zhang#dbappsecurity.com.cn (杭州)

ethan.hong#dbappsecurity.com.cn (上海)

微信投递至

AnonySec (杭州)

a0011221100 (上海)

END

长按识别二维码关注我们