/ 多维度分析框架

多维度分析框架

4大类10维度+3方法 + 维度交叉矩阵

# 僵尸网络自检 — 多维度分析框架 > 版本:v1.0 | 日期:2026-07-14 > 核心理念:同一个"僵尸网络感染"问题,从不同维度切入,能看到不同的检测盲区 > 每个维度 = 一种思维方式,交叉使用才能全覆盖 --- ## 维度总览 | 编号 | 维度 | 核心问题 | 一句话概括 | |------|------|---------|-----------| | D1 | 感染路径维度 | 设备是怎么被感染的? | 从"因"出发追"果" | | D2 | 攻击生命周期维度 | 攻击走到了哪一步? | 沿攻击链逐环节排查 | | D3 | 僵尸节点角色维度 | 被控后干了什么活? | 从"用途"反推特征 | | D4 | 技术栈层级维度 | 藏在哪一层? | 从固件到应用逐层扫描 | | D5 | 时间线维度 | 什么时候被感染的? | 建立时间轴定位入侵点 | | D6 | 用户行为偏差维度 | 什么变了? | 对比正常状态找异常 | | D7 | 攻击者目的维度 | 为什么选中这台设备? | 从动机反推行为特征 | | D8 | 证据链关联维度 | 谁产生的?关联到谁? | 一条线索牵出整条链 | | D9 | 用户场景维度 | 这台设备是什么角色? | 不同用户不同检测策略 | | D10 | 检测深度维度 | 查多深? | 从签名到行为到内存到情报 | --- ## D1. 感染路径维度 > 核心思路:先判断设备最可能是通过哪条路径被感染的,再针对性检查该路径留下的痕迹 > 每条感染路径都有独特的"指纹" ### 10 条主要感染路径及其检测要点 #### 路径 1:钓鱼邮件 → 附件/链接 **感染过程**:用户收到伪装邮件 → 打开附件(Office 宏/LNK/HTA/ZIP)→ 执行恶意代码 → 落地持久化 **该路径特有检测点:** - 邮件客户端 PST/OST 文件中的可疑附件历史 - Office 最近打开文档记录(注册表 `RecentDocs`) - Office 宏安全策略是否被降级 - Outlook 规则是否被篡改(启动宏/转发邮件) - `%TEMP%` 目录中从邮件附件释放的文件 - LNK 文件分析(快捷方式指向可疑路径) - Office Trusted Locations 是否被添加恶意路径 **搜索关键词:** - "phishing email attachment forensics Windows" - "Office macro persistence detection" - "Outlook rules hijack detection" - "LNK file malicious analysis tools" --- #### 路径 2:破解软件/游戏外挂 → 捆绑木马 **感染过程**:下载破解版软件/外挂/激活工具 → 安装时捆绑执行 → 后台驻留 **该路径特有检测点:** - 已安装软件的数字签名验证(未签名/签名无效/自签名) - 软件安装历史(注册表 `Uninstall` 键、`App Paths`) - 下载目录(Downloads)中的可疑安装包 - KMS 激活工具/破解补丁残留(常见捆绑载体) - 外挂/辅助工具进程(常见于游戏玩家设备) - 软件来源 URL 追溯(浏览器下载历史) - PE 文件资源节中的捆绑 payload 检测 **搜索关键词:** - "cracked software bundled malware detection" - "PE file embedded payload detection" - "software supply chain compromise indicators" - "unsigned executable Windows audit" --- #### 路径 3:驱动下载(Drive-by Download) **感染过程**:访问被植入 exploit kit 的网页 → 浏览器/插件漏洞被利用 → 后台静默下载执行 **该路径特有检测点:** - 浏览器历史记录中的可疑 URL(已知 EK 分发域名) - 浏览器缓存中的可执行文件/ShellCode - Flash/Java/浏览器插件版本漏洞匹配 - IE/Edge 保护模式是否被绕过 - 浏览器下载记录中的未授权下载 - 浏览器扩展程序审计(恶意扩展 = 轻量僵尸节点) - Hosts 文件是否被篡改重定向到恶意站点 **搜索关键词:** - "drive-by download forensics browser artifacts" - "exploit kit detection browser history" - "malicious browser extension botnet detection" - "browser cache malware analysis" --- #### 路径 4:RDP 暴力破解 → 投递 **感染过程**:攻击者扫描 3389 端口 → 暴力破解弱口令 → 登录后投递恶意软件 **该路径特有检测点:** - Windows 安全日志 Event ID 4625(登录失败暴增) - Windows 安全日志 Event ID 4624(登录类型 10 = RemoteInteractive) - RDP 连接历史(注册表 `Terminal Server Client\Default`) - 可疑 IP 的 RDP 登录记录 - `jmp` 跳板机检测(RDP 会话是否被中转) - NLA(网络级别身份验证)是否被禁用 - 3389 端口是否暴露在公网 - 登录后短时间内新增的进程/文件 **搜索关键词:** - "RDP brute force detection Windows event log" - "RDP session hijacking forensic analysis" - "Event ID 4625 4624 botnet infection" - "RDP login anomaly detection" --- #### 路径 5:USB / 移动存储 **感染过程**:插入被感染的 U 盘 → AutoRun 或快捷方式漏洞触发 → 恶意代码执行 **该路径特有检测点:** - USB 设备连接历史(注册表 `USBSTOR`、`USB` 键) - AutoRun 配置是否被禁用 - USB 设备中的隐藏文件/快捷方式 - `Autorun.inf` 文件残留检测 - LNK 快捷方式指向可疑路径(利用文件夹图标伪装) - 可移动磁盘上的可执行文件 - USB 设备序列号与已知恶意设备匹配 **搜索关键词:** - "USB malware forensic analysis Windows" - "Autorun.inf detection USB infection" - "USB device history registry forensic" - "LNK shortcut USB malware detection" --- #### 路径 6:软件供应链攻击 **感染过程**:npm/pip/winget 包被投毒 → 正常安装流程中执行恶意代码 → 持久化 **该路径特有检测点:** - pip 安装历史(`pip list` + 安装时间戳) - npm 全局包审计(`npm ls -g`) - Python 包 `__init__.py` 中的可疑代码 - 包安装脚本(setup.py/postinstall)中的可疑操作 - 软件更新源是否被篡改(HTTPS 证书验证) - 开发工具配置文件被修改(VSCode settings/.bashrc/.profile) - 开发环境中新增的计划任务/服务 **搜索关键词:** - "software supply chain attack detection endpoint" - "npm pip malicious package detection" - "development environment compromise indicators" - "package manager malware audit tools" --- #### 路径 7:路由器入侵 → 内网横向 **感染过程**:路由器弱口令/固件漏洞被利用 → DNS 劫持/中间人 → 替换下载内容 **该路径特有检测点:** - 路由器管理页面是否可被外部访问 - DNS 服务器地址是否被篡改(非运营商 DNS) - 路由器固件版本与已知漏洞匹配 - DHCP 分发的 DNS 是否异常 - HTTP 下载是否被劫持(对比预期哈希) - ARP 表异常(ARP 欺骗痕迹) - 路由器后台是否有未知管理员账户 - 路由器固件是否被替换(对比官方版本哈希) **搜索关键词:** - "router compromise detection home network" - "DNS hijack detection Windows endpoint" - "router firmware backdoor detection" - "ARP spoofing MITM detection tools" --- #### 路径 8:漏洞利用(无交互感染) **感染过程**:攻击者利用系统/服务漏洞(如 EternalBlue/ProxyShell/SMB)→ 无用户交互直接执行 **该路径特有检测点:** - 系统补丁状态检查(KB 编号与已知漏洞匹配) - SMB 服务是否暴露(445 端口) - Windows 远程漏洞利用痕迹(MS17-010 等) - Exchange Server 漏洞痕迹(ProxyShell/ProxyLogon) - Print Spooler 漏洞(PrintNightmare)痕迹 - 无文件 payload 在内存中的残留 - 漏洞利用后的进程创建链(如 svchost → cmd → powershell) **搜索关键词:** - "EternalBlue EternalRomance detection Windows" - "ProxyShell ProxyLogon forensic artifacts" - "PrintNightmare exploitation detection" - "Windows vulnerability exploitation indicators" - "patch status audit botnet prevention" --- #### 路径 9:社交媒体/即时通讯 → 链接点击 **感染过程**:QQ/微信/Discord 收到钓鱼链接 → 点击下载 → 执行 **该路径特有检测点:** - 即时通讯软件文件接收目录审计 - 浏览器从 IM 跳转的 URL 历史 - 下载目录中从 IM 来源的文件 - 剪贴板历史中的可疑 URL/命令 - IM 软件自动接收文件设置检查 - Discord/Telegram 下载目录 - 社交工程特征匹配(伪装文件名如"发票.docx.exe") **搜索关键词:** - "instant messaging malware delivery detection" - "social engineering payload file naming patterns" - "Discord Telegram malware distribution 2025" - "QQ WeChat phishing detection" --- #### 路径 10:合法软件被劫持(DLL 侧加载/更新劫持) **感染过程**:合法软件加载恶意 DLL / 更新通道被劫持 → 在合法进程上下文中执行恶意代码 **该路径特有检测点:** - 合法进程加载的非系统目录 DLL - DLL 搜索顺序劫持检测(程序目录 vs System32) - 已签名软件的更新通道完整性 - 合法进程的异常子进程(如 explorer.exe 启动 powershell) - 签名验证:加载的 DLL 是否有有效签名 - KnownDLLs 注册表项是否被篡改 - 合法软件的网络连接是否异常(连接到非官方服务器) **搜索关键词:** - "DLL side loading detection Windows" - "DLL search order hijacking forensic" - "software update hijack detection" - "signed process loading unsigned DLL detection" - "KnownDLLs registry tampering detection" --- ### 感染路径维度总结 ``` 感染路径维度检测策略: 1. 先做"路径画像"——分析用户使用习惯,判断最可能的感染路径 2. 对每条可能路径执行该路径特有的检测项 3. 路径检测 + 通用检测(网络/进程/持久化)交叉验证 4. 多路径同时感染也要考虑(如先 RDP 破解 → 再投递钓鱼邮件) ``` --- ## D2. 攻击生命周期维度 > 核心思路:沿 MITre ATT&CK Kill Chain 逐环节排查,攻击走到哪一步就留什么痕迹 ### 7 个生命周期阶段及其检测要点 | 阶段 | ATT&CK 战术 | 检测要点 | 检测难度 | |------|------------|---------|---------| | 1. 初始入侵 | TA0001 Initial Access | 见 D1 感染路径维度 | ★★★☆☆ | | 2. 执行 | TA0002 Execution | 命令行审计、PowerShell 日志、脚本执行记录 | ★★☆☆☆ | | 3. 持久化 | TA0003 Persistence | 14+ 持久化位置全扫描 | ★★☆☆☆ | | 4. 权限提升 | TA0004 Privilege Escalation | UAC 绕过痕迹、令牌窃取、提权漏洞利用 | ★★★☆☆ | | 5. 防御规避 | TA0005 Defense Evasion | 见 S5 反检测专题 + 进程注入检测 | ★★★★★ | | 6. C2 通信 | TA0011 Command & Control | 见 S1 C2 检测专题 | ★★★★☆ | | 7. 行动目标 | TA0040 Impact | DDoS 流量/挖矿/垃圾邮件/数据外传 | ★★☆☆☆ | ### 每个阶段的深度检测项 #### 阶段 2:执行检测 - PowerShell 脚本块日志(Event ID 4104) - PowerShell 命令行参数(编码命令/-enc/-w hidden) - CMD 命令历史(DOSKEY/ConsoleHost_history.txt) - WMI 方法调用痕迹 - 计划任务执行记录 - 服务启动记录(新增服务 + 启动时间) - mshta/cscript/wscript/regsvr32 执行记录 - LOLBAS 全量滥用检测 #### 阶段 4:权限提升检测 - UAC 绕过痕迹(Event ID 4688 中的 auto-elevate 进程) - 访问令牌操作痕迹(DuplicateTokenEx/ImpersonateLoggedOnUser) - 提权漏洞利用(如 Potao/PrintNightmare/CVE-2021-1732) - 新增本地管理员账户 - 管理员组变更(Event ID 4732) - 服务权限变更 - SeDebugPrivilege 异常获取 #### 阶段 7:行动目标检测(僵尸节点角色特征) | 角色 | 网络特征 | 系统特征 | |------|---------|---------| | DDoS 攻击节点 | 大量出站 SYN/UDP/ICMP 包 | CPU 正常但网络高占用 | | 垃圾邮件中继 | 25/465/587 端口出站连接 | 大量 DNS MX 查询 | | 加密货币挖矿 | 矿池端口(3333/4444/5555/14444)连接 | CPU/GPU 持续高占用 | | 代理/中转节点 | 大量入站连接 + 转发出站 | 网络流量双向上传 | | 凭据收集节点 | 少量 C2 心跳 + 数据上传 | LSASS 进程访问异常 | | 扫描节点 | 大量 SYN 扫描出站(半开连接) | 短连接暴增 | | 存储节点 | 大量入站数据传输 | 磁盘异常写入 | **搜索关键词:** - "MITRE ATT&CK botnet lifecycle detection" - "ATT&CK kill chain endpoint forensic" - "botnet DDoS spam mining proxy detection" - "Windows privilege escalation detection forensic" - "PowerShell execution logging Event ID 4104" --- ## D3. 僵尸节点角色维度 > 核心思路:被控后设备被用来干什么,不同用途留下完全不同的痕迹 > 先判断角色,再精准检测 ### 7 种僵尸节点角色及检测矩阵 | 角色 | 流量指纹 | 进程指纹 | 文件指纹 | 日志指纹 | 特有检测 | |------|---------|---------|---------|---------|---------| | DDoS 攻击者 | 大量出站 SYN/UDP | 网络 API 异常调用 | 无明显文件 | 防火墙日志出站暴增 | 流量速率突变检测 | | 垃圾邮件中继 | 25/465/587 出站 | SMTP 相关进程 | 邮件模板文件 | SMTP 日志异常 | 邮件队列异常 | | 挖矿节点 | 矿池端口连接 | 高 CPU 进程 | 挖矿配置文件 | 无特殊日志 | CPU 占用模式分析 | | 代理/SOCKS 节点 | 大量入站+转发出站 | 代理服务进程 | 代理配置文件 | 端口监听日志 | 端口监听异常 | | 凭据窃取节点 | 少量 C2+数据上传 | LSASS 访问进程 | 凭据转储工具 | LSASS 访问日志 | LSASS 进程访问审计 | | 扫描/蠕虫节点 | 大量 SYN 半开连接 | 扫描工具进程 | 扫描结果文件 | 防火墙拦截日志 | 半开连接计数 | | C2 中继/代理 | 入站连接(其他 Bot) | C2 服务进程 | C2 配置/面板 | 端口监听日志 | 入站连接异常 | ### 角色判定算法 ``` 角色判定流程: 1. 检测出站流量特征 → 判断是否 DDoS/扫描/邮件 2. 检测 CPU/GPU 占用模式 → 判断是否挖矿 3. 检测入站连接 → 判断是否 C2 中继/代理 4. 检测 LSASS 访问 → 判断是否凭据窃取 5. 检测数据上传量 → 判断是否数据收集 6. 多角色共存检测(一台设备可能同时挖矿+DDoS) ``` **搜索关键词:** - "botnet node role classification detection" - "DDoS bot traffic pattern detection" - "cryptojacking detection Windows CPU" - "spam relay botnet detection SMTP" - "botnet proxy SOCKS detection" - "credential harvesting botnet LSASS detection" --- ## D4. 技术栈层级维度 > 核心思路:恶意代码可以藏在从固件到应用的任何一层,逐层扫描确保无遗漏 ### 7 个技术层级 | 层级 | Ring | 检测内容 | 检测工具/方法 | 检测难度 | |------|------|---------|-------------|---------| | L1. 固件层 | Ring -2 | BIOS/UEFI 后门、固件 Rootkit | 固件哈希对比、CHIPSEC | ★★★★★ | | L2. 硬件层 | Ring -1 | TPM 篡改、硬件后门 | TPM 状态检查 | ★★★★★ | | L3. 内核层 | Ring 0 | 内核驱动 Rootkit、SSDT Hook | 内核模块审计、DKOM 检测 | ★★★★☆ | | L4. 系统服务层 | Ring 3 | 恶意服务、WMI 订阅 | 服务枚举、WMI 审计 | ★★☆☆☆ | | L5. 应用层 | Ring 3 | 恶意进程、注入代码 | 进程审计、签名验证 | ★★☆☆☆ | | L6. 脚本/解释器层 | Ring 3 | PowerShell/VBS/JS 恶意脚本 | 脚本日志、AMSI | ★★★☆☆ | | L7. 网络/协议层 | N/A | C2 通信、隧道、DNS 劫持 | 网络连接审计、流量分析 | ★★★☆☆ | ### 各层检测细节 #### L1 固件层 - BIOS/UEFI 版本与官方版本对比 - 固件修改时间戳异常 - CHIPSEC 工具检测固件后门 - Secure Boot 状态检查 - ME (Management Engine) 异常 #### L3 内核层 - 已加载内核模块列表(与干净系统对比) - 驱动程序签名验证 - SSDT(系统服务描述符表)Hook 检测 - IRP(I/O 请求包)Hook 检测 - 内核回调函数篡改检测 - DKOM(直接内核对象操作)检测 — 隐藏进程/文件 - Mini-Filter 驱动审计 #### L6 脚本/解释器层 - PowerShell 脚本块日志审计 - AMSI 集成与绕过检测 - Windows Script Host 执行记录 - .NET assembly 加载记录(ETW) - Python/Node.js 脚本执行记录 - 脚本编码/混淆检测 **搜索关键词:** - "UEFI BIOS rootkit detection CHIPSEC" - "Windows kernel rootkit detection SSDT hook" - "DKOM hidden process detection tools" - "AMSI bypass detection PowerShell" - "Windows minifilter driver audit security" - ".NET assembly loading ETW detection" --- ## D5. 时间线维度 > 核心思路:建立完整时间轴,定位感染时刻,从感染点向前向后追溯 ### 时间线构建方法 ``` 时间轴构建步骤: 1. 收集所有带时间戳的 artifacts: - 文件创建/修改/访问时间(MACE) - 注册表键写入时间 - 事件日志条目 - Prefetch 文件(记录程序首次/最后运行时间) - 计划任务创建时间 - 服务安装时间 - 用户登录/注销时间 - 网络连接时间 2. 按 NIST 易失性反向排序(从永久到易失) 3. 寻找"时间锚点": - 异常进程首次启动时间 - 可疑文件首次创建时间 - 持久化项首次写入时间 - 首次出现的外连记录 4. 从锚点向前回溯:找感染入口 从锚点向后追踪:找后续行动 5. 交叉验证:多个 artifact 的时间戳应一致 不一致 = 时间戳被篡改 ``` ### 关键时间戳来源 | 来源 | 包含信息 | 获取方法 | |------|---------|---------| | Prefetch | 程序运行历史(最多 1022 条) | `%SystemRoot%\Prefetch\*.pf` | | 事件日志 | 系统所有重要事件 | Event Viewer / wevtutil | | 注册表 | 键值写入时间 | reg query / RegRipper | | 文件系统 | MACE 时间(创建/修改/访问/修改MFT) | dir / PowerShell | | $MFT | 文件系统主表(含时间戳) | MFT Explorer / analyzeMFT | | $UsnJrnl | 文件变更日志 | USN Journal Parser | - $LogFile | NTFS 事务日志 | NTFS Log Parser | | ShimCache | 应用兼容性缓存 | AppCompatCache Parser | | Amcache | 程序执行历史 | Amcache Parser | | RecentDocs | 最近打开文档 | 注册表解析 | | Jump Lists | 任务栏跳转列表 | AutomaticDestinations 解析 | | Browser History | 网页访问时间 | 各浏览器历史解析 | | RDP Cache | 远程登录历史 | 注册表 Terminal Server Client | ### 时间线分析工具 - **Plaso / Log2Timeline** — 超级时间线工具 - **Eric Zimmerman's Tools** — Timeline Explorer, MFTECmd - **KAPE** — 快速取证采集 - **Volatility 3 timeliner** — 内存时间线 - **RegRipper** — 注册表时间提取 **搜索关键词:** - "Windows forensic timeline analysis Plaso" - "Prefetch file analysis forensic timeline" - "Amcache ShimCache forensic artifacts" - "MFT analysis USN journal forensic" - "super timeline digital forensics methodology" - "Windows timestamp tampering detection timestomp" --- ## D6. 用户行为偏差维度 > 核心思路:不靠规则匹配恶意特征,而是对比"正常"与"现在"的差异 > 偏差本身就是可疑信号 ### 6 类行为偏差检测 #### 偏差 1:网络行为偏差 | 正常状态 | 异常偏差 | 检测方法 | |---------|---------|---------| | 工作时间上网 | 深夜大量出站流量 | 按时段统计出站流量 | | 连接已知服务器 | 连接未知 IP/域名 | DNS 请求白名单对比 | | HTTP/HTTPS 为主 | 非常规端口通信(853/4444/3333) | 端口使用基线对比 | | 下行 > 上行 | 上行 ≈ 下行或上行 > 下行 | 上下行流量比监控 | | 间歇性使用 | 持续心跳连接 | 连接间隔规律性检测 | | 无 SMTP 流量 | 25/465/587 端口活动 | SMTP 端口监控 | #### 偏差 2:系统资源偏差 | 正常状态 | 异常偏差 | 检测方法 | |---------|---------|---------| | 空闲时 CPU < 5% | 空闲时 CPU > 30% | 空闲时段资源监控 | | GPU 间歇使用 | GPU 持续满载 | GPU 使用率监控 | | 内存稳定 | 内存持续增长 | 内存趋势分析 | | 磁盘间歇读写 | 磁盘持续写入 | 磁盘 I/O 监控 | | 网络间歇使用 | 网络持续上传 | 网络流量基线 | #### 偏差 3:进程行为偏差 | 正常状态 | 异常偏差 | 检测方法 | |---------|---------|---------| | 系统进程签名有效 | 系统进程签名异常 | 数字签名验证 | | svchost 在正常路径 | svchost 在非 System32 | 进程路径验证 | | explorer 无子进程 | explorer 启动 powershell/cmd | 异常父子进程关系 | | 正常 DLL 加载 | 加载非系统目录 DLL | DLL 加载审计 | | 正常命令行参数 | 编码/超长/可疑参数 | 命令行参数分析 | #### 偏差 4:系统配置偏差 | 正常状态 | 异常偏差 | 检测方法 | |---------|---------|---------| | 防火墙开启 | 防火墙被关闭/规则被改 | 防火墙状态审计 | | Defender 启用 | Defender 被禁用 | Defender 状态检查 | | UAC 开启 | UAC 被降级/关闭 | UAC 配置检查 | | 正常 Hosts 文件 | Hosts 被篡改 | Hosts 文件哈希对比 | | 正常 DNS 设置 | DNS 被改为陌生地址 | DNS 配置基线对比 | | 无开放端口 | 新增监听端口 | 端口监听基线对比 | #### 偏差 5:用户账户偏差 | 正常状态 | 异常偏差 | 检测方法 | |---------|---------|---------| | 已知用户列表 | 新增未知用户 | 用户账户枚举对比 | | 管理员组已知 | 管理员组新增成员 | 管理员组审计 | | 无隐藏用户 | 出现隐藏用户($结尾) | 隐藏用户检测 | | 正常登录时间 | 异常时间登录 | 登录时间基线对比 | | 本地登录为主 | 出现远程登录 | 登录类型审计 | #### 偏差 6:持久化项偏差 | 正常状态 | 异常偏差 | 检测方法 | |---------|---------|---------| | 干净的自启项列表 | 新增自启项 | 自启项基线对比 | | 干净的计划任务 | 新增计划任务 | 计划任务枚举对比 | | 已知服务列表 | 新增未知服务 | 服务枚举对比 | | 干净的 WMI 订阅 | 新增 WMI 事件订阅 | WMI 订阅审计 | | 干净的注册表 | 新增可疑键值 | 注册表快照对比 | ### 基线采集策略 ``` 基线采集方案: 1. 全新系统/重装后立即采集 → 作为"黄金基线" 2. 正常使用 1 周后再次采集 → 作为"使用基线" 3. 日常定期采集 → 趋势对比 4. 基线存储:JSON 格式,哈希签名保护 5. 对比方式:diff + 相似度评分 6. 首次使用时做全量基线扫描,后续增量对比 ``` **搜索关键词:** - "endpoint behavior baseline anomaly detection" - "Windows system configuration drift detection" - "host baseline comparison security" - "network traffic baseline profiling" - "process behavior deviation detection ML" - "system configuration change monitoring Windows" --- ## D7. 攻击者目的维度 > 核心思路:从"攻击者为什么选这台设备"出发,反推可能的行动模式 ### 5 类攻击目的及对应检测 | 攻击目的 | 为什么选这台设备 | 会做什么 | 检测重点 | |---------|---------------|---------|---------| | DDoS 兵力 | 只要有公网 IP 就行,越多越好 | 植入 DDoS 客户端,等待指令 | 出站流量暴增、非常规端口 | | 挖矿肉鸡 | CPU/GPU 性能好、在线时间长 | 植入挖矿程序 | CPU/GPU 高占用、矿池连接 | | 数据窃取 | 设备存有敏感数据(企业/开发) | 植入间谍软件、键盘记录 | 数据外传流量、LSASS 访问 | | 横向跳板 | 内网位置好(可访问其他设备) | 扫描内网、传播蠕虫 | 内网扫描流量、端口探测 | | 代理/中转 | 有稳定公网 IP/高带宽 | 植入代理服务 | 入站连接异常、端口监听 | ### 目的推断流程 ``` 目的推断流程: 1. 分析设备特征: - 是否有公网 IP? → 可能被用作 DDoS/代理 - GPU 是否高端? → 可能被用作挖矿 - 是否存有敏感文件? → 可能被用作数据窃取 - 是否在内网关键位置? → 可能被用作跳板 - 是否高性能服务器? → 可能被用作 C2 中继 2. 根据设备特征预判可能目的 3. 针对预判目的执行定向检测 4. 结合实际发现的证据确认目的 ``` **搜索关键词:** - "botnet infection motivation analysis" - "attacker intent classification endpoint" - "DDoS bot vs mining bot vs spyware detection" - "botnet payload classification by behavior" --- ## D8. 证据链关联维度 > 核心思路:发现一条线索后,沿着关联关系追到底,一条线索牵出整条链 ### 关联关系图 ``` 网络连接 ←→ 进程 ←→ 父进程 ←→ 文件 ←→ 创建者 ←→ 持久化项 ↕ ↕ ↕ ↕ ↕ DNS 请求 命令行参数 服务/任务 文件哈希 注册表键 ↕ ↕ ↕ ↕ ↕ 威胁情报 脚本内容 启动时间 YARA 规则 写入时间 ``` ### 关联追踪方法 #### 追踪示例 1:发现可疑网络连接 ``` 发现:TCP 外连 185.x.x.x:8443(非常规端口) ↓ 关联:哪个进程发起的?(netstat -ano → PID) ↓ 关联:进程是谁?(PID → 进程名/路径/命令行) ↓ 关联:进程的父进程是谁?(进程树追溯) ↓ 关联:进程文件何时创建?(文件时间戳) ↓ 关联:谁创建的文件?(文件所有者/创建进程) ↓ 关联:文件是持久化的吗?(检查自启项/服务/计划任务) ↓ 关联:IP/域名在威胁情报中是否已知恶意?(情报查询) ↓ 关联:还有哪些进程连接同一 IP/C 段?(横向扩展) ↓ 结果:一条网络线索 → 完整攻击链 ``` #### 追踪示例 2:发现可疑持久化项 ``` 发现:注册表 Run 键新增 "WindowsUpdate" = "C:\Users\xxx\AppData\Local\Temp\svhost.exe" ↓ 关联:文件是否存在?哈希是什么?(文件检查) ↓ 关联:文件签名是否有效?(签名验证) ↓ 关联:文件是否在威胁情报中已知?(VirusTotal 查询) ↓ 关联:文件何时创建?创建者是谁?(时间戳 + 进程) ↓ 关联:该进程还做了什么?(网络连接/文件操作/注册表修改) ↓ 关联:是否有同源文件?(YARA 规则扫描相似文件) ↓ 关联:注册表键何时写入?(注册表时间戳) ↓ 关联:写入时谁在运行?(事件日志交叉查询) ↓ 结果:一条注册表线索 → 恶意软件家族 + 入侵路径 ``` ### 关联分析工具 - **Velociraptor** — 端点关联查询(VQL) - **osquery** — SQL 查询端点数据 - **Sysmon + ELK** — 事件关联查询 - **Neo4j / Maltego** — 图数据库关联分析 - **ChainEye / Crowdstrike Falcon** — 商业关联引擎 **搜索关键词:** - "endpoint forensic correlation analysis" - "Velociraptor VQL correlation query" - "Sysmon event correlation detection" - "malware investigation pivot techniques" - "process network file registry correlation" - "threat hunting pivot methodology" --- ## D9. 用户场景维度 > 核心思路:不同用户使用场景面临不同威胁,检测策略应差异化 ### 6 种用户场景及检测策略 | 场景 | 高风险感染路径 | 重点检测模块 | 优先级 | |------|-------------|------------|--------| | 普通家庭用户 | 钓鱼/破解软件/USB | 网络审计+进程审计+持久化 | ★★★☆☆ | | 游戏玩家 | 外挂/破解游戏/语音软件漏洞 | 文件签名+进程审计+挖矿检测 | ★★★☆☆ | | 远程办公者 | RDP/VPN/钓鱼 | RDP 日志+网络审计+持久化 | ★★★★☆ | | 开发者 | 供应链/开发工具/SSH | 包管理器审计+配置文件+SSH 密钥 | ★★★★☆ | | 企业内网用户 | 横向移动/共享文件/内网钓鱼 | 内网连接+横向痕迹+共享审计 | ★★★★★ | | 服务器管理员 | 漏洞利用/SSH 暴力/提权 | 补丁状态+SSH 日志+服务审计 | ★★★★★ | ### 各场景检测差异 #### 普通家庭用户 - 重点:钓鱼邮件附件、破解软件、浏览器安全 - 策略:轻量扫描 + 自动基线 + 简单报告 - 典型威胁:挖矿木马、广告软件、DDoS Bot #### 游戏玩家 - 重点:游戏外挂捆绑、语音软件漏洞( Discord/TeamSpeak) - 额外检测:游戏目录文件审计、外挂进程检测 - 典型威胁:挖矿木马(利用 GPU)、账号窃取 #### 远程办公者 - 重点:RDP 安全、VPN 配置、钓鱼邮件 - 额外检测:RDP 登录日志、VPN 连接审计 - 典型威胁:RDP 暴力破解 → 勒索软件/僵尸网络 #### 开发者 - 重点:包管理器、开发工具、SSH 密钥、代码仓库 - 额外检测:pip/npm 安装历史、.ssh 目录、Git hooks、IDE 插件 - 典型威胁:供应链投毒、SSH 密钥窃取、IDE 插件后门 #### 企业内网用户 - 重点:横向移动痕迹、共享文件传播、内网钓鱼 - 额外检测:内网连接审计、SMB 共享扫描、Pass-the-Hash 痕迹 - 典型威胁:蠕虫传播、内网 C2 中继、凭据窃取 #### 服务器管理员 - 重点:漏洞利用、SSH 暴力、权限提升 - 额外检测:补丁状态全量审计、SSH 登录日志、sudo 历史 - 典型威胁:Web Shell、挖矿僵尸网络、C2 中继 **搜索关键词:** - "endpoint security home user best practices" - "gamer malware detection GPU mining" - "remote worker RDP security checklist" - "developer supply chain attack prevention" - "enterprise endpoint lateral movement detection" - "server hardening botnet prevention checklist" --- ## D10. 检测深度维度 > 核心思路:从浅到深逐层检测,浅层快速筛、深层精准确认 ### 5 个检测深度层级 | 深度 | 方法 | 速度 | 准确率 | 误报率 | 适用场景 | |------|------|------|--------|--------|---------| | Depth 1 | IoC/签名匹配 | 极快 | 中 | 低 | 快速初筛 | | Depth 2 | 行为规则匹配 | 快 | 中高 | 中 | 日常扫描 | | Depth 3 | 关联分析 | 中 | 高 | 低 | 深度排查 | | Depth 4 | 内存取证 | 慢 | 极高 | 极低 | 确认感染 | | Depth 5 | 威胁情报增强 | 中 | 极高 | 极低 | 情报定性 | ### 各深度检测内容 #### Depth 1:IoC/签名匹配(快速初筛) - 文件哈希与已知恶意哈希比对(MD5/SHA256) - 文件签名验证(数字证书有效性) - YARA 规则扫描(特征字符串/字节序列) - 域名/IP 黑名单比对 - 已知恶意文件名/路径匹配 - **特点**:速度快但只能检测已知威胁,零日攻击无法发现 #### Depth 2:行为规则匹配(日常扫描) - Sigma 规则匹配(日志事件模式) - 异常进程行为检测(父子进程关系异常) - 持久化位置异常检测(非标准位置的自启项) - 网络行为异常检测(非常规端口/心跳连接) - 系统配置异常检测(防火墙/Defender 被关闭) - **特点**:能发现未知变种,但需要调优避免误报 #### Depth 3:关联分析(深度排查) - 多维度关联(网络×进程×文件×注册表×日志) - 攻击链重建(ATT&CK 技术序列匹配) - 时间线分析(异常事件时间聚类) - 基线对比(当前状态 vs 干净基线) - **特点**:准确率高但耗时长,适合可疑设备深度排查 #### Depth 4:内存取证(确认感染) - Volatility 3 全套插件扫描 - 进程注入检测(malfind/ldrmodules/hollowfind) - Rootkit 检测(psxview/ssdt/malfind) - 内核模块审计 - 凭据驻留检测 - **特点**:最精准但需要管理员权限和内存转储,最耗时 #### Depth 5:威胁情报增强(情报定性) - VirusTotal 文件/IP/域名/URL 查询 - AbuseIPDB IP 信誉查询 - OTX 脉冲查询 - ThreatFox IoC 查询 - JARM 指纹匹配 C2 集群 - **特点**:能给检测结果定性(恶意软件家族/攻击组织),但依赖外部 API ### 深度递进策略 ``` 扫描策略: 1. Depth 1 快速初筛 → 有命中则升级 2. Depth 2 行为扫描 → 有异常则升级 3. Depth 3 关联分析 → 确认可疑链路则升级 4. Depth 4 内存取证 → 确认感染 5. Depth 5 情报增强 → 定性定源 日常扫描:Depth 1 + 2(5 分钟内完成) 可疑排查:Depth 1 + 2 + 3(10-15 分钟) 深度取证:全 5 层(30-60 分钟) ``` **搜索关键词:** - "endpoint detection layered approach IoC behavioral" - "YARA Sigma rule scanning methodology" - "memory forensics vs behavioral detection" - "threat intelligence enrichment endpoint detection" - "progressive scanning strategy endpoint security" --- ## 维度交叉矩阵 > 不同维度交叉使用,形成检测网,任何单一维度的盲区都能被其他维度覆盖 | 交叉组合 | 检测策略 | 典型场景 | |---------|---------|---------| | D1×D2 | 从感染路径推算攻击走到哪一步 | 已知感染路径,追溯后续行动 | | D1×D3 | 从感染路径推算节点角色 | 钓鱼邮件 → 可能是 DDoS Bot | | D1×D5 | 从感染路径定位入侵时间点 | RDP 破解 → 查登录日志 | | D2×D3 | 从攻击阶段推算节点用途 | C2 阶段 → 判断角色类型 | | D3×D7 | 从节点角色推算攻击目的 | 挖矿节点 → 经济目的 | | D4×D8 | 从技术层级追关联链 | 内核层 Rootkit → 追加载来源 | | D5×D8 | 从时间线追关联链 | 时间锚点 → 横向扩展 | | D6×D9 | 从行为偏差结合用户场景 | 开发者场景 → 包管理器偏差 | | D1×D9 | 从感染路径结合用户场景 | 游戏玩家 → 外挂路径 | | D10×D3 | 从检测深度分层检测角色 | Depth 4 内存 → 确认注入型 Bot | --- ## 多维度检测执行流程 ``` Phase 1:场景画像(D9) → 判断用户类型和设备角色 → 确定高风险感染路径 Phase 2:基线建立(D6) → 采集系统基线 → 建立行为基线 Phase 3:快速初筛(D10 Depth 1-2) → IoC + 签名匹配 → 行为规则扫描 Phase 4:路径定向(D1) → 根据场景画像执行路径特有检测 → 针对高风险路径深入检查 Phase 5:角色判定(D3×D7) → 分析流量/资源特征判断节点角色 → 推断攻击目的 Phase 6:深度排查(D10 Depth 3-4) → 关联分析(D8) → 时间线分析(D5) → 内存取证(D4) Phase 7:情报定性(D10 Depth 5) → 威胁情报查询 → 家族/组织归因 Phase 8:报告生成 → 多维度综合评分 → 可读性报告(区分技术/非技术用户) ``` --- _本框架将与现有的「设计思路」「信息收集策划方案」「技术深度调研附录」配合使用, 形成完整的多维度检测体系。_