从检测到深入分析：Splunk Attack Analyzer 与 Endace 在 GovWare 2025 安全中的应用

保护现场会议的安全如同在困难模式下进行威胁狩猎。你需要处理各式各样的设备、临时网络、访客凭证以及成千上万的用户，同时还要实时识别和处理威胁。在这种环境中进行有效的威胁狩猎，需要的不仅仅是检测异常；它要求能够快速地从高级告警转向细粒度的数据包级取证。在我近期保护 GovWare 2025 的工作中，我发现将 Splunk Enterprise 和 Splunk Attack Analyzer 与 Endace 集成，创建了一个强大的威胁狩猎工作流，弥合了安全分析与网络取证之间的鸿沟。这一组合改变了我们不仅能够识别可疑活动，还能快速调查和验证威胁并获取确凿证据的能力。在这篇文章中，我将分享这种集成在实践中是如何运作的，以及我在大规模威胁狩猎方面学到的重要经验。

我们利用 Splunk Attack Analyzer 强大的 API 连接到 Endace，这是一个提供网络活动数据包级可见性的高级网络记录工具。Endace（通过 Zeek）自动将网络流量中检测到的可疑文件和 URL（或称“资源”）提交给 SAA。提交的许多文件是良性的，因此当 SAA 给一个文件打出 100 分时，就格外引人注目。这个有问题的文件是一个 zip 文件，内含一个恶意的可执行文件 .exe。我们对通过我们集成到 SAA 的 Cisco SMA（安全恶意软件分析）沙箱运行此文件特别感兴趣。事实上，该文件的 28 个检测结果中有 22 个来自这个沙箱（以前称为 Threat Grid）。这些检测在分析中起着至关重要的作用，因为应用了一些检测逻辑。

查看此任务的“标准化取证”标签页时，特别值得关注的是包含提取或模拟的宏代码的“字符串与配置”标签页。对于这个文档，我们看到 SAA 提取了一个字符串，指向网站“sogou[.]com”，这是一个合法的中国搜索引擎和技术公司。然而，提取的另一个字符串包括“Gh0st Update”，这曾在臭名昭著的 Gh0st RAT 木马中被观察到。Gh0st RAT 以其建立持久性以确保在系统重启后运行而闻名。这通常涉及修改注册表键或创建服务。SAA 的分析揭示了教科书般的 Gh0st RAT 战术：

• 通过注册表和服务操作实现持久化
• 通过 Armadillo 加壳和文件混淆进行规避
• 提示代码注入的可疑内存操作
• 明显的 C2 通信尝试

来自思科沙箱的 22 个检测结果描绘了一幅清晰的恶意软件高级行为图景。

虽然 SAA 的取证结果明确指出了 C2 尝试，但 SAA 内的网络活动日志最初只显示了内部 DNS 和 DHCP 流量。这是调查的一个关键点：如果该 RAT 试图“回连”，那么外部通信在哪里？这促使我们从沙箱的内部视图转向 Splunk Enterprise 中更广泛的网络日志。

由于对终端设备可见性有限，我们的 DNS 和 DHCP 日志成为了我们的主要事实来源。我们知道 Gh0st RAT 变种很可能采用了域名生成算法 来寻找其 C2 服务器，这意味着它会尝试解析随机生成的域名，通常导致 NXDOMAIN（不存在域名）响应。

我们仔细梳理了相关时间段内会议访客网络的所有 NXDOMAIN 响应。许多是典型的噪声：反向 DNS 查找、与会者公司设备的服务发现尝试，或是我们访客网络上无法解析的合法服务。必须承认，我们的狩猎在此处结束，因为我们确定是我们的某位工程师提交了此文件作为测试。然而，这是一个有趣的探索过程，它让我们对工具的能力以及需要留意的指标有了一些想法。

从热身到真实威胁：发现活跃的 C2 通信

在测试文件的热身练习之后，我们将注意力转回到 Endace 向 SAA 持续提交的流中。这一次，一个 URL 提交引起了我们的注意，其评分为 75 分，主要因“社会工程学”指标被标记。虽然不像我们之前 100 分的案例那样引人注目，但多种因素使得它值得调查：特别是域名最近的创建日期，为其风险评分又增加了 15 分。最近创建的域名通常是攻击者为活动建立新基础设施的标志。

为了将我们的调查扩展到 SAA 的初步分析之外，我转向 VirusTotal 以获取关于该域名的额外上下文。这种交叉比对揭示了与该可疑域名相关的两个 IP 地址，其中一个格外突出：103.235.46[.]102。这个 IP 地址立即在我们的威胁情报源中亮起了红灯。

连接线索：从可疑域名到已知威胁行为者基础设施

IP 地址 103.235.46[.]102 不仅仅是另一个可疑指标。与我们并肩工作的 Talos 威胁猎手指出，它有着作为命令与控制基础设施的记录。根据 Google Cloud 的威胁情报报告，该 IP 此前与一个利用 ViewState 反序列化零日漏洞的活动有关，曾作为攻击者控制的 C2 操作节点。这个上下文将我们的调查从常规的可疑域名检查转变为潜在的活跃威胁场景。

利用 Endace 的数据包级可见性，我们能够明确回答这个关键问题：我们的会议网络中是否确实有设备在与这个已知的恶意基础设施通信？答案是令人担忧的，因为我发现访客网络上有三个不同的主机显示出与 103.235.46[.]102 的活跃通信模式。Endace 的取证能力使我们不仅能够确认连接，还能检查流量的性质和发生时间，为我们的应急响应提供了关键证据。

快速响应：从检测到缓解

掌握了会议设备与已知 C2 基础设施通信的确凿证据，我们立即从调查升级到遏制。SAA 的行为分析、外部威胁情报验证以及 Endace 的确凿数据包证据相结合，使我们有信心采取果断行动。我们为 SOC 经理撰写了一份事件报告，他们授权立即在我们的会议网络基础设施上封锁 IP 地址 103.235.46[.]102。

这个事件完美地展示了我们集成威胁狩猎堆栈的力量。SAA 的自动分析捕获了初始的可疑 URL，外部威胁情报为基础设施的恶意历史提供了关键背景，而 Endace 则提供了我们需要的确凿数据包证据，以确认活跃威胁并证明我们的响应是合理的。在会议安全这种高风险环境中，误报可能干扰合法活动，而漏报可能危及与会者数据，这种多层验证过程已被证明具有不可估量的价值。