hunting-for-shadow-copy-deletion

狩猎卷影副本删除

适用场景

• 主动狩猎环境中卷影副本删除指标时
• 威胁情报显示存在使用这些技术的活跃活动时
• 事件响应期间，确定与这些技术相关的入侵范围时
• EDR 或 SIEM 告警在相关指标上触发时
• 定期安全评估和紫队演练期间

前置条件

• 具备进程和网络遥测能力的 EDR 平台（CrowdStrike、MDE、SentinelOne）
• 已导入相关日志数据的 SIEM（Splunk、Elastic、Sentinel）
• 部署了综合配置的 Sysmon
• 启用 Windows 安全事件日志转发
• 用于 IOC 关联的威胁情报源

工作流程

1. 建立假设：基于威胁情报或 ATT&CK 差距分析，定义可验证的假设。
2. 识别数据源：确定需要哪些日志和遥测数据来验证或否定假设。
3. 执行查询：在 SIEM 和 EDR 平台上运行检测查询，收集相关事件。
4. 分析结果：检查查询结果中的异常，跨多个数据源进行关联。
5. 验证发现：通过上下文分析区分真阳性与误报。
6. 关联活动：将发现结果链接到更广泛的攻击链和威胁行为者 TTP。
7. 记录并报告：记录发现结果，更新检测规则，并建议响应措施。

核心概念

概念	描述
T1490	抑制系统恢复
T1486	加密数据以造成影响
T1485	数据销毁

工具与系统

工具	用途
CrowdStrike Falcon	EDR 遥测和威胁检测
Microsoft Defender for Endpoint	基于 KQL 的高级狩猎
Splunk Enterprise	使用 SPL 查询的 SIEM 日志分析
Elastic Security	检测规则和调查时间线
Sysmon	详细的 Windows 事件监控
Velociraptor	终端工件收集和狩猎
Sigma Rules	跨平台检测规则格式

常见场景

1. 场景 1：勒索软件在加密前删除卷影副本
2. 场景 2：加密前执行 vssadmin delete shadows /all /quiet
3. 场景 3：通过 PowerShell 执行 WMIC shadowcopy delete
4. 场景 4：bcdedit 在造成影响前禁用恢复模式

输出格式

狩猎 ID：TH-HUNTIN-[日期]-[序号]
技术：T1490
主机：[主机名]
用户：[账户上下文]
证据：[日志条目、进程树、网络数据]
风险等级：[严重/高/中/低]
置信度：[高/中/低]
建议措施：[遏制、调查、监控]