NG-SOC-eu/malwarecontain-kypo

GitHub: NG-SOC-eu/malwarecontain-kypo

一套基于 KYPO 平台构建的恶意软件事件模拟与应急响应演练环境,旨在帮助安全分析师在虚拟化企业靶场中全链路实践安全事件的检测、遏制、取证分析及情报共享技能。

Stars: 0 | Forks: 0

# 恶意软件控制台 本仓库包含用于部署受 CYNET 子案例 1c 启发的 **Operation MalwareContain** 场景的脚本和 playbook。 ![Escenario CYNET](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/6bfdd36009075059.png) 其目的是在虚拟化企业网络中模拟恶意软件事件,并练习检测、遏制、取证分析和自动化响应。 ## 快速开始 1. 从 [`topology.yml`](topology.yml) 创建 KYPO 拓扑。该模板假定虚拟机基础镜像 `ubuntu-20.04`、`windows-10` 和 `kali-linux-2025.1` 可用,并且存在用于 `172.25.0.0/24` 网络的 `vmbr1` 网桥。 2. 编辑 [`provisioning/host_vars`](provisioning/host_vars) 下的变量,以设置您环境的静态 IP、接口名称和密码。在每个虚拟机上使用 `ip address` 或 `nmcli device status` 检查其网络接口名称。`analyst-ws` 主机还需要 `connection_name`,可以通过 `nmcli -t -f NAME con show` 列出。 # Ubuntu 镜像 ansible_user: ubuntu ansible_ssh_pass: ubuntu # Kali 镜像 ansible_user: kali ansible_ssh_pass: kali 3. 在管理主机上安装所需的 Ansible collection: ``` ansible-galaxy collection install -r provisioning/requirements.yml ``` 4. 然后运行 playbook: ``` ansible-playbook -i provisioning/hosts.ini provisioning/playbook.yml ``` ## 文档 实现细节可以在以下文档中找到: - `LM5-Operation MalwareContain – CYNET Subcase 1c Deployment Guide` - 建议学习者完成的任务在 [training.json](training.json) 中描述 - 详细的分步练习在 [activities.md](activities.md) 中提供 - 培训工作流现在涵盖了从 BIPS 部署到检测规则开发的整个过程;详情请参见 [training.json](training.json)。 ## 实验室拓扑 `topology.yml` 中定义的拓扑包括: - 带有 Elastic Stack 和 UEBA 的 `siem-node` - 带有 TheHive 和 Cortex 的 `soar-node` - 带有 DFIR-IRIS 的 `cicms-node` - 带有 MISP 的 `cti-node` - 作为受感染主机的 `win-target` 和 `lin-target` - 带有取证工具的 `analyst-ws` - 可选的 `router` ![网络图](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/f5e2ac3a4c075101.png) 请参阅该文件以获取 IP 地址和完整的网络配置。 ## 使用 Ansible 部署 使用管理机并从 `provisioning` 目录运行整合的 playbook。主机变量存储在 `provisioning/host_vars` 下,清单简单地列出了所有主机: ``` ansible-galaxy collection install -r provisioning/requirements.yml ``` ``` ansible-playbook -i provisioning/hosts.ini provisioning/playbook.yml ``` ## 恶意软件模拟 端点运行生成可疑活动的脚本: - `Invoke-MalwareSim.ps1` 创建一个 `Run` 键,列出文档,执行 HTTP beacon 并启动一个隐藏进程 - `malware_sim_linux.sh` 添加一个每日 cron 任务,尝试横向移动并使用 `ping` 与 C2 通信 `malwaresim_detect.yar` 规则可以检测这些操作。 ## 调查与丰富 该文档详细介绍了 Kibana 中的调查流程以及 Volatility 的使用: ``` vol.py -f win10-memory.raw windows.pslist vol.py -f win10-memory.raw windows.yarascan --yara-rule-file malwaresim_detect.yar ``` 建议将 TTP 映射到 MITRE ATT&CK 并将 IoC 以 STIX 2.1 格式发布到 MISP。您还可以从 Kibana 中审查诸如注册表键、隐藏进程或发往 C2 的 ping 等事件。 ## 许可证 本项目仅供教育目的提供。
标签:Ansible自动化, CIDR查询, Cortex, CYNET, DAST, Elastic Stack, ELK Stack, IRIS, Libemu, MIT许可证, PB级数据处理, SOAR, SOC分析, TheHive, UEBA, 企业网络安全, 参数枚举, 威胁情报, 安全仿真, 安全演练, 安全运维, 安全靶标, 库, 应急响应, 开发者工具, 恶意软件分析, 沙箱环境, 流量重放, 漏洞修复, 系统提示词, 网络安全培训, 网络安全教育, 蓝队演练, 虚拟靶场