franklinproject10/franklin_portfolio

# 事件响应项目 本项目展示了一个真实的事件响应案例。在此案例中，我分析了恶意文件上传活动，识别了命令与控制 (C2) 行为，并利用网络取证和沙箱调查工具进行了恶意软件行为分析。所有敏感的客户标识符均已进行匿名处理。 展现的技能：数据包分析、恶意软件行为分析、威胁狩猎、沙箱技术、PowerShell 解码、MITRE ATT&CK 映射、VirusTotal IOC 审查。 标题：恶意文件上传与 C2 Beacon 检测 – FinanceTech Corp 📝 执行摘要 在为 FinanceTech Corp 进行的一次主动威胁狩猎和事件响应演练中，我分析了源自内部工作站的可疑文件上传流量。调查揭示了一个嵌入在 ZIP 文件中的带有宏的 Word 文档，该 ZIP 文件被上传到了一个外部服务器。 沙箱分析表明，攻击使用了混淆的 PowerShell，并与命令与控制 (C2) 服务器进行了出站通信。这种行为暗示了自动化恶意软件生成，很可能来自 Metasploit 的 msfvenom。 🔍 目标 检测并调查可疑的出站文件上传，识别潜在的恶意软件活动，揭示任何外部 C2 通信，并使用 MITRE ATT&CK 映射评估威胁技术。 🧠 展现的核心技能 领域 描述 🧪 数据包分析 使用 Wireshark 提取可疑文件上传并重构 HTTP payload 🔒 沙箱分析 使用 ANY.RUN 触发并追踪宏执行、PowerShell 行为和 C2 活动 🔁 威胁狩猎 追踪从 Word 宏到混淆的 PowerShell 再到 beaconing 的执行链 🔗 MITRE ATT&CK 映射了 TTP，如 PowerShell 执行 (T1059.001)、宏滥用 (T1566.001) 和基于 HTTPS 的 C2 (T1071.001) 🧬 恶意软件归因 识别出与已知进攻性安全工具 一致的行为 🧾 IOC 报告 记录了 IOC，包括 MD5 哈希、C2 域名和 IP 地址 🔍 调查摘要 可疑的上传行为 源 IP：192.168.10.111（内部资产） 目标 IP：178.128.25.67（外部服务器） 文件名：Resume-2021.zip 嵌入文件：Resume John Doe.doc MD5 哈希：9EAE9BD90ED69A3ABBBACEA573A233B0 使用的工具 工具 目的 Wireshark 流量检查、文件提取、流追踪 ANY.RUN 沙箱执行和进程追踪 VirusTotal 威胁分类和哈希查询 PowerShell Base64 解码 MITRE ATT&CK TTP 映射 🧪 技术演练 🛰️ Q1–Q4：流量检查与文件提取 使用 Wireshark 过滤 http.request.method == "POST" 从数据包流中导出 Resume-2021.zip 生成的哈希：MD5 9EAE9BD90ED69A3ABBBACEA573A233B0 🧾 Q5：文件内容审查 在沙箱中分析 Word 文档 → 包含教育历史：B.S. Astronomy, Computer Science, 2019 🌐 Q6–Q7：C2 发现 宏 → 混淆的 PowerShell → 连接到： nexusrules.officeapps.live.com IP：52.111.229.19 流量模式模仿了 Microsoft，但被验证为恶意的分发服务器。 💥 Q8：恶意软件执行链 宏 → powershell.exe -nop -sta -w 1 -enc → conhost.exe → C2 通信 无文件执行的迹象。 使用 ANY.RUN 进程树可视化命令序列。 🧰 Q9：恶意软件生成器归因 行为与 Metasploit (msfvenom) payload 一致： Base64 编码的 PowerShell 分阶段执行 Meterpreter 风格的 C2 🧾 VirusTotal 结果 哈希：9EAE9BD90ED69A3ABBBACEA573A233B0 检测：31/60 引擎标记 标签： Trojan-Downloader.PowerShell.Agent VB.Trojan.Valyria Macro.Agent Metasploit Payload 🧩 MITRE ATT&CK 技术 技术 ID 描述 T1059.001 PowerShell 执行 T1566.001 鱼叉式钓鱼附件 T1055 进程注入 T1071.001 应用层协议：HTTPS (C2) T1204.002 用户执行：恶意文档 📍 失陷标示 源 IP： 192.168.10.111 目标 IP： 178.128.25.67 文件名： Resume-2021.zip MD5： 9EAE9BD90ED69A3ABBBACEA573A233B0 C2 域名： nexusrules.officeapps.live.com C2 IP： 52.111.229.19 🧠 关键要点 应监控通过 HTTP 上传到未知主机的文件。 带有宏的文档仍然是受欢迎的初始访问向量。 混淆的 PowerShell 通常是漏洞利用后阶段的危险信号。 正确使用 ANY.RUN 等沙箱工具可以快速揭示隐藏行为。 伪装成受信任服务（如 "officeapps.live.com"）的 C2 流量很常见，应进行验证。 📂 仓库内容建议 /pcap-analysis/ — Wireshark 过滤器和文件提取的截图 /sandbox-analysis/ — ANY.RUN 执行的截图（进程树、网络日志、DNS 查询） /ioc-report/ — IOC 和 MITRE 映射的摘要 /README.md — 面向招聘人员/面试官的完整报告 📢 最终推介（GitHub，简历或面试） 本项目突出了我在事件响应方面的实践经验——从网络数据包分析到动态恶意软件分析、TTP 映射，以及可操作的 IOC 生成。它反映了我如何处理现实世界的调查，使安全团队能够有效地识别、确认和应对威胁。

标签：AI合规, Cloudflare, DAST, MITRE ATT&CK, OpenCanary, 事件响应报告, 库, 应急响应, 恶意软件分析, 数字取证, 网络流量分析, 自动化脚本