thieveshkar/Offensive-Security-Forensics-Portfolio

# 💻 攻击性安全工程与取证作品集 **Kalaichelvan Thieveshkar (个人)** · 斯塔福德郡大学 · **COMP50009** **模块：** COMP50009 — 道德黑客 **评估：** 作业 2 — 个人作品集 **技术报告 (PDF)：** [下载完整技术报告](https://drive.google.com/file/d/1xANeyDaDr3e3tH9rp5JoEWZBMiq33hsZ/view?usp=sharing) ## 概述 本仓库包含道德黑客个人作业 2 的完整作品集，展示了跨多个网络安全领域的实践和分析技能。它以专业且基于证据的方式记录了**取证、威胁狩猎、渗透测试、漏洞评估和漏洞利用演练**。 ## 学生详细信息 | 姓名 | 学号 | 大学 | |------|------------|------------| | Kalaichelvan Thieveshkar | CB013248 | 斯塔福德郡大学 | ## 🛡️ A 部分：设计、分析、取证与脚本 ### 1. 针对 SSH 的多因素认证 (MFA) 实现 使用基于 Google Authenticator 的 MFA 和安全最佳实践来加固 Ubuntu SSH 服务器。 | 组件 | 描述与关键操作 | 使用的命令 / 工具 | |-----------|-------------------------|----------------------| | 初始设置 | 配置了 Ubuntu SSH 服务器和客户端机器。 | `sudo apt install openssh-server` | | 渗透测试 | 使用 Kali Linux 暴力破解弱密码。 | `ifconfig`, `netdiscover`, `nmap -sV`, `Hydra` | | SSH 加固 | 更改了默认 SSH 端口，设置了强密码，限制了 MaxAuthTries。 | `passwd`, `sudo nano /etc/ssh/sshd_config`, `sudo systemctl restart ssh` | | MFA 集成 | 配置了 Google Authenticator PAM 模块以实现基于 OTP 的身份验证。 | `sudo apt install libpam-google-authenticator`, `google-authenticator`, PAM 编辑 | | 访问控制 | 将 SSH 访问限制为特定用户和 IP。 | `AllowUsers thieveshkar-server@192.168.163.137` | ### 2. 内存取证分析 (Windows XP SP3) 使用 Volatility Framework 分析捕获的内存转储。 | 任务 | 关键发现与证据 | Volatility 插件 / 操作系统信息 | |------|------------------------|----------------------------| | 操作系统识别 | Windows XP SP3 32位 (主版本 5, 次版本 1, 构建 2600)。 | `windows.info` | | 进程分析 | 可疑进程：ps.exe、由 svchost.exe 启动的 cmd.exe、内存转储器 mdd.exe。 | `windows.pstree` | | 网络调查 | 与 172.16.223.47:445 建立了多个 TCP 连接，表明可能存在 C2 活动。 | `connscan` | | 代码注入 | 关键系统进程中的 RWX 内存区域包含 shellcode/PE 注入。 | `malfind` | | DLL 异常 | 加载了可疑 DLL (acadproc.dll) 用于持久化。 | `ldrmodules` | | 结论 | 系统遭到入侵，有明确的代码注入和持久化证据。 | - | ### 3. SOC 威胁狩猎演练 (Splunk & BOTS v3) | 任务 | SPL 查询关键 / 发现 | IoC / 结论 | |------|------------------------|-----------------| | 登录尝试 | EventCode=4624 (成功)。未检测到暴力破解尝试。 | 基于凭据的攻击不突出。 | | 可疑 DNS | 反向 DNS 查询：61.68.107.40.in-addr.arpa | 潜在 C2 / 异常流量。 | | 命令行活动 | `search "net.exe" OR "whoami"` 检测到权限提升准备。 | 侦察 / 权限提升的迹象。 | | 恶意软件事件 | PowerShell 命令连接到 34.215.24.255 并带有下载/调用活动。 | 恶意软件执行和 C2 通信的证据。 | | 总结与警报 | 监控建议：异常登录、DNS 查询、PowerShell 下载/调用命令。 | 建议设置实时警报。 | ### 4. 网络取证分析 (GootLoader 感染 PCAP) | 分析领域 | 关键发现 | 损伤指标 | |---------------|-------------|-------------------------------| | 流量概述 | 95% TCP，61% TLS 数据 (可能为 C2)。 | 高 TLS 流量指示加密的 C2。 | | 主机行为 | 受害者 IP：10.12.29.101。远程主机提供有效载荷 / 信标。 | 130.208.214.3, 185.84.28.15 | | 协议分析 | DNS 中存在可疑域名，发现 HTTP 触发 URL。 | parubok-lesia.com, latesthentai.com, www

标签：AI合规, C2通信分析, CSV导出, CTI, GitHub Advanced Security, Google Authenticator, Hydra, IP 地址批量处理, LinPEAS, Linux提权, MFA, Nmap, PAM模块, PoC, SecList, SSH安全, VulnHub, Wireshark, 代码注入检测, 内存取证, 反取证, 句柄查看, 多因素认证, 子域名变形, 安全作品集, 安全加固, 安全实验报告, 安全评估, 技术栈, 插件系统, 数字取证, 数据展示, 数据统计, 暴力破解, 端口扫描, 红队, 网络安全, 网络安全实战, 自动化脚本, 虚拟驱动器, 隐私保护