jaykpatel14/Malware-Incident-Response-Simulation-Enterprise-Lab-Environment

# 恶意软件检测与事件响应实验室 (Wazuh + Sysmon + MITRE ATT&CK) ## 目标 模拟恶意软件攻击并执行完整的事件响应生命周期。 ## 实验环境 - Windows 11 终端 (已启用 Sysmon) - Wazuh SIEM - Active Directory 环境 - VMware Workstation ## 攻击模拟 - 执行了 Atomic Red Team 技术： - T1204.002 (恶意宏) - T1564.004 (备用数据流) - T1021.001 (RDP 修改) ## 检测 - 创建了自定义 Wazuh 规则 - 检测到： - Office 进程派生 PowerShell - ADS 文件创建 - 注册表修改 ## 事件响应生命周期 ### 识别 - SIEM 中触发了高严重性警报 ### 遏制 - 隔离受感染机器 ### 证据收集 - 内存转储 (WinPmem) - 磁盘镜像 (FTK Imager) ### 分析 - 使用 Volatility 和取证工具 - 识别了持久化与规避技术 ### 根除与恢复 - 移除恶意更改 - 恢复干净的系统快照 ## 结果 - 成功检测多阶段攻击 - 完成完整的 IR 生命周期 - 产出取证证据与文档 ## 使用工具 - Wazuh - Sysmon - Volatility - FTK Imager - Atomic Red Team ## 展示技能 - Incident Response - Threat Detection - Digital Forensics - SIEM Engineering

标签：AD 安全, Atomic Red Team, BurpSuite集成, Cloudflare, FTK Imager, MITRE ATT&CK, RFI远程文件包含, SecList, Sysmon, Terraform 安全, TGT, Wazuh, Windows 安全, 内存取证, 命令控制, 域环境安全, 安全实验室, 安全运营, 扫描框架, 攻防演练, 数字取证, 数据泄露检测, 数据采集, 漏洞复现, 端点检测, 网络安全项目, 自动化脚本, 速率限制