jrock0824/privilege-escalation-detection-lab

# 红 & 蓝队权限提升检测实验 ## 概述 本仓库记录了一次协作式的红队/蓝队网络安全演练，旨在模拟真实的攻击与检测工作流。该项目演示了基于钓鱼的初始访问如何通过 sudo 错配置导致权限提升尝试，以及基于主机的监控如何检测并遏制此类活动。 该项工作采用 SOC 风格的事件报告进行组织和记录，具有明确的角色分工、证据处理、指标统计以及合规性对齐。 ## 团队角色与协作 本项目是作为一项跨双系统的团队协作练习完成的，反映了现实世界安全操作中攻击者和防御者在不同主机上运作的场景。 * **红队 (Abdi)** 在受控实验环境中使用 Social-Engineer Toolkit (SET) 模拟基于钓鱼的初始访问。 * **蓝队 (Jaylen)** 使用 auditd 实现权限提升检测，开发自动化分析脚本，构建事件时间线，对发现进行分类，处理证据脱敏，并生成 SOC 风格的报告。 这种分离反映了企业环境，即红队和蓝队独立运作，并在交战结束后共享工件。 ## 攻击与检测摘要 * **被攻陷用户（模拟）：** partner1 * **攻击目标：** 获取 root 级别权限 * **攻击向量：** 滥用 sudo 配置 * **检测点：** 权限提升阶段 (TA0004) * **检测方法：** Linux auditd 与脚本分析 * **结果：** 检测到权限提升尝试；未观察到成功的 root 权限获取 ## 工具与技术 * Linux auditd, ausearch, aureport * Bash 自动化（检测与证据脱敏） * MITRE ATT&CK Framework * CIS Critical Security Controls * NIST Cybersecurity Framework (CSF) ## 仓库结构 此结构反映了事件响应和安全工程团队组织案例文件的方式。 ## 包含的文档 `/docs` 目录包含生产级风格的报告，包括： * 威胁叙述 * 事件时间线 * MITRE ATT&CK 映射 * 发现与严重性分类 * 指标与业务影响 * 合规性映射 (CIS & NIST) * 完整事件调查报告 每份文档均使用专业的 SOC 语言编写，可独立审阅。 ## 证据处理 本仓库中包含的所有审计日志和输出均已进行脱敏处理： * 已移除用户名和敏感标识符 * 未存储任何密码或机密信息 * 保留了原始时间戳和事件 ID * 脱敏过程有审计追踪记录 这种方法反映了真实的 SOC 实践，即原始日志在内部保留，而脱敏后的工件则用于报告或培训共享。 ## 合规性对齐 本项目明确对齐以下标准： * CIS Control 6：访问控制管理 * CIS Control 8：审计日志管理 * NIST CSF：PR.AC, DE.CM, DE.AE 映射和理由记录在 `/docs/Compliance_Mapping.md` 中。 ## 局限性与未来工作 * 检测仅基于主机；未集成 SIEM 或 EDR。 * 尚未在电子邮件网关层实施钓鱼检测。 * 未来的增强功能可包括 SIEM 接入、关联规则和告警工作流。 ## 目的 本仓库作为： * 一个团队项目 * 一个专业的网络安全作品集工件 * 一个 SOC 风格事件检测与报告的示例 其撰写初衷旨在反映现实世界的安全操作，而非传统的学术实验。

标签：Auditd监控, BurpSuite集成, CIS控制, Cloudflare, CSV导出, EDR, MITRE ATT&CK, NIST CSF, SOC分析, Sudo滥用, 合规性标准, 子域名暴力破解, 审计日志分析, 应用安全, 数据展示, 权限提升检测, 红队, 网络安全, 脆弱性评估, 自动化检测, 防御演练, 隐私保护