denis541/SOC-Analysis-and-Incident-Response
GitHub: denis541/SOC-Analysis-and-Incident-Response
一份涵盖端点取证、网络流量分析和检测工程的SOC分析与事件响应实战文档集,通过真实入侵案例展示分析师级别的调查方法论。
Stars: 3 | Forks: 0
# 安全运营与事件响应作品集
**Denis O. Onduso** · SOC 分析 · 数字取证 · 检测工程
📧 Denis.Onduso@outlook.com
## 概述
本仓库记录了涵盖端点取证、网络流量分析、加密验证以及完整事件响应调查的实战安全运营工作。每个项目均遵循分析师级别的方法论——从原始证据入手,通过工具辅助进行调查,最后输出文档化的发现与建议。
这项工作包含 18 个项目,按学科分类,从基础的端点可见性到使用真实 PCAP 数据的多阶段恶意软件分析。
## 重点调查案例
### Remcos RAT & Dridex 感染 — 多阶段端点入侵
`Wireshark` `Zeek` `Suricata` `Kibana` `Elastic Stack`
调查了一起发生于 2019-03-19 的多阶段感染链。NSM 警报在外部 IP 的加密 C2 流量上触发,进而发现通过 HTTP GET 请求检索到的两个恶意可执行文件。分析确认了 Remcos RAT 在非标准端口上的签到行为,以及源自 `31.22.4.176` 的与 Dridex 相关的 SSL 证书。从 PCAP 中提取的 Payload 显示了 MZ (十六进制 `4D 5A`) 文件签名。SHA256 哈希 `2a9b0ed40f1f0bc0c13ff35d304689e9cadd633781cbcad1c2d2b92ced3f1c85` 经 Cisco Talos Intelligence 验证,确认为恶意下载器。建议措施包括主机隔离、防火墙黑名单屏蔽 C2 IP,以及鉴于 Remcos 的凭据窃取能力,强制重置凭据。
→ [完整调查报告](./18_Remcos%20RAT%20%26%20Dridex%20Infection%20Analysis)
### SQL 注入 & DNS 渗透 — Web 应用程序入侵
`Security Onion` `Zeek` `Suricata` `Kibana` `capME`
在 Security Onion 环境中,利用预加载的 Zeek 和 Suricata 日志分析了 2020 年 6 月的一起 Web 服务器入侵事件。在 Kibana 中的 HTTP URI 分析揭示了一个针对信用卡表的经典 SQL 注入 Payload:
```
username='+union+select+ccid,ccnumber,ccv,expiration,null+from+credit_cards+--+
```
利用后阶段,DNS 日志分析识别出了一个渗透通道——异常长的子域查询字符串编码了 PII 和卡数据(例如 `ccnumber.signature.data.maliciousdomain.com`)。使用 Suricata 语法起草了检测规则,以标记 SQLi 模式和异常 DNS 查询长度。修复报告涵盖了参数化查询的实施和 DNS 监控控制措施。
→ [完整调查报告](./15_SQL%20Injection%20%26%20DNS%20Exfiltration%20Investigation)
### FTP 后渗透数据渗透
`Wireshark` `Zeek` `日志关联`
调查了端点入侵后未经授权的 FTP 数据传输。将认证事件与出站传输活动相关联,识别了渗透前的数据暂存行为,量化了移动的数据量,并通过时间线重建确定了攻击者的驻留时间。
→ [完整调查报告](./16_SOC-CaseStudy-PostExploitation-FTP-Exfil)
### Rig Exploit Kit — 路过式恶意软件投递
`Wireshark` `PCAP 分析` `恶意软件分类`
分析了与 Rig EK 投递机制相关的流量模式,追踪了从初始着陆页到 Payload 投递的重定向链。从数据包捕获中提取并记录了恶意软件 Artifact。
→ [完整调查报告](./17_SOC-CaseStudy-RigEK-Malware-Analysis)
## 项目索引
### 端点分析
| # | 项目 | 工具 | 重点 |
|---|---------|-------|-------|
| 01 | [端点分析 — TCPView](./01_Endpoint-Analysis_Sysinternals-TCPView) | Sysinternals TCPView | 进程到网络映射;基线与异常连接检测 |
| 02 | [端点取证 — Process Explorer](./02_Endpoint-Forensics_Sysinternals-Process-Explorer) | Sysinternals Process Explorer | 父子进程关系,DLL 检查,内存字符串 |
| 03 | [端点审计 — PowerShell 取证](./03_Endpoint-Auditing_PowerShell-Forensics) | PowerShell, Script Block Logging | 审计执行上下文,命令行参数分析 |
| 04 | [系统资源审计](./04_System-Resource-Audit_Performance-Monitoring) | Performance Monitor, Sysinternals | 用于异常检测的基线资源分析 |
### 网络分析
| # | 项目 | 工具 | 重点 |
|---|---------|-------|-------|
| 05 | [网络路径分析 — ICMP 取证](./05_Network-Path-Analysis_ICMP-Forensics) | Wireshark, tracert | 逐跳路径重建,TTL 分析 |
| 06 | [数据包分析 — 协议基础](./06_Packet-Analysis_Wireshark-Protocol-Basics) | Wireshark | TCP/IP 解析,流重组,过滤器构建 |
| 14 | [网络取证 — 恶意软件提取](./14_Network-Forensics-Malware-Extraction) | Wireshark, NetworkMiner | 从 PCAP 提取 Payload,文件签名识别 |
### 防御控制
| # | 项目 | 工具 | 重点 |
|---|---------|-------|-------|
| 07 | [ACL 加固](./07_Defensive-Control_ACL-Hardening) | Windows ACL, icacls | 权限审计,最小权限实施 |
### 加密验证
| # | 项目 | 工具 | 重点 |
|---|---------|-------|-------|
| 08 | [对称加密验证](./08_symmetric-encryption-validation) | OpenSSL, PowerShell | 加密强度评估,加密实现审查 |
| 09 | [数据完整性验证](./09_Data-integrity-validation) | SHA256, MD5 | 基于哈希的文件完整性验证 |
| 10 | [PKI 信任验证](./10_PKI-trust-validation) | 证书分析工具 | 证书链解析,颁发者验证 |
### 检测工程与日志分析
| # | 项目 | 工具 | 重点 |
|---|---------|-------|-------|
| 11 | [日志标准化与 ETL](./11_log-normalization-and-etl) | PowerShell, Regex | 异构日志源标准化 |
| 12 | [文件完整性审计](./12_File-Integrity-Audit) | PowerShell, 哈希 | 检测未经授权的文件修改 |
| 13 | [日志标准化实用程序](./13_log-normalization-utility) | PowerShell | 用于结构化日志输出的可复用解析工具 |
### 事件响应案例研究
| # | 项目 | 威胁 | 工具 |
|---|---------|--------|-------|
| 15 | [SQL 注入 & DNS 渗透](./15_SQL%20Injection%20%26%20DNS%20Exfiltration%20Investigation) | SQLi + DNS 隧道 | Security Onion, Zeek, Kibana |
| 16 | [后渗透 FTP 渗透](./16_SOC-CaseStudy-PostExploitation-FTP-Exfil) | 数据渗透 | Wireshark, Zeek |
| 17 | [Rig Exploit Kit 分析](./17_SOC-CaseStudy-RigEK-Malware-Analysis) | 路过式下载 | Wireshark, PCAP 分类 |
| 18 | [Remcos RAT & Dridex 感染](./18_Remcos%20RAT%20%26%20Dridex%20Infection%20Analysis) | RAT + 银行木马 | Wireshark, Zeek, Elastic, Talos |
## 技术栈
**端点:** Sysinternals Suite (TCPView, Process Explorer, Autoruns), Windows Event Logs, PowerShell Script Block Logging, Prefetch/ShimCache 分析
**网络:** Wireshark, Zeek (Bro), tcpdump, NetworkMiner, capME
**SIEM / 检测:** Splunk, Security Onion, Kibana / Elastic Stack, Suricata, Sguil
**取证:** FTK Imager, Autopsy, Volatility Framework
**威胁情报:** MITRE ATT&CK, Cisco Talos Intelligence, ABUSE.CH SSL Blacklist
**框架:** MITRE ATT&CK · NIST CSF · Cyber Kill Chain · ISO/IEC 27001
## 联系方式
**Denis O. Onduso**
安全运营与事件响应
Denis.Onduso@outlook.com
标签:AI合规, Cloudflare, DAST, Dridex, Elastic Stack, HTTP工具, IPv6, IP 地址批量处理, Libemu, Metaprompt, MITRE ATT&CK, MIT许可证, NIST CSF, PCAP分析, PowerShell, Remcos RAT, Rootkit, SecList, Security Onion, SOC分析, Suricata, Sysinternals, Wireshark, Zeek, 内存取证, 句柄查看, 后渗透, 安全分析师, 安全文档, 安全运营, 恶意软件分析, 扫描框架, 数字取证, 无线安全, 流量重放, 现代安全运营, 端点取证, 网络安全审计, 网络流量分析, 自动化脚本, 项目化管理