EclipseManic/SOC-Investigation-Portfolio

# 🛡️ SOC分析师调查作品集 ## 📌 概述 本仓库包含基于数据包捕获、网络流量和日志分析的结构化 SOC 风格调查。 每个案例都以专业的安全事故报告形式撰写，专注于识别可疑活动、追踪攻击者行为并建立清晰的事件时间线。 目标是展示在真实安全运营中心（SOC）环境中使用的实际调查和报告技能。 ## 🧠 展示的技能 - 🧪 使用 Wireshark 进行 PCAP 分析 - 🌐 网络流量调查 - 🚨 可疑 IP/域名识别 - 🔎 DNS 与 HTTP 流量分析 - 📂 文件与流重构 - 🕒 攻击时间线创建 - 📍 IOC 识别 - 🗺️ MITRE ATT&CK 映射 - 📝 事件报告 - 🕵️ 基础威胁狩猎流程 ## 🛠️ 使用的工具 - Wireshark - TCPDump - Windows 事件日志 - Sysmon（视案例而定） - VirusTotal - 公共威胁情报来源 ## 🔬 调查方法论 每个调查遵循一致的 SOC 工作流程： 1. 📥 流量或日志的初始分类 2. ❗ 识别异常 3. 🔁 对可疑 IP/域名/文件进行联动分析 4. 🧩 重构攻击者行为 5. 🕒 构建时间线 6. 📍 识别妥协指标 7. 🗺️ 将活动映射到 MITRE ATT&CK 8. 📝 编写结构化的安全事故报告 ## 📂 调查案例 ### • 钓鱼邮件事件 — PhishNet 对通过供应商冒充钓鱼邮件投递恶意附件的 SOC 调查。 包含手动分析与工具辅助的检测流程。 报告链接 → [查看报告](https://github.com/EclipseManic/SOC-Investigation-Portfolio/blob/main/Phishing%20Email%20Investigation/report.md) ### • 备份服务器沦陷 — Telly 对备份服务器被攻陷的 SOC/DFIR 调查，攻击者利用 Telnet 漏洞获取 root 权限、建立持久化并窃取敏感客户数据库。 包含 PCAP 网络分析、命令重构、持久化追踪和数据外泄验证流程。 报告链接 → [查看报告](https://github.com/EclipseManic/SOC-Investigation-Portfolio/blob/main/Linux%20Server%20Investigation/report.md) ### • LLMNR 中毒攻击 — Noxious 在 Active Directory 环境中对执行 LLMNR 中毒的攻击行为进行网络取证调查，攻击者利用错误输入的文件共享请求捕获 NTLM 认证尝试。 包含 PCAP 分析、伪造主机识别、NTLM 挑战/响应重构、凭证泄露验证以及横向移动风险评级的流程。 报告链接 → [查看报告](https://github.com/EclipseManic/SOC-Investigation-Portfolio/blob/main/LLMNR%20Poisoning%20Investigation/report.md) ### • Web 利用与权限提升 — Packet Puzzle 对内部系统被攻陷的 SOC 调查，攻击者进行侦察、利用存在漏洞的 PHP 服务获得 RCE、部署载荷，并尝试使用 GodPotato 进行权限提升。 包含 PCAP 分析、漏洞利用重构、命令追踪、载荷分析以及 MITRE ATT&CK 映射流程。 报告 → [查看报告](https://github.com/EclipseManic/SOC-Investigation-Portfolio/blob/main/Network%20Intrusion%20Investigation/report.md) ### • BonitaSoft 漏洞利用 — Meerkat 对业务管理平台被攻陷的 SOC 调查。攻击者通过凭证填充获得初始访问权限，利用 CVE-2022-25237（授权绕过）实现 RCE，并通过文本共享网站注入 SSH 密钥建立持久化。 报告链接 → [查看报告](https://github.com/EclipseManic/SOC-Investigation-Portfolio/blob/main/Bonitasoft%20Compromise%20Investigation/report.md) ### • Web Shell 与 Java 漏洞利用 — JustSomePages 对使用高级 JSP Web Shell 和 Java 漏洞利用技术的红队攻击模拟进行 SOC 调查。 包含 PCAP 分析、WAF 绕过检测、攻击链重构（从加密载荷投递到 PowerShell 横向移动）以及开发特定 SIEM/EDR 检测策略的流程。 报告链接 → [查看报告](https://github.com/EclipseManic/SOC-Investigation-Portfolio/blob/main/Web%20Shell%20%26%20Java%20Exploitation%20Investigation/report.md) ### • Zorvyn FinTech 远程实习活动 — 避 PDF 分析 多名印度学生和应届生报告收到自称“Zorvyn FinTech Pvt. Ltd.”的极具吸引力的远程实习邀约，通常承诺月薪 ₹35–45K 以及最高 ₹11–14 LPA 的转正机会，职位包括网络安全分析师、数据分析师、前端开发与后端开发。对其中一个要约信 PDF（SHA256 21a28029acd9c884df80d11c9f9d355d4c2e4b183a5d7e35f84ce3589b453bc4）进行公开的 OSINT 与沙箱分析显示，该活动结合了社会工程、法律误导、规避式恶意软件行为以及激进地收集银行和身份信息。 报告链接 → [查看报告](https://github.com/EclipseManic/SOC-Investigation-Portfolio/blob/main/Zorvyn%20FinTech%20Remote%20Internship%20Campaign%20%E2%80%94%20Evasive%20PDF%20Analysis/report.md) （未来将逐步添加更多调查。） ## 🧾 报告结构 每个调查文件夹包含： - `report.md` → 完整的调查报告 每份报告均包括： - 案例概述 - 调查步骤 - 关键发现 - 时间线 - MITRE ATT&CK 映射 - 证据截图 - 结论 ## 🎯 目的 本仓库展示实际操作的 SOC 调查技能，包括流量分析、威胁检测和事件报告。 旨在反映真实世界分析员的工作流程与调查思维。

标签：CSV导出, DNS分析, DNS 解析, HTTP分析, HTTP工具, IOC识别, IP 地址批量处理, MITRE ATT&CK映射, PB级数据处理, PCAP分析, PE 加载器, SOC分析, StruQ, TCPDump, Wireshark, 事件报告, 句柄查看, 安全运维, 报告撰写, 攻击溯源, 文件还原, 无线安全, 时间线构建, 流分析, 网络安全审计, 网络流量分析