wrip803864/Incident-Response-Project

# Incident-Response-Project 本项目展示了对 Windows Server 2019 环境中发生的加密劫持攻击进行的全生命周期事件响应。此次事件由高 CPU 利用率和服务中断触发，调查使用 Wazuh SIEM 识别出了 XMRig 挖矿恶意软件，该软件是通过始于钓鱼攻击的社会工程学活动引入的。修复工作包括终止恶意进程、通过组策略恢复 Windows Defender，以及通过配置 pfSense 防火墙规则阻断端口 3333 上的未授权出站流量来加固网络。该演练最终以一份正式的技术报告结束，报告对事件的功能性影响进行了分类，并制定了预防策略以提升组织的整体安全态势。 # 技术 # 监控与检测 Wazuh SIEM：用于分析日志，检测高 CPU 利用率警报，并识别未授权的远程网络连接。用于检查网络流量并识别特定端口（具体为端口 3333）上的恶意通信。 # 端点安全与管理 Windows Server 2019：被入侵应用服务器的操作系统（主机名：WIN-6JNN6RLT6IL）。 Windows Defender：主要的防病毒/威胁防护服务，被重新启用并用于扫描和移除恶意软件。 Group Policy Editor (GPO)：用于修复系统，撤销攻击者禁用安全服务的更改。 Windows Task Manager：用于识别恶意进程（XMRig 挖矿程序）并监控实时 CPU 利用率。 # 网络防御 pfSense Firewall：用于配置和验证 DMZ 防火墙规则，以阻断未授权的出站 TCP/UDP 流量。 # 项目总结 本次事件响应项目涉及对用于关键工程操作的 Windows Server 2019 系统上发生的加密劫持攻击的检测与缓解。在多名用户报告 CAD 应用程序出现严重性能问题后，使用 Wazuh SIEM 进行的调查揭示了由未授权的 XMRig 挖矿进程引起的高 CPU 利用率。对网络元数据的分析进一步识别出通过端口 3333 向外部 IP 进行的恶意出站通信，证实该服务器是通过始于钓鱼攻击的社会工程学活动被入侵的。 为了消除威胁，响应工作侧重于恢复系统完整性和加固网络防御。这包括使用组策略重新启用攻击者禁用的 Windows Defender 服务，终止恶意挖矿进程，以及执行全系统扫描以清除恶意软件残留。为了防止未来的数据泄露及与攻击者基础设施的通信，实施了 pfSense 防火墙规则以阻断受影响端口上的所有未授权 TCP/UDP 流量。项目最终以一份正式的事件报告结束，该报告对功能性影响进行了分类，并为组织确立了前瞻性的安全态势。

标签：Cloudflare, Cryptojacking, ESC8, IP 地址批量处理, MITRE ATT&CK, pfSense防火墙, Wazuh SIEM, Windows Defender, Windows Server 2019, XMRig, 威胁情报, 开发者工具, 恶意软件清除, 社会工程学, 端口封锁, 系统加固, 组策略GPO, 网络安全, 网络安全审计, 网络挖矿攻击, 计算机辅助设计CAD, 隐私保护, 高CPU利用率检测