sagar-cybersec/Phishing-Simulation-PowerShell-Detection

## 📌 项目概述 本项目使用 GoPhish 模拟钓鱼攻击活动，并利用 Wazuh SIEM 检测恶意的 PowerShell 执行。我们将通过发送薪资钓鱼邮件来引诱用户，同时向设备投放恶意（非真实恶意软件）Payload，以演示检测和 Alert 分流能力。 本实验的目标是： - 模拟钓鱼场景 - 在受害者机器上触发 PowerShell 执行 - 使用自定义 Wazuh 规则检测活动 - 使用 5W + 1H 方法论执行 SOC L1 分流 ## 🖥️ 实验架构 ### 🔹 攻击机 - Kali Linux - 已安装 GoPhish - IP: `192.168.0.50` ### 🔹 受害者机器 - Windows 11 Pro - 已安装 Wazuh Agent - IP: `192.168.0.20` ### 🔹 SOC 分析师机器 - Windows 11 Pro - 使用 SSH 远程访问 Wazuh Server - IP: `192.168.0.10` ### 🔹 Wazuh 服务器 - IP: `192.168.0.30` ### 🔹 SIEM - Wazuh Manager - 已配置自定义检测规则 ## 🎯 攻击模拟 ### 1. 钓鱼邮件 - 使用 Kali Linux 上的 GoPhish 工具发送了钓鱼邮件。我创建了落地页、邮件模板，添加了用户，并创建了一个活动来发起钓鱼模拟。 - 在 Kali 机器上托管了 Python HTTP server 以模拟攻击者设备，恶意文件存储在该设备中以用于投递 Payload。 ### 2️. 恶意落地页 - 创建了伪造的薪资登录门户以诱骗用户。 - 用户点击嵌入的链接/按钮后，会被重定向到员工薪资门户。 - 一旦用户输入用户名和密码，点击登录后会连接到 Kali 上的服务器，并请求将 .hta 文件下载到用户/受害者的机器上。 - 当用户打开该文件时，PowerShell Payload 会被执行。 - 用户的登录凭据会存储在攻击者设备中，攻击者可利用这些凭据根据其目标执行进一步操作。 ## 🚨 检测工程 ### 🔹 触发的默认 Wazuh 规则 - Rule ID: `67027` - 描述: 检测到 Windows PowerShell 执行 ### 🔹 自定义规则创建 位置: /var/ossec/etc/rules/local_rules.xml 自定义规则: ``` 67027 ExecutionPolicy Bypass Suspicious PowerShell Execution - ExecutionPolicy Bypass 67027 -EncodedCommand High Risk PowerShell Execution - EncodedCommand Used ``` ## 🔎 SOC L1 Alert 分流 (5W + 1H) ### Who (谁) 用户 Sagar 受到了影响。 ### What (什么) 在与钓鱼链接交互后执行了 PowerShell。 ### When (何时) Feb 24, 2026 @ 23:07:55.258 EST ### Where (哪里) Win11-Client01，IP 地址 - 192.168.0.20 ### Why (为什么) 用户收到一封伪装成薪资相关邮件的电子邮件，但用户与钓鱼邮件链接进行了交互，提供了员工登录凭据并运行了恶意的 .hta 文件。 ### How (如何) 收到钓鱼邮件 → 提交登录凭据 → 点击恶意 URL → 执行 PowerShell。 ## 🧠 关键学习成果 - 学习了如何创建自定义 Wazuh 规则，从而增强检测工程能力 - 基于相同自定义规则的 PowerShell 执行监控 - 检测调优 - SOC L1 分流方法论

标签：5W1H方法论, AI合规, AMSI绕过, Conpot, GoPhish, HTA文件, IP 地址批量处理, L1层级分析, OpenCanary, PowerShell攻击, SOC蓝队, Wazuh, Windows安全, 初始访问, 威胁检测, 安全运营中心, 恶意载荷, 搜索语句（dork）, 网络安全实验, 网络映射, 规则编写, 逆向工具, 钓鱼攻击模拟