Loay666/Malware_Analysis_and_Prevention_Strategy
GitHub: Loay666/Malware_Analysis_and_Prevention_Strategy
基于 Wazuh SIEM 构建的蓝队安全运营实验项目,演示跨 Linux/Windows 终端的多种网络攻击检测与监控场景。
Stars: 0 | Forks: 0
# 使用 Wazuh 的恶意软件分析与防范策略
一个蓝队网络安全项目,演示了 Wazuh 如何跨 Linux 和 Windows endpoint 检测、监控和分析多种网络攻击场景。
# 项目概述
本项目重点介绍如何使用 Wazuh SIEM 构建 SOC 环境,以监控 endpoint、检测恶意活动并实时生成安全警报。
该实验环境包含配置了不同安全工具的 Linux 和 Windows 机器,用于模拟常见的攻击场景。
# 使用的技术
- Wazuh Manager
- Wazuh Dashboard
- Wazuh Agent
- Ubuntu Linux
- Windows 10
- YARA
- Sysmon
- Auditd
- SQLMap
- Hydra
- File Integrity Monitoring (FIM)
- Windows Defender
# 检测场景
## 使用 YARA 进行恶意软件检测
将 YARA 与 Wazuh 集成,以检测在 Linux endpoint 上下载的已知恶意软件样本。
**MITRE ATT&CK:** T1204 - 用户执行
## SQL 注入检测
使用 SQLMap 对 DVWA 发起 SQL 注入攻击。
Wazuh 成功检测到该攻击并生成了高严重性警报。
**MITRE ATT&CK:** T1190 - 利用面向公众的应用程序
## Windows 暴力破解检测
使用 Hydra 模拟了对 Windows 机器的多次身份验证失败尝试。
Wazuh 生成了暴力破解检测警报。
**MITRE ATT&CK:** T1110 - 暴力破解
## 文件完整性监控 (FIM)
使用 Wazuh Syscheck 监控文件创建、修改和删除事件。
## EICAR 测试文件检测
下载 EICAR 测试文件,以验证 Windows Defender 和 Wazuh 的恶意软件检测能力。
## Auditd 监控
配置 Auditd 以监控可疑的 Linux 命令执行。
自定义的 Wazuh 规则会针对受监控的命令生成警报。
# 网络拓扑
在此处添加您的拓扑截图。
```
images/topology.png
```
# 截图
## YARA 检测

## SQL 注入检测

## 暴力破解检测

## 文件完整性监控

## EICAR 检测

## Auditd 监控

# 仓库结构
```
Malware_Analysis_and_Prevention_Strategy
│── README.md
│── Blue_Team_SOC_Final_Report.pdf
│── images/
```
# 展示的技能
- 安全监控
- SIEM 部署
- 威胁检测
- 恶意软件分析
- 日志分析
- 事件检测
- MITRE ATT&CK 映射
- Windows 安全
- Linux 安全
# 项目文档
完整的项目报告可在以下文件中查看:
**Blue_Team_SOC_Final_Report.pdf**
# 参考资料
- Wazuh 文档
- MITRE ATT&CK 框架
- YARA 文档
- SQLMap 文档
- Hydra 文档
- Microsoft Sysmon 文档
- Linux Auditd 文档
# 作者
**Loay Kamel**
网络安全学生 | 蓝队 | SOC 分析师
标签:CISA项目, DOE合作, Wazuh, x64dbg, 威胁防御, 安全运营中心, 搜索语句(dork), 红队行动, 网络映射, 自定义DNS解析器