Loay666/Malware_Analysis_and_Prevention_Strategy

GitHub: Loay666/Malware_Analysis_and_Prevention_Strategy

基于 Wazuh SIEM 构建的蓝队安全运营实验项目,演示跨 Linux/Windows 终端的多种网络攻击检测与监控场景。

Stars: 0 | Forks: 0

# 使用 Wazuh 的恶意软件分析与防范策略 一个蓝队网络安全项目,演示了 Wazuh 如何跨 Linux 和 Windows endpoint 检测、监控和分析多种网络攻击场景。 # 项目概述 本项目重点介绍如何使用 Wazuh SIEM 构建 SOC 环境,以监控 endpoint、检测恶意活动并实时生成安全警报。 该实验环境包含配置了不同安全工具的 Linux 和 Windows 机器,用于模拟常见的攻击场景。 # 使用的技术 - Wazuh Manager - Wazuh Dashboard - Wazuh Agent - Ubuntu Linux - Windows 10 - YARA - Sysmon - Auditd - SQLMap - Hydra - File Integrity Monitoring (FIM) - Windows Defender # 检测场景 ## 使用 YARA 进行恶意软件检测 将 YARA 与 Wazuh 集成,以检测在 Linux endpoint 上下载的已知恶意软件样本。 **MITRE ATT&CK:** T1204 - 用户执行 ## SQL 注入检测 使用 SQLMap 对 DVWA 发起 SQL 注入攻击。 Wazuh 成功检测到该攻击并生成了高严重性警报。 **MITRE ATT&CK:** T1190 - 利用面向公众的应用程序 ## Windows 暴力破解检测 使用 Hydra 模拟了对 Windows 机器的多次身份验证失败尝试。 Wazuh 生成了暴力破解检测警报。 **MITRE ATT&CK:** T1110 - 暴力破解 ## 文件完整性监控 (FIM) 使用 Wazuh Syscheck 监控文件创建、修改和删除事件。 ## EICAR 测试文件检测 下载 EICAR 测试文件,以验证 Windows Defender 和 Wazuh 的恶意软件检测能力。 ## Auditd 监控 配置 Auditd 以监控可疑的 Linux 命令执行。 自定义的 Wazuh 规则会针对受监控的命令生成警报。 # 网络拓扑 在此处添加您的拓扑截图。 ``` images/topology.png ``` # 截图 ## YARA 检测 ![YARA](https://raw.githubusercontent.com/Loay666/Malware_Analysis_and_Prevention_Strategy/main/images/yara1.png) ## SQL 注入检测 ![SQL 注入](https://raw.githubusercontent.com/Loay666/Malware_Analysis_and_Prevention_Strategy/main/images/sql1.png) ## 暴力破解检测 ![暴力破解](https://raw.githubusercontent.com/Loay666/Malware_Analysis_and_Prevention_Strategy/main/images/bruteforce1.png) ## 文件完整性监控 ![FIM](https://raw.githubusercontent.com/Loay666/Malware_Analysis_and_Prevention_Strategy/main/images/fim1.png) ## EICAR 检测 ![EICAR](https://raw.githubusercontent.com/Loay666/Malware_Analysis_and_Prevention_Strategy/main/images/eicar1.png) ## Auditd 监控 ![Auditd](https://raw.githubusercontent.com/Loay666/Malware_Analysis_and_Prevention_Strategy/main/images/auditd1.png) # 仓库结构 ``` Malware_Analysis_and_Prevention_Strategy │── README.md │── Blue_Team_SOC_Final_Report.pdf │── images/ ``` # 展示的技能 - 安全监控 - SIEM 部署 - 威胁检测 - 恶意软件分析 - 日志分析 - 事件检测 - MITRE ATT&CK 映射 - Windows 安全 - Linux 安全 # 项目文档 完整的项目报告可在以下文件中查看: **Blue_Team_SOC_Final_Report.pdf** # 参考资料 - Wazuh 文档 - MITRE ATT&CK 框架 - YARA 文档 - SQLMap 文档 - Hydra 文档 - Microsoft Sysmon 文档 - Linux Auditd 文档 # 作者 **Loay Kamel** 网络安全学生 | 蓝队 | SOC 分析师
标签:CISA项目, DOE合作, Wazuh, x64dbg, 威胁防御, 安全运营中心, 搜索语句(dork), 红队行动, 网络映射, 自定义DNS解析器