CauaVitor01/sigma-ransomware-detection-lab
GitHub: CauaVitor01/sigma-ransomware-detection-lab
一个勒索软件检测工程实验项目,通过分析完整的攻击链来指导 Sigma 检测规则的开发与 MITRE ATT&CK 映射实践。
Stars: 0 | Forks: 0
# 勒索软件检测工程实验室
本仓库记录了一个关于**检测工程**的实践实验室,重点分析勒索软件的攻击链,并使用 **Sigma** 创建检测规则。
该项目的目标是演示如何在安全运营中心(SOC)环境中分析、关联安全事件,并将其转化为**可操作的检测**。
# 项目目标
本实验室模拟了勒索软件事件发生后**安全分析师或检测工程师**的工作。
通过对攻击者活动的分析,识别出恶意技术,并创建了基于行为的检测规则,以便在企业环境中识别类似活动。
项目展示了:
* 重建攻击链
* 识别失陷指标
* 创建检测规则
* 映射攻击者技术
* 使用 Sigma 标准化检测
# 攻击场景
本实验室模拟了一起由**网络钓鱼**引发的勒索软件事件,随后在受害者的终端上执行了恶意 payload。
此后,攻击者执行了一系列操作以维持持久化、提升权限、收集数据,并最终加密受害者的文件。
对事件的分析识别出以下攻击阶段:
1. 初始网络钓鱼
2. 执行恶意 payload
3. 下载额外的恶意软件
4. 建立 reverse shell
5. 权限提升
6. 系统持久化
7. 收集系统信息
8. 数据渗出
9. 文件加密(勒索软件)
# 观察到的技术
在事件分析过程中,识别出了攻击者使用的多种工具和技术。
其中包括:
* 使用 `certutil` 下载 payload
* 使用 `netcat` 创建 reverse shell
* 使用 `PowerUp.ps1` 进行权限提升
* 使用 `curl` 传输数据
* 使用 `7zip` 在渗出前压缩文件
这些技术通常被归类为 **Living off the Land**,即攻击者利用操作系统自带的工具来规避检测。
# 检测工程
基于对恶意活动的分析,使用 **Sigma** 开发了检测规则,这是一种标准化的语言,允许在不同的 SIEM 平台之间创建可移植的规则。
这些规则旨在识别可疑行为,例如:
* 下载可执行文件
* 使用可疑参数执行管理实用程序
* 创建 reverse shell 连接
* 异常访问敏感文件
Sigma 规则可以转换为不同的安全监控平台。
# MITRE ATT&CK 映射
攻击期间观察到的技术被映射到 **MITRE ATT&CK** 框架,从而能够在安全操作中广泛使用的模型内将攻击者的行为情境化。
已识别技术的示例:
| 技术 | ID |
| --------------------------------------------- | ----- |
| Ingress Tool Transfer | T1105 |
| Command and Scripting Interpreter | T1059 |
| Exfiltration Over Command and Control Channel | T1041 |
| Data Encrypted for Impact | T1486 |
# 已实现的检测
在实验室期间开发了以下检测:
* 检测通过 certutil 下载 payload
* 检测执行 netcat 进行 reverse shell
* 检测使用权限提升工具
* 检测用于渗出的文件压缩
* 检测与勒索软件相关的活动
每个检测包括:
* Sigma 规则
* MITRE ATT&CK 映射
* 实验室证据
* 恶意行为分析
# 使用的工具
本实验室使用了以下技术和安全工具:
* 用于日志分析的 SIEM
* 用于创建检测规则的 Sigma
* 用于生成事件的 Windows 环境
* 日志分析工具
# 项目结构
```
ransomware-detection-lab
docs
├── incident-analysis
├── sigma-rules
├── detection-notes
images
├── detection-evidence
├── logs
├── rules
```
# 结论
本实验室演示了如何在 SOC 环境中分析安全事件并将其转化为实际的检测。
结合事件分析、攻击者技术映射和检测规则开发,可以增强组织的防御能力,并改进对恶意活动的早期识别。
# 作者
安全分析师
专注于:
* Security Operations Center (SOC)
* Threat Hunting
* Detection Engineering
* 日志分析
标签:AMSI绕过, ATT&CK框架, Cyber Threat Intelligence, DAST, Detection as Code, Digital Forensics, HTTP工具, IOC提取, Sigma规则, SOC实验室, 云资产清单, 勒索软件分析, 协议分析, 命令与控制, 威胁检测, 子域枚举, 安全规则编写, 安全运营, 恶意软件分析, 扫描框架, 持久化攻击, 攻击链重建, 数据 exfiltration, 权限提升, 目标导入, 私有化部署, 端点检测, 网络信息收集, 网络安全, 网络安全审计, 逆向工程, 钓鱼攻击模拟, 防御规避, 隐私保护