himanshumodi3108/cybersec-portfolio

# SOC 分析师 | 数字取证 | 威胁检测 | 事件响应 **Himanshu Kumar Modi** 📍 印度孟买 | 🔗 [LinkedIn 主页](https://www.linkedin.com/in/himanshu-kumar-modi-063b88239) | 💻 [GitHub 主页](https://github.com/himanshumodi3108) ## 认证 | 认证 | 发证机构 | 状态 | |---|---|---| | Google Cybersecurity Certificate | Google / Coursera | ✅ 已完成 | | Certified in Cybersecurity (CC) | ISC2 | ✅ 已完成 | | Blue Team Level 1 (BTL1) | Security Blue Team | 🔄 进行中 | ## 技术技能 | 类别 | 工具与技能 | |---|---| | Network Forensics | Wireshark, PCAP analysis, IOC extraction, beaconing detection | | SIEM | Splunk SPL, log correlation, threat hunting, BOTS dataset | | Endpoint Forensics | Autopsy, Eric Zimmerman Tools (PECmd, JLECmd, Registry Explorer) | | Memory Forensics | Volatility 3 (pslist, netscan, malfind, cmdline) | | Malware Analysis | PEStudio, ANY.RUN, REMnux, static + dynamic analysis | | Threat Intel | MITRE ATT&CK mapping, ATT&CK Navigator, VirusTotal | | Incident Response | NIST SP 800-61, IR playbooks, phishing analysis | | 编程语言 | Python, Bash(基础), PowerShell (基础) | ## 项目 ### 01 — Network Forensics: Ursnif 恶意软件调查 **状态:** ✅ 已完成 分析了一个真实的 Ursnif/Gozi 银行木马 PCAP。从宏执行 → Payload 下载 → C2 Beaconing 重构了完整的感染链。提取了 10 个 IOC 并编写了 5 条 Splunk 检测规则。 → [report.md](01-network-forensics/01_report.md) ### 02 — Network Forensics: Trickbot 信息窃取器 **状态:** ✅ 已完成 分析了 Trickbot 信息窃取器 PCAP。捕获了实时的凭证窃取行为 —— 5 个受损账户在明文 POST 正文中。识别了非标准端口 447 C2 规避、伪造的 IE7 User-Agent 以及僵尸网络 ID 指纹识别。编写了 5 条检测规则，包括零误报的 User-Agent 特征。 → [report.md](02-network-forensics-trickbot/02_report.md) ## 💼 作品集亮点 - 调查了真实世界的恶意软件 PCAP 并重构了完整的感染链 - 通过 HTTP POST 流分析检测到了实时的凭证窃取行为 - 提取并记录了 2 个恶意软件家族的 IOC —— 共 10 个指标 - 将攻击者行为映射到 MITRE ATT&CK 框架，覆盖 9 个技术 ID - 根据观察到的恶意软件行为编写了 10 条 Splunk SPL 检测规则 - 识别了规避技术：Payload 伪装、非标准端口、User-Agent 欺骗 ## 🧰 工具熟练度 | 工具 | 水平 | 用途 | |---|---|---| | Wireshark | 高级 | PCAP analysis, IOC extraction, stream following, beaconing detection | | Splunk SPL | 中级 | Log correlation, threat hunting, detection rule writing, BOTS dataset | | MITRE ATT&CK | 中级 | TTP mapping, Navigator layer building, detection alignment | | Volatility 3 | 初学者 | Memory forensics — pslist, netscan, malfind, cmdline | | Autopsy | 初学者 | Disk forensics, deleted file recovery, artifact analysis | | EZ Tools | 初学者 | Registry Explorer, PECmd, JLECmd — Windows artifact parsing | | PEStudio | 初学者 | Static malware analysis — PE headers, imports, entropy | | ANY.RUN | 初学者 | Dynamic malware sandboxing | | VirusTotal | 中级 | Hash/domain/IP reputation, malware family identification | | Nmap | 中级 | Port scanning, OS fingerprinting, network enumeration | | Metasploit | 基础 | Exploitation framework, payload delivery (学术) | ## 🔍 检测策略 本作品集中的每一项调查都遵循三步检测方法论： 1. **发现** —— 使用取证工具识别攻击行为 2. **映射** —— 为每个行为分配 MITRE ATT&CK 技术 ID 3. **检测** —— 编写能在生产环境中捕获该行为的 Splunk SPL 规则 这种方法确保每个项目都能产出可操作的检测逻辑，而不仅仅是观察记录。 ## 🎯 SOC 分析师关注领域 ``` Credential Theft Detection → HTTP POST analysis, browser data exfiltration monitoring C2 Communication Detection → Beaconing regularity, non-standard ports, SNI monitoring Payload Delivery Detection → File extension mismatch, chunked downloads, archive names Evasion Technique Detection → User-Agent anomalies, port 443 HTTP, DGA patterns Incident Response → NIST SP 800-61 lifecycle, containment actions, IOC blocking ``` ## 检测查询库 基于真实实验室调查构建的 Splunk SPL 检测规则集合，持续更新中。 → [detection-queries-library.md](detection-queries-library.md) | 周次 | 新增规则 | 来源 | |---|---|---| | 第 1 周 | 10 条规则 | Ursnif PCAP (5) + Trickbot PCAP (5) — Beaconing、凭证窃取、端口规避、User-Agent 伪装 | ## 每周进度日志 | 周次 | 重点 | 状态 | |---|---|---| | 第 1 周 | Wireshark — 分析师级 PCAP 调查 | ✅ 已完成 — 2 个 PCAP, 10 个 IOC, 10 条检测规则 | | 第 2 周 | Splunk SPL + BOTS v1 开始 | 🔜 第 8 天开始 | | 第 3 周 | BOTS v1 完成 + Windows 取证 | 🔜 即将开始 | | 第 4 周 | Memory Forensics — Volatility 3 | 🔜 即将开始 | | 第 5 周 | Malware Analysis — Static + Dynamic | 🔜 即将开始 | | 第 6 周 | BTL1 准备 + Phishing 分析 | 🔜 即将开始 | | 第 7 周 | BTL1 考试 + Write-ups | 🔜 即将开始 | | 第 8 周 | Applications | 🔜 即将开始 | *每周更新。所有调查均使用真实恶意软件数据集和行业标准工具。*

标签：AI合规, AMSI绕过, C2通信, Cloudflare, DAST, DNS 解析, HTTP/HTTPS抓包, HTTP工具, IOC提取, IP 地址批量处理, MITRE ATT&CK, NIST, PCAP分析, SecList, SOC分析师, Trickbot, TTPs映射, Ursnif, Wireshark, YARA, 云资产可视化, 云资产清单, 内存取证, 句柄查看, 威胁情报, 威胁检测, 子域名变形, 安全合规, 安全运营中心, 库, 应急响应, 应用安全, 开发者工具, 态势感知, 恶意软件分析, 情报分析, 数字取证, 渗透测试辅助, 漏洞分析, 端点取证, 网络代理, 网络安全, 网络安全审计, 网络映射, 网络诊断, 自动化分析, 自动化脚本, 跨站脚本, 路径探测, 逆向工具, 逆向工程, 钓鱼分析, 银行木马, 隐私保护, 项目化管理