n1co2010/cyber-defense-analysis

# CYB2100 网络防御考试项目 本仓库包含我提交的 CYB2100 网络防御课程考试作业。 该项目侧重于防御性网络安全技术、威胁分析、恶意软件调查以及使用 SIEM 工具进行安全监控。 ## 概述 考试分为三个主要部分。 ## 第一部分 – 威胁分析与恶意软件调查 本节重点关注网络钓鱼攻击、防御措施和恶意软件分析。内容包括基于 MITRE ATT&CK 识别安全控制措施、分析攻击者用于绕过防御的技术，以及检查包含宏的恶意文档。分析展示了恶意软件如何通过 Document_Open 执行，并使用 Windows API 函数（如 URLDownloadToFileA 和 ShellExecuteA）来下载和执行 payload。 本节还包括使用 ClamAV 开发自定义 YARA 规则，以便根据特定指标（如 API 调用和文件名）检测恶意软件。 ## 第二部分 – SIEM 与日志分析 本节涵盖安全信息和事件管理 (SIEM) 概念以及实际的日志分析。内容包括 Wazuh 和 Splunk 的比较，突出了在成本、灵活性和易用性方面的差异。 使用 Splunk 中的 BOTS v1 数据集进行了实际分析。任务包括识别 DNS 活动、分析随时间变化的 HTTP 流量、检测潜在的横向移动以及调查可能的命令与控制 (C2) 通信。使用了 SPL 查询来提取和可视化相关的安全数据。 ## 第三部分 – 治理与高级威胁 本节侧重于监管要求和高级威胁行为者。内容包括分析 NIS2 指令及其对关键基础设施组织的影响，重点强调风险管理、事件报告和供应链安全。 本节还探讨了威胁行为者 Volt Typhoon 及其对“Living off the Land”技术的使用。分析强调了攻击者如何利用 PowerShell 和 WMI 等合法工具来逃避检测，并讨论了与 IT 和 OT 环境相关的风险，特别是在关键基础设施领域。 ## 使用的技术 Ubuntu Linux 虚拟机 ClamAV 和 YARA oletools (olevba) Splunk SIEM BOTS v1 数据集 MITRE ATT&CK 框架 ## 关键学习成果 本项目展示了对网络钓鱼和社会工程学攻击、恶意软件执行与检测技术、开发用于威胁检测的 YARA 签名、使用真实数据集进行实际 SIEM 分析、识别横向移动和命令与控制活动，以及对 NIS2 等监管框架的理解。 ## 文件 254_CYB2100_Eksamen.pdf – 完整考试提交 ## 免责声明 本项目是作为学术考试的一部分开发的，仅用于教育目的。 ## 作者 网络安全专业本科生 Høyskolen Kristiania

标签：C2通信, ClamAV, Cloudflare, DAST, DNS信息、DNS暴力破解, DNS分析, DNS 反向解析, IP 地址批量处理, LoLBin, MITRE ATT&CK, NIS2指令, PE 加载器, SPL查询, Volt Typhoon, Wazuh, Web 安全测试, Windows API, YARA规则, 关键基础设施, 威胁分析, 安全合规, 宏病毒, 恶意软件分析, 数字取证, 横向移动, 知识库安全, 编程规范, 网络代理, 网络信息收集, 网络安全, 网络流量分析, 自动化侦查工具, 自动化脚本, 速率限制, 隐私保护