KenishRaghu/Attacker-TTP-Analysis-Incident-Response-Lab

# 攻击者 TTP 分析与事件响应实验 专业作品集项目，仅专注于**两项核心能力**： 1. **事件响应模拟实验** — 涵盖合成事件、TTP 分析、MITRE 映射、取证工件、基于 PCAP 的网络指标、遏制、根除以及事后检测建议。 2. **检测规则工程** — 涵盖 YARA、Sigma、Suricata、Snort、Zeek、IOC feed 模拟，以及可用 Python 测试的检测模式（PowerShell、钓鱼路径、DNS 隧道启发式分析、凭据转储、宏）。 技术栈：**Python**、**YARA**、**Sigma**、**Suricata/Snort**、**Zeek 脚本**、**合成 Zeek/PCAP 友好型流量**、**面向 Volatility 的工作流**（示例输出；未附带多 GB 的大型转储文件）、**Wireshark/tshark PCAP 样本**、**Docker**、**pytest**、**GitHub Actions**。 ## 仓库目录 | 路径 | 用途 | |------|---------| | `incident_scenarios/` | 六份完整的事件分析报告（`incident_report.md` + `artifacts.json`） | | `forensic_artifacts/` | PCAP、邮件头、进程树、注册表样本、沙箱 JSON、Volatility 摘录、笔记 | | `rules/` | YARA、Sigma、Suricata、Snort、Zeek、IOC feed 样本 — 详见 `rules/README.md` | | `src/ttp_lab/` | IOC 解析器、钓鱼邮件头辅助工具、共享检测正则表达式/启发式规则 | | `scripts/` | PCAP 生成器、IOC 提取 CLI | | `tests/` | pytest 验证（Sigma YAML、IDS 文本、IOC 逻辑、可选 YARA CLI） | | `INVESTIGATION_WALKTHROUGH.md` | 面向面试的调查主线 | ## 快速开始 ``` python3 -m venv .venv && source .venv/bin/activate pip install -r requirements.txt PYTHONPATH=src python scripts/generate_sample_pcaps.py --out forensic_artifacts/pcaps PYTHONPATH=src pytest -q ``` **Docker**（在安装了 YARA 的精简镜像中运行 pytest）： ``` docker compose build && docker compose run --rm lab-tests ``` **可选：** 安装系统级 `yara`，以避免 `tests/test_yara_rules.py` 被跳过。 ## MITRE ATT&CK 覆盖范围（实验场景 + 规则） | 场景 / 规则集 | 重点技术 | 仓库中的证据 | |--------------------|--------------------|------------------| | 钓鱼凭据窃取 | T1566, T1566.002 | `01_*`、邮件头、`phishing_click_lab.pcap` | | 恶意软件信标 / C2 | T1071.001, T1071.004, T1105 | `02_*`、PCAP、Suricata/Snort、Zeek、YARA | | 暴力破解入侵 | T1110, T1078 | `03_*`、`auth_bruteforce_excerpt.log` | | 可疑 PowerShell | T1059.001, T1105 | `04_*`、Sigma + `detection_patterns.py` | | 恶意投递 + 持久化 | T1105, T1547.001, T1055 | `05_*`、注册表、进程树、YARA 加载器 | | Web 漏洞利用尝试 | T1190 | `06_*`、目录遍历 PCAP、IDS 规则 | | 交叉检测 | T1003 | 用于凭据转储的 Sigma + 正则表达式 | ## 取证工作流（贴近实战，实验范围） 记录于 `forensic_artifacts/notes/FORENSIC_WORKFLOW.md`： - 使用 **tshark** / Wireshark 进行 PCAP 分析 - **Volatility 3** 插件示例与合成的 `volatility_pslist_excerpt.txt` - 用于笔记和沙箱样式报告的 **IOC 解析器** - 针对钓鱼攻击的电子邮件**头部**特征提取（`ttp_lab.phishing_header_analysis`） 已刻意排除了完整的 Windows 内存镜像；`forensic_artifacts/memory/` 下的 README 描述了获取与分析的预期要求。 ## 调查演练指南 参阅 **`INVESTIGATION_WALKTHROUGH.md`** 获取逐场景的解释路径，适用于面试交流。 ## 面试视角（Cloudflare 威胁检测 / IR） 针对每起事件，报告均包含： - 攻击者的**目标**与 **TTP 链** - **ATT&CK** 阶段、推断的**后续步骤**、**遏制优先级** - **推荐的新检测方法**，将 IR 结果与改进的防御态势联系起来 检测模块反映了现代 SOC 工程：可移植规则、边缘/网络 IDS (Suricata/Snort)、用于可扩展元数据的 Zeek 告警、用于主动狩猎 的 YARA，以及用于 pipeline 测试的 **feed 模拟** JSON。 ## GitHub 仓库名称 参考实现已推送到 **`KenishRaghu/Attacker-TTP-Analysis-Incident-Response-Lab`**。如果您想使用更短的别名 **`attacker-ttp-analysis-ir-lab`**，请在 GitHub 的 **Settings → General → Repository name** 中重命名仓库（GitHub 会保留一段时间的旧名称重定向）。 ## 许可证 / 使用说明 本内容为合成数据，仅供教育和面试使用。在实际运维环境（Operational use）中使用前，请自行独立验证。

标签：Cloudflare, DNS隧道, Docker, GitHub Actions, IOC提取, IP 地址批量处理, Metaprompt, MITRE ATT&CK, PCAP, pytest, Python, Rootkit, SecList, Suricata, TTP分析, Wireshark, YARA, Zeek, 事件响应模拟, 云资产可视化, 内存取证, 凭据转储, 句柄查看, 安全实验靶场, 安全规则引擎, 安全运营, 安全防御评估, 库, 应急响应, 扫描框架, 搜索语句（dork）, 数字取证, 无后门, 检测规则, 现代安全运营, 红队行动, 网络威胁情报, 网络安全, 网络资产发现, 自动化脚本, 自动笔记, 蓝军, 请求拦截, 逆向工具, 钓鱼攻击分析, 隐私保护