Anu19G/SOC-Home-Lab

# SOC 家庭实验室：攻击与防御模拟 🚀 ## 📌 项目概述 本项目展示了一个受控隔离虚拟环境中的网络安全事件完整生命周期。通过扮演 **攻击者**（Kali Linux）与 **SOC 分析员**（运行 Splunk 的 Windows 10），我成功模拟了真实攻击，建立了遥测管道，并进行了深度威胁狩猎以还原攻击者的行为。 ## 🔧 使用的技术与工具 * **虚拟化：** Oracle VirtualBox * **操作系统：** Windows 10（目标）& Kali Linux（攻击者） * **SIEM：** Splunk Enterprise * **端点传感器：** Sysmon（Microsoft Sysinternals） * **攻击工具：** Nmap、MSFVenom、Metasploit Framework * **网络分析：** Netstat、Python3 HTTP Server ## 🌐 网络拓扑 为确保安全的测试“沙箱”，我配置了一个名为 **“MyNet”** 的独立**内部网络**。这使实验环境与物理主机及公共互联网隔离。 * **Windows 10（目标）IP：** `192.168.20.10.` * **Kali Linux（攻击者）IP：** `192.168.20.11.` * **子网掩码：** `255.255.255.0 (/24)` ## 🚀 实施阶段 ### 1. 环境设置与隔离 两台虚拟机均在 **MyNet** 内部网络中被静态分配 IP 地址。通过目标节点对攻击节点的 Ping 测试验证了连通性。 ### 2. SOC 管道配置（日志记录与摄取） * **Sysmon：** 部署了自定义配置以捕获细粒度的端点遥测数据。 * **Splunk：** 配置了专用的 `endpoint` 索引并修改了 `inputs.conf` 以监控和摄取 Sysmon 日志。 * **解析：** 安装了 **Splunk Add-on for Sysmon**，以创建可搜索字段，如 `parent_process` 和 `process_exec`。 ### 3. 对手模拟（攻击阶段） * **侦察：** 执行了 Nmap 服务扫描（`nmap -A -Pn`）以识别开放端口（SMB、Splunk）。 * **载荷生成：** 使用 **MSFVenom** 创建了一个恶意可执行文件 `resume.pdf.exe`，采用 Meterpreter 反向 TCP 载荷。 * **命令与控制（C2）：** 建立了 Metasploit `multi/handler` 以监听传入连接。 * **投递：** 在 9999 端口使用 **Python3 HTTP 服务器** 部署载荷。 ### 4. 执行与连接验证 载荷在 Windows 目标上被下载并执行。执行 `netstat -anob` 命令确认了受害者与攻击者在 4444 端口之间建立了 **ESTABLISHED** 连接。 ### 5. SOC 分析与威胁狩猎（防御阶段） 使用 Splunk，我通过识别关键 **IOC（入侵指标）** 调查了该事件： * **执行检测：** 利用 Sysmon 事件 ID 1（进程创建）精确定位了 `resume.pdf.exe` 的执行。 * **行为分析：** 重构了 **进程链**，展示了恶意软件如何生成 `cmd.exe` 以执行侦察命令（`net user`、`ipconfig`）。

标签：CTI, DNS 解析, HTTP工具, MSFVenom, Nmap, Oracle VirtualBox, StruQ, Sysmon, T1005, T1016, T1036, T1055, T1059, T1082, T1552, T1573, TGT, Windows 10, 内网环境, 内部网络, 后渗透, 安全运营中心, 恶意可执行文件, 攻击模拟, 攻防演练, 无线安全, 流量捕获, 端点传感器, 端点检测, 网络安全, 网络拓扑, 网络映射, 网络隔离, 虚拟驱动器, 防御分析, 隐私保护, 驱动签名利用