Tushar44338/Brute-Force-Attack-Simulation

# 暴力破解攻击模拟与检测 **环境：** VirtualBox | Kali Linux (攻击者) → Windows 11 (目标) **MITRE ATT&CK:** T1110.001 — Brute Force: Password Guessing ## 本项目涵盖内容 在隔离的实验室中模拟了暴力破解凭据攻击，使用 Windows 事件查看器日志检测到该攻击，并通过防火墙规则阻止攻击者 IP 进行了遏制。 ## 阶段 1 — 侦察 (NMAP) 在发起攻击之前，使用 NMAP 扫描目标 Windows 11 机器以识别开放端口并确认攻击面。 ``` nmap -sV 192.168.X.X ``` 此次扫描显示目标上的 **RDP 端口 3389** 处于开放状态 —— 确认其作为暴力破解攻击的切入点。 - `-sV` 检测开放端口上运行的服务版本 - 有助于在尝试利用之前了解暴露的服务 ## 阶段 2 — 暴力破解攻击 (Hydra) 确认开放端口后，使用 Hydra 对目标发起了快速的凭据暴力破解攻击。 ``` hydra -l administrator -P /usr/share/wordlists/PasswordList.txt rdp://192.168.X.X ``` - `-l administrator` — 锁定 administrator 账户 - `-P rockyou.txt` — 使用常用密码字典 - `rdp://` — 针对 3389 端口上的 RDP 服务 ## 阶段 3 — 检测 (Windows Event Viewer) 使用 Windows 事件查看器（安全日志）实时监控并检测攻击。 **打开方式：** `Run → eventvwr → Windows Logs → Security` | 事件 ID | 含义 | 观察结果 | |---|---|---| | 4625 | 登录失败 | 爆发 —— 2 分钟内来自单个 IP 的 50+ 条条目 | | 4648 | 使用显式凭据登录 | 触发 —— 确认使用了自动化工具 | | 4624 | 登录成功 | 未观察到 —— 未发生入侵 | 短时间内来自单个源 IP 的 **事件 ID 4625** 洪流是触发调查的暴力破解特征。 ## 阶段 4 — 遏制 从安全日志中提取攻击者 IP，并使用 Windows 防火墙入站规则进行阻止。 ``` Windows Defender Firewall → Inbound Rules → New Rule → Custom → Block → Remote IP: 192.168.X.X ``` 应用规则后，事件 ID 4625 条目停止生成 —— 确认攻击已被遏制。 ## 使用的工具 `NMAP` `Hydra` `Windows Event Viewer` `Windows Firewall` `VirtualBox` `Kali Linux` **Tushar Ranpariya** — 有志于成为 SOC 分析师 [LinkedIn](https://www.linkedin.com/in/tushar-ranpariya-a46240326/) · [GitHub](https://github.com/Tushar44338)

标签：AMSI绕过, BurpSuite集成, Cloudflare, CTI, Hydra, IP 封禁, MITRE ATT&CK, Nmap, PoC, RDP, VirtualBox, Windows 11, Windows 日志, 事件查看器, 威胁检测, 密码猜测, 库, 应急响应, 数据统计, 暴力破解, 混合加密, 用户模式钩子绕过, 端口扫描, 系统加固, 网络安全, 网络实验, 蓝队防御, 虚拟驱动器, 远程桌面协议, 防火墙, 隐私保护