eaberacyber-cell/malware-analysis-lab

GitHub: eaberacyber-cell/malware-analysis-lab

该项目利用Splunk和模拟日志数据演示了如何检测PowerShell滥用和反向Shell等恶意行为，并复现SOC分析工作流。

Stars: 0 | Forks: 0

# 恶意软件分析实验室 # 使用 Splunk 进行恶意软件检测实验室 ## 📌 概述本项目模拟真实的恶意软件行为，并演示如何使用 Splunk 检测可疑活动。实验室专注于识别常见的攻击技术，例如 PowerShell 滥用、反向 Shell 和恶意进程执行。其目标是通过摄取日志、分析模式以及构建符合行业框架的检测逻辑，来复制安全运营中心 (SOC) 的工作流程。 ## 目标 * 安全地模拟类似恶意软件的行为 * 在 Splunk 中摄取和分析日志 * 使用 SPL 查询检测可疑活动 * 构建可视化和警报 * 将检测映射到 MITRE ATT&CK 技术 ## 实验室环境 * Splunk Enterprise (Docker) * macOS / Linux 终端 * 自定义生成的日志文件 (`malware.log`) ## ⚙️ 数据模拟已生成合成日志以模拟攻击者行为： * PowerShell 编码命令（恶意软件执行） * 使用 Netcat 的反向 Shell 活动 * 可疑的父子进程关系 ### 示例日志条目 ``` process=cmd.exe action=spawn parent=winword.exe user=admin process=powershell.exe action=encoded_command user=admin process=nc.exe action=reverse_shell dest_ip=10.0.0.5 ``` ## 数据摄取日志已上传到 Splunk 中，使用： * 来源: `malware.log` * Sourcetype: `custom_malware_logs` * 索引: `main` ## 检测查询 ### 1️ PowerShell 恶意软件检测 ``` index=main source="malware.log" | rex max_match=0 "process=(?[^\s]+)" | rex max_match=0 "action=(?[^\s]+)" | search process="powershell.exe" action="encoded_command" | stats count ``` ### 2️ 反向 Shell 检测 ``` index=main source="malware.log" | rex "dest_ip=(?\d+\.\d+\.\d+\.\d+)" | search "nc.exe" "reverse_shell" | stats count by dest_ip ``` ### 3️ 进程异常检测 ``` index=main source="malware.log" | rex max_match=0 "process=(?[^\s]+)" | stats count by process | sort - count ``` ## 可视化已创建条形图以可视化进程频率： * `powershell.exe` 的高频率表明存在可疑活动 * 低频进程突出显示潜在的孤立威胁 ## 告警已配置警报以检测异常 PowerShell 使用情况： ``` index=main source="malware.log" | rex max_match=0 "process=(?[^\s]+)" | rex max_match=0 "action=(?[^\s]+)" | search process="powershell.exe" action="encoded_command" | stats count | where count > 10 ``` ## MITRE ATT&CK 映射 | 技术 | 描述 | | --------- | ---------------------------------------------- | | T1059 | 命令和脚本解释器 | | T1204 | 用户执行 (恶意宏行为) | | T1105 | 入站工具传输 / 反向 Shell | ## 主要发现 * 检测到 PowerShell 编码命令的异常激增 * 识别出反向 Shell 通信尝试 * 观察到从 Microsoft Word 衍生的可疑进程生成 ## 展示的技能 * Splunk (SPL, 仪表板, 告警) * 日志分析与威胁检测 * 正则表达式字段提取 * MITRE ATT&CK 映射 * 安全事件调查 ## 未来改进 * 实施适当的事件解析和时间戳提取 * 集成真实的日志来源 (Sysmon, Windows Event Logs) * 扩展检测规则和关联搜索 * 自动化告警响应 ## 简历价值本项目展示了以下方面的实战经验： * 威胁检测和分析 * 使用 SIEM 工具进行安全监控 * 真实世界的 SOC 工作流程 ## 作者 Ephraim A 网络安全毕业生 | SOC 分析师方向 | Splunk | 威胁检测

标签：AMSI绕过, Cloudflare, DAST, Docker, IPv6, MITRE ATT&CK, Mutation, OpenCanary, PowerShell, SPL, 反向shell, 可视化, 告警规则, 威胁检测, 安全实验室, 安全运营, 安全防御评估, 恶意软件分析, 扫描框架, 数据模拟, 知识库安全, 终端安全, 请求拦截, 进程分析