LauroScher/Lab-Wazuh-Incident-Response

GitHub: LauroScher/Lab-Wazuh-Incident-Response

一个基于Wazuh的蓝队实验项目,演示SSH暴力破解与反向Shell的完整检测与响应流程。

Stars: 0 | Forks: 0

# 🛡️ 使用 Wazuh 进行事件响应:SSH 暴力破解与反向 Shell 本仓库记录了对暴力破解攻击(CWE-307)及其后建立持久性访问的模拟与分析过程,该活动在一个隔离的实验室环境中通过 SIEM/XDR Wazuh 进行了主动监控。 ## 📝 执行摘要 本实验室的目标是在 Linux 服务器(Ubuntu)上应用 *Blue Team* 实践,以检测和遏制威胁。场景涵盖了通过 SSH 利用弱凭证、执行 *Reverse Shell*,以及验证检测规则和文件完整性监控(FIM),从而实现 SOC 的快速响应,并与 NIST SP 800-61r3 和 ISO/IEC 27002 框架保持一致。 ## 🏗️ 环境架构 * **攻击者(Red Team):** Kali Linux * **受害者(Blue Team):** Ubuntu Server * **监控:** Wazuh Manager 服务器 ## 🎯 战术、技术和程序 (TTPs) - MITRE ATT&CK | 战术 | 技术 (ID) | 模拟操作描述 | | :--- | :--- | :--- | | **初始访问** | [T1110.001](https://attack.mitre.org/techniques/T1110/001/) | 通过 SSH 进行密码猜测 (Hydra) | | **执行** | [T1059.004](https://attack.mitre.org/techniques/T1059/004/) | Unix Shell (通过 bash 访问) | | **命令与控制** | [T1090](https://attack.mitre.org/techniques/T1090/) | 代理 / Reverse Shell (Netcat) | ## 🚨 攻击指标 | IoC 类型 | 值 | 上下文 | | :--- | :--- | :--- | | **命令** | `nc -e /bin/sh...` | Reverse Shell 执行特征签名 | | **文件/日志** | `/var/log/auth.log` | 针对用户 `cliente` 的多次失败尝试 | ## 📚 完整文档 包含确切日志、Wazuh 仪表盘截图以及安全加固建议的详细报告可在 [`/docs`](./docs) 文件夹中找到。
标签:SIEM, Wazuh, 安全, 安全实验, 库, 应急响应, 蓝队, 超时处理