LauroScher/Lab-Wazuh-Incident-Response
GitHub: LauroScher/Lab-Wazuh-Incident-Response
一个基于Wazuh的蓝队实验项目,演示SSH暴力破解与反向Shell的完整检测与响应流程。
Stars: 0 | Forks: 0
# 🛡️ 使用 Wazuh 进行事件响应:SSH 暴力破解与反向 Shell
本仓库记录了对暴力破解攻击(CWE-307)及其后建立持久性访问的模拟与分析过程,该活动在一个隔离的实验室环境中通过 SIEM/XDR Wazuh 进行了主动监控。
## 📝 执行摘要
本实验室的目标是在 Linux 服务器(Ubuntu)上应用 *Blue Team* 实践,以检测和遏制威胁。场景涵盖了通过 SSH 利用弱凭证、执行 *Reverse Shell*,以及验证检测规则和文件完整性监控(FIM),从而实现 SOC 的快速响应,并与 NIST SP 800-61r3 和 ISO/IEC 27002 框架保持一致。
## 🏗️ 环境架构
* **攻击者(Red Team):** Kali Linux
* **受害者(Blue Team):** Ubuntu Server
* **监控:** Wazuh Manager 服务器
## 🎯 战术、技术和程序 (TTPs) - MITRE ATT&CK
| 战术 | 技术 (ID) | 模拟操作描述 |
| :--- | :--- | :--- |
| **初始访问** | [T1110.001](https://attack.mitre.org/techniques/T1110/001/) | 通过 SSH 进行密码猜测 (Hydra) |
| **执行** | [T1059.004](https://attack.mitre.org/techniques/T1059/004/) | Unix Shell (通过 bash 访问) |
| **命令与控制** | [T1090](https://attack.mitre.org/techniques/T1090/) | 代理 / Reverse Shell (Netcat) |
## 🚨 攻击指标
| IoC 类型 | 值 | 上下文 |
| :--- | :--- | :--- |
| **命令** | `nc -e /bin/sh...` | Reverse Shell 执行特征签名 |
| **文件/日志** | `/var/log/auth.log` | 针对用户 `cliente` 的多次失败尝试 |
## 📚 完整文档
包含确切日志、Wazuh 仪表盘截图以及安全加固建议的详细报告可在 [`/docs`](./docs) 文件夹中找到。
标签:SIEM, Wazuh, 安全, 安全实验, 库, 应急响应, 蓝队, 超时处理