Ritesh-GG/Incident-Response-Portfolio

# 事件响应作品集 ## 概述 在 LetsDefend 上完成的 SOC 告警调查，这是一个真实的 世界 SOC 模拟平台。每个案例研究都遵循 与 NIST 事件响应生命周期和 MITRE ATT&CK 框架保持一致的结构化 IR 方法论。 ## 已完成调查 | 告警 | 场景 | MITRE 技术 | 判定 | |-------|----------|-----------------|---------| | SOC251 | Quishing - 二维码网络钓鱼 | T1566.001 网络钓鱼 | 真实阳性 | | SOC153 | 可疑 PowerShell 脚本 | T1059, T1071, T1027, T1105 | 真实阳性 | | SOC176 | RDP 暴力破解 | T1110, T1078, T1021.001 | 真实阳性 | ## 调查亮点 ### SOC251 - 二进制攻击 调查了一个模拟 Microsoft MFA 设置的网络钓鱼电子邮件。解码二维码后发现一个 IPFS 托管的钓鱼页面，被多个 VirusTotal 供应商确认为恶意。发件人域名未注册且被伪造。判定为真实阳性并关闭。 ### SOC153 - Azorult 信息窃取器 调查了一个通过 Chrome 从 S3 桶下载的可疑 PowerShell 脚本。文件哈希被确认为 Azorult 信息窃取器，33/62 个 VirusTotal 供应商确认。无文件第二阶段负载通过 IEX 技术在内存中执行。 C2 回调到 91.236.116.163，收到 HTTP 200 响应。端点已隔离。判定为真实阳性并关闭。 ### SOC176 - RDP 暴力破解 调查了来自 CHINANET IP 218.92.0.56 的 RDP 暴力破解，该 IP 有 453051 个 AbuseIPDB 报告。攻击者在 9-10 次失败尝试后 成功认证为 Matthew。EventID 4624 登录类型 10 确认了活动的 RDP 会话。端点已隔离。判定为真实阳性并关闭。 ## IR 报告模板 遵循 NIST 事件响应生命周期的可重用 IR 报告模板，涵盖检测、分析、遏制、 根除、恢复和经验教训阶段。 ## 使用的工具 - LetsDefend SOC 模拟平台 - VirusTotal 用于哈希、URL 和 IP 分析 - AbuseIPDB 用于 IP 信誉检查 - URLScan.io 用于 URL 分析 - ZXing 二维码解码器

标签：218.92.0.56, AbuseIPDB, Ask搜索, Azorult, C2 通信, CHINANET, CIDR输入, Cloudflare, DNS 反向解析, EventID 4624, IEX, Incident Response, IP 信誉, IP 地址批量处理, Logon Type 10, MITRE ATT&CK, NIST 事件生命周期, Object Callbacks, PoC, PowerShell 脚本, QR Code 钓鱼, QR 码解码, Quishing, RDP 暴力破解, RDP 横向移动, URLScan.io, URL 分析, VirusTotal, ZXing, 代理, 信息窃取器, 命令与控制, 失败登录, 安全运营, 异常登录, 恶意软件, 扫描框架, 报告模板, 无文件攻击, 暴力破解, 案例研究, 模拟训练, 病毒总览, 真实案例, 端点隔离, 网络信息收集, 网络钓鱼