Babatomiwa001/soc-lab-wazuh-brute-force

# 🛡️ SOC 家庭实验室 — 使用 Wazuh SIEM/XDR 检测 SSH 暴力破解 一个动手实践的安全运营中心（SOC）实验室，模拟真实的 SSH 暴力破解攻击，并使用 Wazuh SIEM/XDR 进行检测。该项目展示了端到端的威胁检测、告警分类和事件响应，遵循 **PICERL** 框架。 ## 📌 实验室概述 | 项目 | 值 | |---|---| | **SIEM 平台** | Wazuh v4.14.4 | | **攻击工具** | Hydra v9.6 | | **攻击机** | Kali GNU/Linux 2026.1 | | **目标机** | Ubuntu 24.04 LTS（Wazuh 服务器） | | **MITRE ATT&CK 技术** | T1110.001 — 暴力破解：密码猜测 | | **事件严重性** | 高 | | **结果** | 检测到、已遏制、已记录 | ## 🏗️ 实验室架构 ``` ┌─────────────────────┐ SSH Brute Force ┌─────────────────────┐ │ │ ─────────────────────────────► │ │ │ Kali Linux VM │ │ Ubuntu Desktop VM │ │ (Attacker) │ 192.168.14.132 │ (Wazuh Server) │ │ 192.168.14.132 │ │ 192.168.14.134 │ │ │ │ │ │ Tools: │ │ Services: │ │ - Hydra │ │ - Wazuh Manager │ │ - Nmap │ │ - Wazuh Indexer │ │ │ │ - Wazuh Dashboard │ └─────────────────────┘ └─────────────────────┘ │ │ └──────────────── Same VMware NAT Network ────────────────┘ ``` 两台虚拟机均在 Windows 主机上运行 **VMware Workstation**，通过 NAT 网络连接。 ## ⚔️ 攻击模拟 — 使用 Hydra 进行 SSH 暴力破解 攻击从 Kali Linux 机器发起，目标为 Ubuntu 上的 SSH 服务，使用 `rockyou.txt` 字典文件。 ``` sudo hydra -l root -P /usr/share/wordlists/rockyou.txt -t 4 -I ssh://192.168.14.134 ``` **攻击行为包括：** - 尝试通过 SSH（端口 22）以 `root` 用户身份认证 - 从 rockyou.txt 中遍历超过 1400 万个密码 - 使用 4 个并行线程以避免 SSH 连接限制 **Ubuntu 的认证日志确认攻击已成功触发：** ``` Failed password for root from 192.168.14.132 port 44768 ssh2 Failed password for root from 192.168.14.132 port 40712 ssh2 Too many authentication failures [preauth] PAM: 5 more authentication failures; rhost=192.168.14.132 ``` ## 🔍 检测 — Wazuh SIEM 告警 Wazuh 通过监控 Ubuntu 服务器上的 `/var/log/auth.log` 和 `/var/log/syslog` 实时检测到该攻击。 ### 最近 30 天告警统计 | 指标 | 数量 | |---|---| | 总告警数 | 21,164 | | 认证失败 | 19,440 | | 认证成功 | 64 | | Level 12+ 告警 | 0 | ### 触发的关键规则 | 规则 ID | 描述 | 等级 | |---|---|---| | 5760 | sshd：认证失败 | 5 | | 5758 | 超过最大认证尝试次数 | 8 | | 5503 | PAM：用户登录失败 | 5 | | 2502 | 用户密码错误超过一次 | 10 | | 2501 | syslog：用户认证失败 | 5 | ### MITRE ATT&CK 映射 | 战术 | 技术 | ID | |---|---|---| | 凭据访问 | 暴力破解：密码猜测 | T1110.001 | | 凭据访问 | 有效账户 | T1078 | Wazuh 自动将告警映射到 **MITRE ATT&CK** 以及 **PCI DSS**、**HIPAA**、**NIST 800-53**、**GDPR** 和 **TSC** 等合规框架。 ## 🚨 事件响应 — 使用 PICERL 框架 ### 准备阶段 - 部署并配置 Wazuh SIEM - 设置 Kali Linux 攻击机 - 在目标 Ubuntu 上启用 SSH 服务 - 确认认证日志监控已激活 ### 识别阶段 - 攻击开始后 60 秒内，Wazuh 规则 **5760** 被触发 - 检测到 19,440 次失败的 SSH 认证尝试 - 识别出源 IP `192.168.14.132` 为攻击者 - 自动标记 MITRE ATT&CK 技术 T1110.001 - **未检测到来自攻击 IP 的成功登录**（规则 5715 无命中） ### 遏制阶段 立即使用 UFW 阻断攻击者 IP： ``` sudo ufw deny from 192.168.14.132 to any sudo ufw enable ``` ### 根除阶段 验证未建立持久化机制： ``` # 检查新账户 lastlog cat /etc/passwd | tail -5 # 检查未经授权的 SSH 密钥 cat /root/.ssh/authorized_keys ``` 未发现未授权账户、定时任务或 SSH 密钥。 ### 恢复阶段 应用以下加固措施： ``` # 禁用 root SSH 登录 sudo nano /etc/ssh/sshd_config # PermitRootLogin no # 安装 fail2ban 以实现自动 IP 封锁 sudo apt install fail2ban -y sudo systemctl enable --now fail2ban ``` ### 经验总结 - 默认应禁用 root 的 SSH 登录 - 应预先安装 Fail2ban 以自动封禁暴力破解 IP - 建议将 SSH 移至非标准端口或强制使用密钥认证 - 需要调整告警阈值，以便更早触发高严重性告警 ## 🛠️ 使用的工具与技术 | 工具 | 用途 | |---|---| | Wazuh v4.14.4 | SIEM/XDR — 告警收集、索引与仪表盘 | | Hydra v9.6 | 暴力破解攻击模拟 | | OpenSearch | 告警索引与搜索后端 | | VMware Workstation | 虚拟机托管与网络隔离 | | UFW / iptables | 基于防火墙的遏制 | | MITRE ATT&CK | 威胁分类框架 | | PICERL | 事件响应框架 | ## 📚 参考的框架与文档 - [MITRE ATT&CK — T1110.001](https://attack.mitre.org/techniques/T1110/001/) - [Wazuh 官方文档](https://documentation.wazuh.com) - [PICERL 事件响应框架](https://www.sans.org/white-papers/33901/) ## 👨‍💻 关于作者 由 **Joshua Israel Babatomiwa** 构建 — 一位拉各斯籍的网络安全专业人士，正从政治学转向 SOC/蓝队运营。 **认证：** Cisco CyberOps Associate | Cisco Certified Ethical Hacker | CompTIA Security+（学习中） **连接：** [LinkedIn](https://www.linkedin.com/in/israel-joshua-572055153) |

标签：AMSI绕过, Brute Force, Cloudflare, Home Lab, Hydra, MITRE ATT&CK, PICERL, PoC, SSH, T1110, T1110.001, Wazuh, 威胁检测, 安全实验, 安全运营中心, 家庭实验室, 密码爆破, 密码猜测, 暴力破解, 网络映射