mrunalparmar-111/Apt-detection-lab

# APT 检测实验室 — Wazuh SIEM + Suricata IDS/IPS 一个使用 Cyber Kill Chain 方法论模拟高级持续性威胁 (APT) 攻击场景的网络安全家庭实验室。基于 Proxmox 构建，结合 Wazuh SIEM、Suricata IDS/IPS 和 Splunk 实现集中式日志分析。 ## 实验室架构 ``` ┌─────────────────────────────────────────────────────────┐ │ Proxmox Hypervisor │ │ (Dell T340, 16GB RAM) │ │ │ │ ┌──────────────┐ ┌──────────────┐ │ │ │ Wazuh SIEM │ │ Attacker │ │ │ │ Manager │ │ (Kali Linux)│ │ │ │ Ubuntu 22 │ │ │ │ │ └──────┬───────┘ └──────┬───────┘ │ │ │ │ │ │ ┌──────┴───────────────────┴───────┐ │ │ │ Virtual Network │ │ │ └──────┬───────────────────┬───────┘ │ │ │ │ │ │ ┌──────┴───────┐ ┌──────┴───────┐ │ │ │ Victim │ │ Suricata │ │ │ │ (Windows10) │ │ IDS/IPS │ │ │ │ Wazuh Agent │ │ + Splunk UF │ │ │ └──────────────┘ └──────────────┘ │ └─────────────────────────────────────────────────────────┘ ``` ## 模拟攻击场景 基于 **Cyber Kill Chain** 方法论： | 阶段 | 技术 | 使用工具 | |---|---|---| | 侦察 | 网络扫描 | Nmap | | 武器化 | 载荷创建 | Metasploit | | 投递 | 钓鱼模拟 | 自定义脚本 | | 利用 | CVE 漏洞利用 | Metasploit | | 安装 | 持久化机制 | Registry, cron | | 命令与控制 (C2) | 命令与控制信标 | Netcat, Metasploit | | 数据窃取 | 数据暂存与传输 | 自定义脚本 | ## 检测技术栈 ### Wazuh SIEM - 来自所有 VM 的实时日志聚合 - 针对 APT 行为的自定义检测规则 - 跨攻击阶段的告警关联 - 合规性映射 (PCI-DSS, HIPAA) ### Suricata IDS/IPS - 网络流量检测 - 用于 C2 信标检测的自定义规则 - 横向移动检测 - 恶意载荷特征 ### Splunk Universal Forwarder - 来自所有端点的集中式日志转发 - 用于攻击可视化的实时仪表板 - 跨所有数据源的搜索与关联 ## 自定义 Suricata 规则 请参阅 [`rules/`](rules/) 获取自定义检测规则，包括： - C2 信标模式检测 - 通过 SMB 的横向移动 - 权限提升尝试 - 通过 DNS 的数据窃取 ## 主要发现 - 成功在 30 秒内检测到 **100% 的模拟 C2 信标** - 与默认规则集相比，Suricata 自定义规则将误报减少了约 **~60%** - Wazuh 实时关联了跨 4 个 VM 的多阶段 APT 活动 - Splunk 仪表板将平均检测时间 从数分钟缩短至数秒 ## 工具与技术 - **Hypervisor**: Proxmox VE 8.x - **SIEM**: Wazuh 4.x - **IDS/IPS**: Suricata 7.x - **日志聚合**: Splunk Universal Forwarder - **攻击平台**: Kali Linux - **靶机**: Windows 10, Ubuntu 22.04 - **框架**: MITRE ATT&CK, Cyber Kill Chain ## MITRE ATT&CK 覆盖范围 | 战术 | 测试技术 | |---|---| | 初始访问 | T1566 (钓鱼) | | 执行 | T1059 (命令脚本) | | 持久化 | T1547 (启动自运行) | | 权限提升 | T1068 (漏洞利用) | | 横向移动 | T1021 (远程服务) | | 命令与控制 | T1071 (应用层协议) | | 数据窃取 | T1041 (C2 通道) | ## 设置指南 有关完整的实验室设置说明，请参阅 [`docs/setup.md`](docs/setup.md)。 由 Mrunal Parmar 构建 | DePaul 大学网络安全硕士顶点项目

标签：AMSI绕过, APT攻击模拟, Beacon Object File, CTI, Cyber Kill Chain, HTTP工具, IP 地址批量处理, Metaprompt, OPA, OpenCanary, PE 加载器, Proxmox虚拟化, SIEM部署, Suricata IDS/IPS, Wazuh SIEM, Windows 10, 入侵防御, 威胁检测, 安全实验室, 安全运营, 扫描框架, 模拟攻击, 端点安全, 网络信息收集, 网络安全, 网络安全审计, 网络流量分析, 自定义检测规则, 补丁管理, 隐私保护, 靶场