makhansingh2026/interlock-rat-threat-simulation

# 🛡️ Interlock RAT 威胁模拟与检测 []() []() []() []() []() []() ## 目录 1. [执行摘要](#1-executive-summary) 2. [威胁背景](#2-threat-background) 3. [实验架构](#3-lab-architecture) 4. [攻击链演练](#4-attack-chain-walkthrough) 5. [检测工程](#5-detection-engineering) 6. [自动化检测与响应](#6-automated-detection--response) 7. [Wazuh SIEM 仪表板](#7-wazuh-siem-dashboard) 8. [检测覆盖率总结](#8-detection-coverage-summary) 9. [关键指标](#9-key-metrics) 10. [经验教训](#10-lessons-learned) 11. [展示技能](#11-skills-demonstrated) 12. [技术栈](#12-tech-stack) 13. [仓库结构](#13-repository-structure) 14. [免责声明](#14-disclaimer) 15. [作者](#15-author) ## 1. 执行摘要 本项目端到端地复现了一种真实的勒索软件初始访问技术，并构建了防御者将针对其部署的检测堆栈。所复现的威胁是 The DFIR Report 于 2025 年 7 月 14 日记录的 **KongTuke FileFix → Interlock RAT** 链——这是一种基于剪贴板的 PowerShell 投递技术，它会释放一个 PHP 变种的远程访问木马，执行自动发现，建立持久性，渗漏主机遥测数据，并通过 RDP 实现交互式横向移动。 检测层有意采用了**纵深防御**：三条独立的遥测管道（网络边缘的 Suricata IDS/IPS、用于协议元数据的 Zeek NSM、带有 Sysmon 用于端点事件的 Wazuh HIDS）各自承载其自定义规则——9 条 Suricata 警报签名、3 条 Suricata IPS DROP 签名、4 种 Zeek 通知类型，以及 6 条带有明确 MITRE ATT&CK 映射的 Wazuh 规则。每一层都在模拟期间被触发，每一层都映射到覆盖矩阵中的杀伤链阶段，并且整个管道统一在一个包含 10 个可视化组件的 Wazuh OpenSearch 仪表板中，用于 SOC 风格的分流。 该实验室是一个四虚拟机分段的 VMware 环境，代表 `CAPSULECORP.LOCAL` Active Directory 域，所有跨子网流量都强制通过运行完整监控堆栈的 Ubuntu 路由器。该项目还演示了**自动化响应**：Suricata IPS DROP 规则和 Wazuh `firewall-drop` 主动响应闭环了从检测到阻断的过程，并且一个 Bash 守护进程 (`alert_monitor.sh`) 提供源自 `eve.json` 的实时分析师反馈。 ## 2. 威胁背景 **Interlock** 是一个自 2024 年底以来一直活跃的勒索软件即服务组织，其初始访问手法已转向绕过传统基于宏和基于附件的网络钓鱼检测的社会工程技术。该组织最近的攻击活动依赖于 **KongTuke FileFix**——被入侵的合法网站，提供虚假的浏览器验证页面。该页面使用 JavaScript 将隐藏的 PowerShell 单行命令复制到用户的剪贴板，然后指示受害者按下 `Win + R` 和 `Ctrl + V`、粘贴并按 Enter 键以“完成验证”。“运行”对话框执行粘贴的命令，下载并运行释放器脚本，该脚本进而获取 **Interlock RAT**——历史上是作为暂存于 `%APPDATA%\php\` 中的 PHP 变种木马交付的。 RAT 在启动时执行自动主机发现（`systeminfo`、`tasklist`、服务、驱动器、ARP、权限检查），将结果以 JSON 格式渗漏，通过 `HKCU\…\Run` 注册表键建立持久性，并进入轮询循环以接收来自操作员的交互式命令。后续活动通常包括 Active Directory 枚举、用于清理的计划任务滥用，以及通过 RDP 转移到域内的其他端点。 **参考：** [The DFIR Report — *KongTuke FileFix Leads to New Interlock RAT Variant* (2025 年 7 月 14 日)](https://thedfirreport.com/2025/07/14/kongtuke-filefix-leads-to-new-interlock-rat-variant/) ## 3. 实验架构 实验室拓扑是一个双子网企业模型。攻击者子网（`10.0.20.0/24`，VLAN 20）托管 Kali。受害者子网（`10.0.10.0/24`，VLAN 10）托管 Active Directory 域。所有跨子网流量都穿过 Ubuntu 路由器，Suricata 在该路由器上通过 NFQUEUE 在转发之前以内联方式检查数据包。  *图 1：实验网络拓扑——在路由器上具有 Suricata IPS、Zeek NSM 和 Wazuh SIEM 的四虚拟机分段环境。* | 主机 | IP | 操作系统 | 角色 | |---|---|---|---| | Kali Linux | 10.0.20.50 | Kali | 攻击者——Flask C2 (8080)、Apache (80)、FileFix 诱饵、sdl-freerdp3 | | Router | 10.0.20.1 / 10.0.10.1 | Ubuntu 24.04 | Suricata IPS (NFQUEUE)、Zeek NSM、Wazuh Manager | | Goku-mak | 10.0.10.200 | Windows Server 2019 | 域控制器 (CAPSULECORP.LOCAL)、AD DS、DNS——主要目标 | | Krillin-mak | 10.0.10.205 | Windows 10 Pro | 域工作站——横向移动目标 | Sysmon（SwiftOnSecurity 配置）部署在两台 Windows 主机上，以向 Wazuh 代理提供高保真度的事件 1（进程创建）、事件 11（文件创建）和事件 13（注册表修改）遥测数据。  *图 2：运行在 Kali 上的 Apache Web 服务器——在端口 80 上提供 payload 文件。*  *图 3：路由器上激活的 Suricata IPS——以 NFQUEUE 模式 (queue 0) 运行以进行内联数据包检查。*  *图 4：Suricata 配置已加载——确认自定义规则文件和 EVE JSON 日志记录。*  *图 5：路由器上运行的 Wazuh Manager——代理管理和警报关联服务处于活动状态。*  *图 6：路由器上运行的 Zeek NSM——监控 ens35 (受害者子网接口) 以收集网络元数据。* ## 4. 攻击链演练 ### 4.1 初始访问——KongTuke FileFix 诱饵 托管在 Apache 上的静态 HTML 页面 (`http://10.0.20.50/filefix/`) 模仿“验证您是人类”的提示。当受害者点击按钮时，JavaScript 将 PowerShell 单行命令写入隐藏的 `` 并通过 `document.execCommand('copy')` 将其复制到剪贴板。然后页面显示“粘贴并按 Enter 键”的说明。完整的诱饵位于 [`attack-infrastructure/filefix-lure.html`](attack-infrastructure/filefix-lure.html)。  *图 12：FileFix 诱饵页面 HTML 源代码——JavaScript 剪贴板操作和社会工程学界面。*  *图 13：浏览器中渲染的 FileFix 诱饵页面——受害者看到带有粘贴说明的验证提示。*  *图 21：在 Goku-mak 上显示的 FileFix 诱饵页面——受害者导航到攻击者托管的验证页面。*  *图 22：社会工程学触发器——点击按钮复制 PowerShell 命令并显示粘贴说明。*  *图 23：通过“运行”对话框执行 PowerShell——释放器在受害者机器上下载并执行 RAT。* ### 4.2 执行——释放器 → RAT 释放器 ([`attack-infrastructure/payload.ps1`](attack-infrastructure/payload.ps1)) 遵循 The DFIR Report 分析中的确切行为模式：删除 `Updater` 计划任务（清理模式），创建 `%APPDATA%\php\`，使用 `User-Agent: PowerShell` 标头从 Apache 下载 `rat.ps1`，将其另存为 `wefs.cfg`，然后通过管道传递给 `iex` 以在内存中执行。 RAT ([`attack-infrastructure/rat.ps1`](attack-infrastructure/rat.ps1)) 分三个阶段执行——自动发现、注册表持久性和 30 秒的信标循环——在同一个启动中移交。  *图 14：释放器脚本 ——分阶段的下载链：任务清理、目录创建、RAT 下载。*  *图 15：RAT 脚本 ——自动发现、信标数据结构和渗漏逻辑。*  *图 16：RAT 脚本续——持久化机制和带有命令执行开关的 C2 信标循环。* ### 4.3 持久化——HKCU Run 键 RAT 将 `InterlockSim` 值写入 `HKCU\Software\Microsoft\Windows\CurrentVersion\Run`，指向 `powershell.exe -ep Bypass -File C:\Users\Gokuadm-mak\AppData\Roaming\php\wefs.cfg`。这由 Wazuh 规则 `100003`（级别 14，MITRE T1547.001）在主机层通过 Sysmon 事件 ID 13 检测到。  *图 51：注册表持久化——指向 php 暂存目录中 RAT 文件的 InterlockSim Run 键。* ### 4.4 发现——自动阶段 1 + 交互式键盘操作 启动时，RAT 运行 DFIR Report 中记录的相同发现命令：`systeminfo /FO CSV`、`tasklist /svc /FO CSV`、`Get-Service`、`Get-PSDrive -PSProvider FileSystem`、`Get-NetNeighbor` (ARP) 以及 `WindowsPrincipal` 权限检查。所有结果都转换为 JSON 并 POST 到 `/exfil`。在阶段 1 之后，操作员通过 `/opt/c2/commands/next_cmd.json` 排队了七条交互式键盘命令（whoami、tasklist、通过 `adsiSearcher` 进行的 AD 计算机计数、`nltest /dclist`、`net user Gokuadmak /domain`、`dir AppData\Roaming`、Veeam 服务器搜索）。  *图 29：C2 命令结果——通过 RAT 执行的交互式键盘发现命令的输出。*  *图 30：C2 战利品目录——攻击期间收集的信标、渗漏和命令结果 JSON 文件。* ### 4.5 C2 通信——自定义 Flask 服务器 C2 ([`attack-infrastructure/c2_server.py`](attack-infrastructure/c2_server.py)) 是一个特意设计得很小的 Flask 应用程序，具有四个端点：用于初始签入的 `POST /beacon`、用于发现数据转储的 `POST /exfil`、用于 30 秒轮询循环的 `GET /cmd` 以及用于命令输出的 `POST /result`。战利品带有时间戳并保存到 `/opt/c2/loot/`。每个端点都在网络层生成 Suricata 签名命中。  *图 7：C2 服务器脚本 ——带有 /beacon、/exfil、/cmd 和 /result 端点的 Flask 应用程序。*  *图 8：C2 服务器脚本续——命令排队机制和结果收集。*  *图 9：C2 服务器启动——Flask 在 0.0.0.0:8080 上侦听，战利品目录已初始化。*  *图 10：C2 测试信标——curl POST 确认信标数据已成功接收并存储。*  *图 11：C2 战利品验证——测试信标 JSON 文件在 /opt/c2/loot/ 目录中创建。*  *图 24：C2 服务器接收信标和渗漏数据——自动发现数据在几秒钟内被渗漏。* ### 4.6 横向移动——通过 netsh portproxy 进行 RDP 转发 在 Goku-mak 上提升权限的 PowerShell 会话中，操作员配置 `netsh interface portproxy add v4tov4 listenport=33890 connectaddress=10.0.10.205 connectport=3389` 并打开防火墙，将被入侵的 DC 变成中继。然后 Kali 通过 `sdl-freerdp3` 连接到 `10.0.10.200:33890`，该连接透明地转发到 Krillin-mak:3389。入口段穿过路由器并在网络层被检测到（Suricata SID 1000013）；出口段留在受害者子网内并在主机层被检测到（Wazuh 规则 92657）。  *图 31：在 Krillin-mak 上启用 RDP——注册表修改、防火墙规则以及为第三方 RDP 客户端禁用 NLA。*  *图 32：在 Goku-mak 上配置端口转发——netsh portproxy 将 33890 中继到 Krillin-mak:3389 并带有防火墙规则。*  *图 33：通过转发建立的 RDP 会话——Kali 通过 Goku-mak 端口 33890 连接到 Krillin-mak 桌面。* ## 5. 检测工程 检测堆栈刻意设计为**分层且独立**的——每一层都可以被独立推理和验证，但它们共同提供了重叠的覆盖范围，以便一层中的盲区（例如，绕过网络传感器的子网内 RDP）能被另一层（Krillin-mak 上的主机层登录检测）弥补。 ### 5.1 Suricata IDS/IPS 九个自定义签名覆盖了杀伤链中网络可观察的一面：PowerShell User-Agent、`.ps1` URI、`/cmd` 轮询、`/exfil` POST、`/beacon` POST、`/result` POST、发往外部的通用 JSON POST、发往 DC 的 RDP 以及 `:33890` 转发端口。完整的规则集（加上在步骤 11 中添加的三个 IPS DROP 规则）位于 [`detection-rules/suricata/custom.rules`](detection-rules/suricata/custom.rules)。  *图 17：Suricata 自定义规则——覆盖 PowerShell 下载、C2 通信、渗漏和横向移动的九个签名。* ``` # 验证 config 并在不重启的情况下重新加载 rules（使用 /var/run/suricata-command.socket） sudo suricata -T -c /etc/suricata/suricata.yaml -v 2>&1 | tail -5 sudo suricatasc -c reload-rules sudo suricatasc -c ruleset-stats ``` | SID | 动作 | 覆盖范围 | MITRE | |---|---|---|---| | 1000001 | alert | HTTP 中的 PowerShell User-Agent | T1071.001 | | 1000002 | alert | URI 中的 `.ps1` | T1105 | | 1000003 | alert | `GET /cmd` (C2 轮询) | T1071.001 | | 1000004 | alert | `POST /exfil` | T1041 | | 1000005 | alert | `POST /beacon` | T1071.001 | | 1000006 | alert | `POST /result` | T1071.001 | | 1000008 | alert | 发往外部的 JSON POST | T1041 | | 1000009 | alert | 从 DC 到工作站的 RDP | T1021.001 | | 1000013 | alert | 通过端口 33890 的 RDP 转发 | T1021.001 | | 1000010–1000012 | drop | IPS 阻断: `/cmd`、`/exfil`、PowerShell UA | — | ### 5.2 Zeek NSM Zeek 脚本 [`detection-rules/zeek/interlock-detect.zeek`](detection-rules/zeek/interlock-detect.zeek) 从 `http_request` 和 `http_header` 事件中引发四种自定义 `Notice::Type` 值，提供补充 Suricata 基于签名的检测的协议感知元数据。  *图 18：Zeek 检测脚本 ——四种针对特定 Interlock HTTP 模式的自定义通知类型。* | 通知类型 | 触发条件 | MITRE | |---|---|---| | `Interlock_C2_Beacon` | URI 中包含 `/cmd` 的 `GET` 请求 | T1071.001 | | `Interlock_Data_Exfil` | URI 中包含 `/exfil` 的 `POST` 请求 | T1041 | | `Interlock_PS_Download` | 任何包含 `.ps1` 的 URI | T1105 | | `Interlock_PowerShell_UA` | 包含 `PowerShell` 的 `User-Agent` 标头 | T1059.001 | ### 5.3 Wazuh HIDS [`detection-rules/wazuh/local_rules.xml`](detection-rules/wazuh/local_rules.xml) 中的六条 Wazuh 规则针对 Sysmon 派生的主机事件。规则 100001 在出现 PowerShell `-ep Bypass` 时触发（Sysmon 事件 1），规则 100002 在 `AppData\Roaming\php` 中创建文件时触发（事件 11），规则 100003 在写入 `Run` 键注册表时触发（事件 13，级别 14），规则 100004 在出现 `ConvertTo-Json` 发现命令时触发，规则 100005 在出现 AD 枚举工具时触发，规则 100006 在出现 `schtasks /delete /tn Updater` 清理模式时触发。  *图 19：Wazuh 自定义规则 (local_rules.xml)——带有 MITRE ATT&CK 技术映射的规则 100001–100003。*  *图 20：Wazuh 自定义规则续——规则 100004–100006 覆盖发现、AD 枚举和计划任务滥用。* | 规则 ID | 级别 | 描述 | MITRE | |---|---|---|---| | 100001 | 12 | 带有 Bypass 执行策略的 PowerShell | T1059.001 | | 100002 | 12 | 在 `AppData\Roaming\php` 中创建的文件 (RAT 暂存) | T1105 | | 100003 | 14 | 注册表 Run 键被修改 (持久化) | T1547.001 | | 100004 | 10 | 带有 JSON 渗漏模式的发现命令 | T1082 | | 100005 | 12 | Active Directory 枚举 | T1018 | | 100006 | 10 | `schtasks /delete /tn Updater` (释放器清理) | T1053.005 | ### 5.4 综合检测矩阵 | 阶段 | Suricata SID | Zeek 通知 | Wazuh 规则 | MITRE | |---|---|---|---|---| | PowerShell 下载 | 1000001, 1000002 | `Interlock_PS_Download`, `Interlock_PowerShell_UA` | 100001 | T1059.001 | | C2 信标 | 1000003, 1000005 | `Interlock_C2_Beacon` | 86601 (转发) | T1071.001 | | 数据渗漏 | 1000004, 1000008 | `Interlock_Data_Exfil` | 100004 | T1041 / T1082 | | 持久化 | — | — | 100003 (级别 14) | T1547.001 | | AD 枚举 | — | — | 100005 | T1018 | | 计划任务清理 | — | — | 100006 | T1053.005 | | RDP 横向移动 | 1000009, 1000013 | `conn.log` | 60106, 92657 | T1021.001 / T1078 | | IPS 阻断 | 1000010–1000012 | — | 86601 (阻断) | — | ### 5.5 实时检测输出  *图 25：Suricata 警报 (终端 1)——显示 PowerShell User-Agent、脚本下载、信标的实时 JSON 警报。*  *图 26：Suricata 紧凑视图 (终端 2)——显示签名名称、动作和源/目标的一行式警报格式。*  *图 27：Zeek HTTP 日志 (终端 3)——发往 C2 的 HTTP 事务，包括 payload.ps1 下载、信标 POST 和渗漏 POST。*  *图 28：Zeek 通知日志 (终端 4)——针对 PowerShell 下载和 User-Agent 触发的自定义 InterlockDetect 通知。*  *图 34：Suricata SID 1000013——针对来自 10.0.20.50 到 10.0.10.200:33890 的流量触发的 RDP 端口转发警报。*  *图 35：Zeek conn.log——两条转发链路均可见：10.0.20.50→10.0.10.200:33890 和 10.0.10.200→10.0.10.205:3389。*  *图 36：Wazuh 事件 4624——Krillin-mak 代理上的 Windows 登录成功确认了网络登录 (类型 3)。* ## 6. 自动化检测与响应 没有自动化响应的检测是不完整的。本项目在三个环节闭环：网络边缘的 Suricata IPS DROP 规则，SIEM 中的 Wazuh `firewall-drop` 主动响应，以及用于分析师可见性的实时 Bash 守护进程。 ### 6.1 Suricata IPS DROP 规则 附加到 [`custom.rules`](detection-rules/suricata/custom.rules) 的三个 DROP 规则 (SID 1000010–1000012) 针对的是 C2 命令轮询、渗漏 POST 以及任何带有 `PowerShell` User-Agent 的 HTTP 请求。Suricata 的动作优先级为 `pass → drop → reject → alert`，因此 DROP 规则优先于匹配的 ALERT 规则——EVE 日志针对匹配的流量显示 `event_type: alert` 和 `action: blocked`。激活这些规则后，杀伤链会在投递阶段中断：释放器无法获取 `payload.ps1`。  *图 37：添加到 custom.rules 的 DROP 规则——三个针对 C2 信标、渗漏和 PowerShell 下载的 IPS 规则。*  *图 38：IPS 阻断操作——Suricata eve.json 显示 INTERLOCK IPS - BLOCK PowerShell Download 的 action:blocked。*  *图 39：丢弃事件详情——数据包被丢弃，原因为:rules，确认 Suricata 主动阻断了流量。* ``` # 查看 blocked events sudo tail -f /var/log/suricata/eve.json | \ jq --unbuffered 'select(.alert.action=="blocked") | {timestamp, signature: .alert.signature, src_ip, dest_ip}' ``` ### 6.2 Wazuh 主动响应 [`detection-rules/wazuh/ossec.conf.snippet`](detection-rules/wazuh/ossec.conf.snippet) 中的主动响应块将内置的 `firewall-drop` 命令绑定到规则 100001 (PowerShell Bypass) 和 100003 (注册表 Run 键持久化)，超时时间为 600 秒。当任一规则触发时，Wazuh 执行本地 iptables/nftables 丢弃操作，封锁违规的源 IP——这是对网络驱动的 Suricata DROP 规则的主机驱动补充。  *图 40：Wazuh 主动响应配置——firewall-drop 命令链接到规则 100001 和 100003，超时时间为 600 秒。* ``` <active-response> <command>firewall-drop</command> <location>local</location> <rules_id>100001,100003</rules_id> <timeout>600</timeout> </active-response> ``` ### 6.3 实时警报监控器 [`automation/alert_monitor.sh`](automation/alert_monitor.sh) 实时追踪 Suricata 的 `eve.json` (唯一配置的日志输出)，过滤 `INTERLOCK` 签名，将 `[allowed]` 与 `[blocked]` 事件格式化为每行一个，并将流通过管道输出到 `/var/log/interlock-alerts.log` 以供事后审查。它作为后台守护进程 (`bash /opt/scripts/alert_monitor.sh &`) 在路由器上运行。  *图 41：警报监控脚本 ——带有动作标签解析 INTERLOCK 警报的 Bash 脚本。* ![图 42：警报监控输出——实时显示 IPS 测试中的 [allowed] 和 [blocked] 事件](images/fig42-alert-monitor-output.png) *图 42：警报监控输出——实时显示 IPS 测试中的 [allowed] 和 [blocked] 事件。* ``` sudo tail -F /var/log/suricata/eve.json | \ jq --unbuffered -r 'select(.event_type=="alert" and (.alert.signature | contains("INTERLOCK"))) | "[\(.timestamp)] [\(.alert.action // "allowed")] \(.alert.signature) | \(.src_ip):\(.src_port) -> \(.dest_ip):\(.dest_port)"' | \ while IFS= read -r line; do echo "$line" | tee -a /var/log/interlock-alerts.log done ``` ## 7. Wazuh SIEM 仪表板 自定义的 **INTERLOCK RAT — 威胁狩猎仪表板** 在统一的 `wazuh-alerts-*` 索引上整合了 10 个专门构建的可视化组件。每个可视化组件对应一个分析问题（警报组合、攻击时间线、MITRE 技术覆盖、IPS 有效性、代理分布、PowerShell 活动、RDP/登录关联、严重性金字塔、Suricata 签名命中、发现活动）。可以从受害者子网上的任何主机通过 `https://10.0.10.1` 访问该仪表板。 每个可视化组件的详细分解——类型、字段、过滤器、截图（图 54-66）以及各自的分析发现——位于 [`dashboard/DASHBOARD.md`](dashboard/DASHBOARD.md)。亮点如下。 **可视化 1 — INTERLOCK 警报分布（饼图）。** Suricata RDP Pivot 以 63.42% 占据主导，其次是 PowerShell User-Agent (14.44%) 和 C2 命令轮询 (12.52%)。网络层检测驱动了数量；端点检测驱动了保真度。 **可视化 4 — Suricata IPS 阻断与允许对比。** 证明 IPS 自动化有效的干预前后比较。在 3 月 5 日激活 DROP 规则后，Suricata 阻断了 PowerShell 下载，在投递阶段中断了杀伤链，因此没有发生信标通信、渗漏或横向移动。 **可视化 7 — RDP & 登录活动（双拆分表）。** 将登录事件与报告代理相关联。规则 92657 的哈希传递警告、`CAPSULECORP\Gokuadm-mak` 用户名、明确的源 IP `10.0.10.200` 以及与 Suricata 的 RDP Pivot 警报的时间相关性共同产生了一个高置信度的横向移动发现。 **可视化 9 — Suricata 签名命中。** 所有九个自定义签名均已触发。命中率在内部是一致的——信标 (2) 与命令轮询 (314) 反映了“一次信标”与“每 30 秒轮询”的 RAT 行为。 对于这十个可视化组件，其字段、过滤器、截图和分析发现均记录在 [`DASHBOARD.md`](dashboard/DASHBOARD.md) 中。 ## 8. 检测覆盖率总结 | 攻击阶段 | Suricata | Zeek | Wazuh | |---|---|---|---| | Payload 下载 | SID 1000001, 1000002 | `PS_Download`, `PowerShell_UA` | 规则 100001 (Bypass) | | C2 通信 | SID 1000003, 1000005 | `C2_Beacon` 通知 | 规则 86601 (转发) | | 数据渗漏 | SID 1000004, 1000008 | `Data_Exfil` 通知 | 规则 100004 (JSON) | | 持久化 | — | — | 规则 100003 (注册表) | | 发现 | — | — | 规则 92031, 100005 | | 横向移动 | SID 1000009, 1000013 | `conn.log` (`:3389`, `:33890`) | 规则 60106, 92657 | | IPS 阻断 | SID 1000010–1000012 | — | 规则 86601 (阻断) | 所有自定义的 Suricata 签名（9 条警报 + 3 条 DROP）、所有 Zeek 通知类型 (4) 以及所有自定义的 Wazuh 规则 (6) 在模拟期间都生成了可操作的警报。自动化的 IPS 阻断和自动化的 SIEM 警报（带有 `firewall-drop` 主动响应）的组合展示了一个完整的自动化检测与响应管道。  *图 43：Suricata 警报摘要——按签名计数显示所有九个自定义规则均以预期频率触发。*  *图 49：Wazuh 综合警报摘要——所有与攻击相关的规则显示了对 PowerShell、发现和 RDP 的检测。* ## 9. 关键指标 | 指标 | 计数 | |---|---:| | RDP Pivot 警报 | 1,591 | | PowerShell User-Agent 检测 | 336 | | C2 命令轮询事件 | 296 | | 发往外部的 JSON POST | 35 | | C2 命令结果上传 | 31 | | PowerShell 脚本下载 | 10 | | IPS 阻断事件 | 3 | | RAT 信标签入 | 2 | | 数据渗漏事件 | 2 | ## 10. 经验教训 在构建过程中浮现出七个非显而易见的问题，并已就地解决。记录每一个问题是因为它们正是区分实际部署管道与教科书架构的实用细节。 **1. RDP 注册表更改需要重新启动。** 在 Krillin-mak 上设置 `fDenyTSConnections=0` 并没有立即打开端口 3389；终端服务侦听器仅在完全重启后才激活。已在之前/之后通过 `netstat -an | findstr 3389` 确认。 **2. NLA 阻止第三方 RDP 客户端。** Krillin-mak 上的网络级别身份验证导致 `sdl-freerdp3` 出现 `connection reset by peer` 错误。在 `RDP-Tcp` 注册表键中设置 `UserAuthentication=0` 解决了此问题。 **3. Suricata `flow:to_server,established` 阻止了 SID 1000013。** 由于 flow 关键字，最初的 RDP-pivot 规则从未触发。删除它并提升 `rev:2` 修复了该规则。 **4. 子网内 RDP 绕过了 Suricata。** SID 1000009 (RDP 到 3389) 没有为第二条转发路径触发，因为 Goku-mak → Krillin-mak 段保留在 `10.0.10.0/24 内，并且从不穿过路由器。SID 1000013 (端口 33890) 捕获了来自 Kali 穿过路由器的入口段，而 Wazuh 规则 92657 捕获了主机端的登录——两层共同弥补了这一盲区。 **5. Zeek 日志是 JSON，而不是 TSV。** 最初的证据收集命令使用了 `zeek-cut`，它需要 Zeek 的旧版 TSV 格式。实验室使用 JSON 格式的日志，因此所有查询都被重写为使用 `jq` 结合点分字段名的括号表示法；归档的 `.gz` 日志使用 `zcat | jq`。 **6. Wazuh `jq` 规则 ID 比较是按字母顺序进行的。** 最初的警报导出使用了 `>= "100001"` 并产生了错误的结果，因为 `jq` 按字母顺序而不是数字比较字符串。已切换为精确匹配 / 正则表达式过滤。 **7. UAC 阻止了 C2 驱动的端口转发。** `netsh interface portproxy` 需要提升权限，但模拟的 RAT 以标准用户身份运行。该转发是直接从 Goku-mak 上提升权限的 PowerShell 会话配置的；真正的攻击者必须先进行提权。 ## 11. 展示技能 检测工程 · 威胁模拟 · MITRE ATT&CK 映射 · 网络取证 · IDS/IPS 规则编写 · SIEM 工程与仪表板 · Active Directory 安全 · 横向移动检测 · Sysmon 与 Windows 事件日志分析 · PowerShell · Python (Flask) · Bash · 事件响应工作流。 ## 12. 技术栈 Suricata 7.0.3 · Zeek NSM · Wazuh 4.14.2 · Sysmon (SwiftOnSecurity 配置) · OpenSearch Dashboards · Ubuntu 24.04 · Windows Server 2019 · Windows 10 Pro · Kali Linux · Flask · PowerShell · nftables / NFQUEUE。 ## 13. 仓库结构 ``` interlock-rat-threat-simulation/ ├── README.md ├── ARTIFACTS.md ├── LICENSE ├── images/ (66 figures from the project report) ├── docs/ │ ├── IndividualProjectReport.pdf │ └── Interlock_RAT_Lab_Manual.docx ├── detection-rules/ │ ├── suricata/ │ │ └── custom.rules (9 alert SIDs + 3 DROP SIDs) │ ├── zeek/ │ │ └── interlock-detect.zeek (4 custom notice types) │ └── wazuh/ │ ├── local_rules.xml (custom rules 100001–100006) │ └── ossec.conf.snippet (active-response config block) ├── attack-infrastructure/ │ ├── c2_server.py (Flask C2: /beacon, /exfil, /cmd, /result) │ ├── payload.ps1 (dropper) │ ├── rat.ps1 (3-phase RAT: discovery, persistence, beacon loop) │ └── filefix-lure.html (KongTuke FileFix social engineering page) ├── automation/ │ └── alert_monitor.sh (real-time eve.json INTERLOCK parser) └── dashboard/ └── DASHBOARD.md (Appendix A — 10 visualizations) ``` ## 14. 免责声明 ## 15. 作者 **Makhan Singh** — 网络安全技术学士学位 (IFS)，Seneca Polytechnic *项目完成时间：* 2026 年 3 月</div><div><strong>标签：</strong>AI合规, ATT&CK框架, C2服务器, DAST, Interlock RAT, IPv6, IP 地址批量处理, Metaprompt, OPA, OpenCanary, PowerShell, Python Flask, RAT, Rootkit, Suricata, Sysmon, Wazuh, Zeek, 初始访问, 勒索软件, 命令与控制, 安全运营, 安全防护, 库, 应急响应, 恶意软件分析, 扫描框架, 攻击链, 教育实验, 数据窃取, 无线安全, 横向移动, 现代安全运营, 端点检测, 编程规范, 网络信息收集, 网络安全, 网络安全审计, 蜜罐, 证书利用, 远控木马, 逆向工具, 隐私保护, 靶场</div></article></div> <!-- 人机验证 --> <script> (function () { var base = (document.querySelector('base') && document.querySelector('base').getAttribute('href')) || ''; var path = base.replace(/\/?$/, '') + '/cap-wasm/cap_wasm.min.js'; window.CAP_CUSTOM_WASM_URL = new URL(path, window.location.href).href; })(); </script> </body> </html>