BabsBBG/project-secops

# Project SecOps — 安全运营冲刺 一个全面的安全运营项目，记录了对针对某虚构组织的协同网络攻击活动的调查、遏制和修复过程。该项目作为 CyBlack 安全运营计划的一部分完成。 ## 🎯 本项目涵盖的内容 在本次冲刺中，识别并调查了三个相互关联的安全事件——最终被评估为**一次协同攻击行动**，而非孤立事件： | 事件 | 描述 | |---|---| | 协同钓鱼攻击 | 90 分钟内跨部门针对 5 名员工。4 起确认为恶意。投递 NjRAT，Google Drive 恶意软件，冒充 Adobe 品牌，显示名称欺骗。 | | 账户泄露与数据窃取 | 财务分析师凭据泄露。从保加利亚防删 VPS 和中国腾讯云登录。薪资数据和内部漏洞报告被窃取。 | | WannaCry 勒索软件投递 | 通过 RAR 附件向 VIP 用户投递 WannaCry 二进制文件 (diskpart.exe)。电子邮件网关未能拦截。EDR 成功拦截。VirusTotal 检出率 68/72。Joe's Sandbox 评分：100/100。 | 据评估，事件 2 中被窃取的漏洞报告直接为事件 3 中使用的攻击媒介提供了信息——这一模式与 **Storm-0978 (RomCom)** 一致，这是一个已知以金融和政府部门为目标的俄罗斯关联威胁行为者。 ## 🗂️ 仓库结构 ``` project-secops/ ├── README.md ├── reports/ │ ├── active-email-threats-phishing-analysis.pdf │ ├── suspicious-sign-in-investigation-report.pdf │ ├── malware-analysis-report.pdf │ ├── vulnerability-management-report.pdf │ ├── incidence-response-playbook-report.pdf │ ├── mobile-device-vulnerability-management-report.pdf │ ├── sentinel-alerts.pdf │ └── comprehensive-report-overview.pdf ├── sentinel-rules/ │ ├── rule1-phishing-sender-domain.kql │ ├── rule2-malicious-domain-c2.kql │ ├── rule3-foreign-ip-signin.kql │ ├── rule4-wannacry-hash-process.kql │ ├── rule5-wannacry-registry-vss.kql │ ├── rule6-wannacry-c2-tor-smb.kql │ ├── rule7-account-compromise-behaviour.kql │ └── rule8-coordinated-phishing-campaign.kql └── iocs/ └── master-ioc-list.csv ``` ## 📋 报告 ### [钓鱼分析](reports/active-email-threats-phishing-analysis.pdf) 使用 VirusTotal、URLScan.io 和电子邮件标头分析对 5 封已报告的钓鱼电子邮件进行调查。确认了 NjRAT 投递、Google Drive 恶意软件托管、带有 URL 伪装的 Adobe 品牌冒充以及基于浏览器的攻击工具包。识别出跨活动威胁行为者关联。 ### [可疑登录调查](reports/suspicious-sign-in-investigation-report.pdf) 使用 Entra ID 登录日志和活动日志进行账户泄露调查。IP 地理定位确认了来自保加利亚防删托管、中国腾讯云（确认为恶意——具有 HTTP 暴力破解历史）和泰国 ISP 的登录。确认了薪资和漏洞数据的窃取。 ### [恶意软件分析报告](reports/malware-analysis-report.pdf) 对在 Catalogue.rar 中作为 diskpart.exe 投递的 WannaCry 勒索软件进行完整的静态和动态分析。通过 VirusTotal 进行静态分析（68/72 检出）。通过 Joe's Sandbox 进行动态分析（评分 100/100，置信度 100%）。记录了进程树、释放的文件、Tor C2 地址、SMB 横向移动以及 MITRE ATT&CK 映射。 ### [漏洞管理 — Microsoft Patch Tuesday](reports/vulnerability-management-report.pdf) 对 Microsoft 2023 年 7 月 Patch Tuesday 的评估（132 个 CVE，37 个 RCE，6 个正被积极利用）。优先补丁计划，CVE-2023-36884 临时缓解措施（发布时无可用补丁），以及正式的补丁管理 SLA 策略。 ### [事件响应手册](reports/incidence-response-playbook-report.pdf) 三个符合 NIST SP 800-61 标准的 playbook：钓鱼电子邮件、账户泄露和勒索软件/恶意软件投递。每个都涵盖了准备 → 检测与分析 → 遏制、根除与恢复 → 事件后阶段，并附带清单、角色分配和沟通模板。 ### [移动设备漏洞管理](reports/mobile-device-vulnerability-management-report.pdf) 对 500 台 Android 设备的风险评估（50% 已过时，无 MDM）。CVE 分析：CVE-2023-2136 (CVSS 9.8)，CVE-2021-29256 (CVSS 8.8)，CVE-2023-26083 (CISA KEV)。MDM 解决方案评估，包括 Microsoft Intune 建议。设备生命周期策略。 ### [Sentinel 警报规则](reports/sentinel-alerts.pdf) 8 条源自冲刺 IOC 的自定义 Microsoft Sentinel 分析规则。涵盖钓鱼检测、C2 通信、外部 IP 登录、WannaCry 哈希/进程/注册表/网络检测、账户泄露行为模式以及协同活动检测。 ### [综合报告](reports/comprehensive-report-overview.pdf) 包含统一事件时间线、MITRE ATT&CK 活动映射、威胁行为者评估（Storm-0978 假设）、跨事件关联分析、检测差距分析、优先控制建议、经验教训和恢复后续步骤的完整最终报告。 ## 🔍 Sentinel 检测规则 部署在 Microsoft Sentinel 中的 8 条自定义 KQL 分析规则。每条规则均作为独立的 `.kql` 文件提供，以便直接导入。 | 规则 | 严重性 | 检测内容 | |---|---|---| | [rule1-phishing-sender-domain.kql](sentinel-rules/rule1-phishing-sender-domain.kql) | 高 | 来自已确认的钓鱼发件人域/地址的入站电子邮件 | | [rule2-malicious-domain-c2.kql](sentinel-rules/rule2-malicious-domain-c2.kql) | 严重 | 到恶意域和 C2 IP 的出站网络连接 | | [rule3-foreign-ip-signin.kql](sentinel-rules/rule3-foreign-ip-signin.kql) | 严重 | 来自已知恶意 IP 或非英国地理位置的 Entra ID 登录 | | [rule4-wannacry-hash-process.kql](sentinel-rules/rule4-wannacry-hash-process.kql) | 严重 | WannaCry 文件哈希、释放的文件名、主动加密、伪装 | | [rule5-wannacry-registry-vss.kql](sentinel-rules/rule5-wannacry-registry-vss.kql) | 严重 | WannaCry 注册表持久化和卷影复制删除 | | [rule6-wannacry-c2-tor-smb.kql](sentinel-rules/rule6-wannacry-c2-tor-smb.kql) | 严重 | Tor onion C2 通信和 EternalBlue SMB 横向移动 | | [rule7-account-compromise-behaviour.kql](sentinel-rules/rule7-account-compromise-behaviour.kql) | 严重 | 外部登录后的敏感文件访问、管理工具滥用、不可能旅行 | | [rule8-coordinated-phishing-campaign.kql](sentinel-rules/rule8-coordinated-phishing-campaign.kql) | 高 | 多目标钓鱼活动和显示名称欺骗 | ## 🛠️ 使用的工具 | 类别 | 工具 | |---|---| | 威胁情报 | VirusTotal, URLScan.io, IPinfo.io, Joe's Sandbox | | SIEM 与检测 | Microsoft Sentinel, KQL | | 电子邮件分析 | MXToolbox, 电子邮件标头分析, .eml 检查 | | 恶意软件分析 | Joe's Sandbox (动态), VirusTotal (静态) | | 身份与访问 | Microsoft Entra ID, Azure Active Directory | | 云安全 | Microsoft Azure, Microsoft Defender for Endpoint | | 漏洞管理 | MSRC, CISA KEV, NVD, Android Security Bulletin | ## 🧠 展示的技能 - **钓鱼调查** — 电子邮件标头分析，URL/域信誉，IOC 提取，活动关联 - **账户泄露调查** — 登录日志分析，IP 地理定位，活动日志关联，数据窃取检测 - **恶意软件分析** — 静态分析（哈希、PE 元数据），动态沙箱分析，进程树读取，MITRE ATT&CK 映射 - **漏洞管理** — CVE 优先级排序，补丁规划，风险评估，长期战略 - **检测工程** — KQL 查询编写，Sentinel 分析规则创建，实体映射，警报调优 - **事件响应** — NIST SP 800-61 框架，Playbook 制定，利益相关者沟通 - **威胁情报** — IOC 管理，威胁行为者评估，活动归因 ## 📁 IOC 参考 在此项目中识别的所有失陷指标均记录在 [`iocs/master-ioc-list.csv`](iocs/master-ioc-list.csv) 中。 类别：电子邮件发件人，恶意域，IP 地址，文件哈希，Tor C2 地址，注册表项，文件名。 ## 🔗 相关项目 - [Project Citadel](https://github.com/blvckbillgates/project-citadel) — Azure 安全环境构建 (Entra ID, Sentinel, Defender for Cloud)

标签：DAST, DNS 反向解析, EDR, GPT, KQL规则, Microsoft Sentinel, NjRAT远控木马, Object Callbacks, RomCom, SecOps, Storm-0978, WannaCry勒索软件, 事件响应手册, 云安全架构, 协同攻击, 威胁情报, 子域名变形, 安全事件调查, 安全报告, 安全运营, 开发者工具, 恶意软件分析, 扫描框架, 数据窃取, 沙箱分析, 漏洞管理, 病毒沙箱检测, 网络安全审计, 网络安全防御, 网络攻击溯源, 网络钓鱼, 脆弱性评估, 账户接管, 身份与访问管理, 钓鱼攻击分析