gaurav-koshti-CySA/Incident-Response-lab

# 事件响应实验室：T1003.001 凭证转储检测与修复 **作者：** Gaurav Koshti | CySA+ 考生 | 安全运营中心分析师 **GitHub：** [github.com/gaurav-koshti-CySA](https://github.com/gaurav-koshti-CySA) **实验室日期：** 2026年5月3日 **状态：** ✅ 已完成 ## 📋 项目概述 本仓库记录了**完整的端到端事件响应（IR）模拟**，涵盖 NIST SP 800-61 的全部六个阶段： 1. **准备** — 实验室基础设施搭建 2. **识别** — 通过 SIEM 检测攻击 3. **遏制** — 取证证据收集 4. **根除** — 恶意工件清除 5. **恢复** — 终端恢复 6. **经验教训** — 事后分析 ### 攻击场景 - **技术：** T1003.001 — LSASS 内存转储（凭证访问） - **工具：** Atomic Red Team（Mimikatz 模拟） - **检测：** Wazuh SIEM + Sysmon 事件 ID 10 - **结果：** 在 5 分钟内检测到攻击，并完成遏制和修复 ## 🏗️ 实验室基础设施 ### VirtualBox 虚拟机 | 虚拟机 | 操作系统 | 角色 | IP | 关键服务 | |-------|---------|------|-----|---------| | **Kali** | Kali Linux | SIEM 管理器 | 10.0.2.4 | Wazuh Manager | | **Win11** | Windows 11 | 受害终端 | 10.0.2.122 | Sysmon + Wazuh Agent | ### 工具与软件 - **Wazuh 4.x** — 安全信息与事件管理（SIEM） - **Sysmon v15.20** — 系统活动监控（使用 SwiftOnSecurity 配置） - **Atomic Red Team** — 对手模拟框架 - **Windows Defender** — 终端保护（实验室中禁用，事件后重新启用） ## 🎯 快速开始 ### 前置条件 - 2 台 VirtualBox 虚拟机（Kali + Windows 11） - 每台虚拟机分配 4+ GB 内存 - 虚拟机之间的网络连接（仅主机模式或内部网络） ### 实验室设置步骤 #### 1. Kali 虚拟机：部署 Wazuh Manager ``` # 安装 Wazuh manager（官方文档） curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | apt-key add - echo "deb https://packages.wazuh.com/4.x/apt/ stable main" | tee /etc/apt/sources.list.d/wazuh.list apt update && apt install -y wazuh-manager # 启动 Wazuh sudo systemctl start wazuh-manager sudo systemctl enable wazuh-manager # 访问仪表板：https://:443（默认凭据：admin/admin） ``` #### 2. Windows 11 虚拟机：安装 Sysmon + Wazuh Agent ``` # 安装 Sysmon wget https://download.sysinternals.com/files/Sysmon.zip -O C:\Sysmon.zip Expand-Archive C:\Sysmon.zip -DestinationPath C:\Sysmon cd C:\Sysmon .\sysmon64.exe -accepteula -i # 安装 SwiftOnSecurity Sysmon 配置 $url = "https://raw.githubusercontent.com/SwiftOnSecurity/sysmon-config/master/sysmonconfig-export.xml" Invoke-WebRequest -Uri $url -OutFile C:\sysmonconfig-export.xml .\sysmon64.exe -c C:\sysmonconfig-export.xml # 安装 Wazuh agent # 从 https://packages.wazuh.com/4.x/windows/ 下载 # 运行安装程序并配置管理器 IP（10.0.2.4） ``` #### 3. Windows 11：安装 Atomic Red Team ``` Set-ExecutionPolicy Bypass -Scope LocalMachine -Force IEX (IWR 'https://raw.githubusercontent.com/redcanaryco/invoke-atomicredteam/master/install-atomicredteam.ps1' -UseBasicParsing) Install-AtomicRedTeam -getAtomics -Force ``` ## 🚀 攻击模拟与检测 ### 执行攻击 ``` # 在 Windows 11 上 Import-Module "C:\AtomicRedTeam\invoke-atomicredteam\Invoke-AtomicRedTeam.psd1" Invoke-AtomicTest T1003.001 # LSASS credential dumping ``` ### 预期检测结果 - **Sysmon 事件 ID 10：** 进程访问 lsass.exe - **Wazuh 规则 92900：** "Sysmon: 进程访问 LSASS"（级别 12） - **Wazuh 规则 92213：** "临时文件夹中放置的可执行文件"（级别 15） - **检测时间：** 约 5 秒 ### Wazuh 告警详情 ``` { "rule": { "id": "92900", "description": "Lsass process was accessed by ... with read permissions, possible credential dump" }, "technique": "T1003.001", "tactic": "Credential Access", "level": 12, "sysmon": { "event_id": 10, "targetImage": "lsass.exe", "sourceImage": "powershell.exe", "grantedAccess": "0x0010" } } ``` ## 📁 仓库结构 ``` incident-response-lab/ ├── README.md # This file ├── docs/ │ ├── IR-REPORT.md # Formal NIST SP 800-61 incident report │ ├── RECOVER-PHASE.md # GUI-based recovery procedures │ ├── LESSONS-LEARNED.md # Post-incident analysis │ └── SETUP.md # Detailed lab setup guide ├── screenshots/ │ ├── wazuh-alert-t1003.001.png # Wazuh T1003.001 detection │ ├── wazuh-alert-t1105.png # Wazuh T1105 detection │ ├── event-viewer-event10.png # Sysmon Event ID 10 │ ├── windows-defender-enabled.png # Recover phase: Defender ON │ ├── services-running.png # Services health check │ ├── task-manager-clean.png # Process health check │ └── performance-tab.png # System performance metrics └── forensics/ # Collected evidence ├── sysmon-logs.evtx ├── security-logs.evtx ├── netstat-output.txt ├── running-processes.csv └── scheduled-tasks.csv ``` ## 📊 事件响应时间线 | 阶段 | 操作 | 时间 | 状态 | |-----|------|------|------| | **准备** | 实验室基础设施部署 | T-5分钟 | ✅ | | **识别** | 执行 Atomic Red Team | T+0秒 | ✅ | | **识别** | 记录 Sysmon 事件 ID 10 | T+2秒 | ✅ | | **识别** | Wazuh 规则 92900 触发 | T+5秒 | ✅ | | **遏制** | 取证工件收集 | T+30秒 | ✅ | | **根除** | 删除 ART 框架 | T+1分钟 | ✅ | | **根除** | 清理临时文件 | T+1分钟 | ✅ | | **恢复** | 重新启用 Defender | T+2分钟 | ✅ | | **恢复** | 验证终端健康状态 | T+3分钟 | ✅ | ## 🔍 关键发现 ### 入侵指标（IOC） - **进程访问：** powershell.exe 以读取权限访问 lsass.exe - **文件工件：** 临时文件夹中的可执行文件（C:\Users\*\AppData\Local\Temp\） - **事件来源：** Sysmon 事件 ID 10 + Windows 安全日志 - **检测规则：** 规则 92900（T1003.001）、规则 92213（T1105） ### 检测效果 - ✅ **检测率：** 100%（攻击在 5 秒内检测到） - ✅ **误报：** 无（干净环境） - ✅ **告警准确度：** 高（凭证转储级别 12 严重性） - ⚠️ **自动响应：** 无（需要手动调查） ### 修复操作 | 操作 | 结果 | 时间 | |------|------|------| | 收集取证数据 | 获取 5 个工件 | 30秒 | | 删除 ART | 框架已删除 | 1分钟 | | 清理临时文件 | 恶意文件已清除 | 1分钟 | | 重新启用 Defender | 实时保护已开启 | 2分钟 | | 验证健康状态 | 所有服务运行正常 | 3分钟 | ## 📚 文档 - **[IR-REPORT.md](docs/IR-REPORT.md)** — 正式事件分析（NIST SP 800-61 格式） - **[RECOVER-PHASE.md](docs/RECOVER-PHASE.md)** — 基于 GUI 的恢复步骤（含截图） - **[LESSONS-LEARNED.md](docs/LESSONS-LEARNED.md)** — 事后发现与建议 - **[SETUP.md](docs/SETUP.md)** — 详细实验室基础设施设置指南 ## 🎓 学习成果 完成本实验室后，您将了解： 1. **NIST 事件响应框架** — 全部 6 个阶段的实践 2. **SIEM 检测** — Wazuh 如何检测 ATT&CK 技术 3. **Sysmon 监控** — 事件 ID 10（进程访问）用于凭证转储 4. **对手模拟** — 使用 Atomic Red Team 进行真实攻击模拟 5. **取证收集** — 捕获事件调查证据 6. **修复程序** — 清理和恢复终端 ### 涵盖的 ATT&CK 技术 - **T1003.001** — 操作系统凭证转储：LSASS 内存 - **T1059.001** — 命令和脚本解释器：PowerShell - **T1105** — 入口工具传输（放置的可执行文件） ## 🔧 定制与扩展 ### 单阶段到多阶段攻击 要扩展本实验室： 1. 添加**持久性**（计划任务、注册表运行键） 2. 添加**横向移动**（传递哈希、WMI） 3. 添加**数据泄露**（DNS 隧道、SMB 共享） **推荐：** 使用 MITRE Caldera 进行多阶段活动（将在未来实验室中记录） ### 要构建的其他检测 - T1136.001 — 本地账户创建 - T1087.001 — 账户发现 - T1552.007 — 文件中的凭证 - T1078.003 — 有效账户（传递哈希） ## 📖 参考资料 - **NIST SP 800-61 Rev. 2** — 计算机安全事件处理指南 - **MITRE ATT&CK** — T1003.001 操作系统凭证转储 - **Wazuh 文档** — https://documentation.wazuh.com/ - **Sysmon 文档** — https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon - **Atomic Red Team** — https://github.com/redcanaryco/atomic-red-team ## 💡 作品集建议 - **截图记录** — 为每个 IR 阶段进行可视化文档记录，用于 LinkedIn - **记录发现** — 包含告警 ID、时间戳和 IOC - **展示修复** — 基于 GUI 的恢复步骤展示动手技能 - **突出检测** — 展示 Wazuh + Sysmon 如何检测攻击 ## 📝 许可证 本实验室仅用于教育目的。请在受控环境中使用。 ## 🤝 贡献 有建议或改进？提交 issue 或 PR！ **创建者：** Gaurav Koshti **CySA+ | 安全分析师 | 蒙特利尔** **GitHub：** [github.com/gaurav-koshti-CySA](

标签：AI合规, AMSI绕过, Atomic Red Team, CySA+, LSASS, Mimikatz, MITRE, NIST SP 800-61, SOC分析, Sysmon, VirtualBox, Wazuh, Windows 11安全, Windows Defender, 凭证转储, 威胁检测, 安全取证, 安全运营, 库, 应急响应, 扫描框架, 数据展示, 数据泄露检测, 模拟攻击, 端点安全, 红队, 补丁管理