Amybaekay/ransomware-incident-investigation

# 勒索软件事件调查 专注于勒索软件调查、钓鱼分析和安全实施的应急响应案例研究。 ## 概述 本项目记录了一次模拟的勒索软件事件调查。本案例重点关注 Orion Health Services，这是一家医疗保健技术公司，其财务部门的一名员工在成为钓鱼攻击的目标后，公司遭受了勒索软件攻击。 本次调查的目的是分析攻击是如何发生的，找出导致该事件的安全弱点，评估其对运营和业务的影响，并提出安全改进建议，以增强组织的网络安全态势。 # 事件摘要 该事件始于财务部门的一名员工打开了通过钓鱼邮件发送的恶意 Excel 附件。附件被执行后，攻击者获得了对内部系统的未经授权访问，并使用凭据窃取技术在环境中提升了权限。 攻击者随后在多个系统中部署了勒索软件，导致文件被加密、员工被锁定以及运营中断。在攻击期间受影响的文件被识别出带有 “.orionlock” 扩展名。 调查确定了几个失陷指标，包括可疑的海外登录尝试、异常的出站网络流量，以及使用 Mimikatz 进行凭据转储活动的证据。 在事件期间受影响的敏感信息包括： - 员工工资记录 - 患者预约时间表 - 内部系统凭据 # 主要发现 调查发现了导致攻击成功的几个安全弱点： - 员工的钓鱼防范意识有限 - 薄弱的邮件过滤和身份验证控制 - 缺乏多因素认证 (MFA) - 过度的用户权限 - 网络隔离不足 # 建议 提出了以下建议以增强 Orion Health Services 的安全性： - 实施多因素认证 (MFA) - 使用 SPF、DKIM 和 DMARC 改善邮件安全性 - 定期开展钓鱼防范意识培训 - 部署端点检测与响应 (EDR) 解决方案 - 改进集中式日志记录和监控 - 应用最小权限访问控制 - 将备份与生产系统隔离 - 隔离关键系统和敏感环境 - 定期进行漏洞评估和安全测试 - 定期进行备份测试 # 展示技能 - 事件响应分析 - 勒索软件调查 - 钓鱼攻击分析 - 风险评估 - 安全高管报告 - 漏洞识别 - 安全建议 - 业务影响分析 - 治理与合规意识 # 涉及的技术与概念 ## 网络安全概念 - 勒索软件 - 钓鱼攻击 - 凭据窃取 - 权限提升 - 横向移动 - 失陷指标 - 事件响应 - 访问控制 - 业务连续性 ## 安全技术 - SPF - DKIM - DMARC - 多因素认证 (MFA) - 端点检测与响应 (EDR) - 安全信息与事件管理 (SIEM) # 免责声明 本项目基于一个模拟的网络安全场景，仅出于教育和作品集展示目的而完成。

标签：GitHub Advanced Security, MFA, Mimikatz, 凭据窃取, 勒索软件, 医疗行业安全, 协议分析, 多因素认证, 子域枚举, 安全事件调查, 安全加固, 安全意识, 库, 应急响应, 搜索语句（dork）, 权限提升, 案例分析, 网络安全, 网页分析工具, 钓鱼分析, 隐私保护