CHARU27-lin/cybersecurity-internship-hackup

# 🔐 网络安全实习 - Hackup Technology ## 学生详情 - **姓名** : Charumathi - **课程** : AI 驱动的 SOC 与数字取证 - **公司** : Hackup Technology 私人有限公司 - **地点** : 印度泰米尔纳德邦哥印拜陀 - **时长** : 30 天（5 周） ## 📌 关于本次实习 本仓库包含在 Hackup Technology 私人有限公司 网络安全实习期间完成的所有项目。 本次实习侧重于 SOC 运营、数字取证、 威胁检测以及 AI 辅助的事件报告。 ## 📅 每周总结 ### 第 1 周 - 基础与 SOC 思维 - 学习了 SOC 的角色与职责 - 了解了事件生命周期 - 在 VirtualBox 上安装了 Kali Linux - 学习了 Linux 基础知识 - 研究了网络基础知识 - 学习了日志分析与异常检测 ### 第 2 周 - SIEM 与威胁检测 - 学习了 SIEM 概念 - 安装并配置了 Wazuh - 学习了日志摄取与仪表盘使用 - 研究了检测规则与告警机制 - 学习了网络监控基础知识 - 使用 Wireshark 执行了数据包分析 ### 第 3 周 - 数字取证 - 学习了数字取证工作流程 - 研究了证据处理与证据保管链 - 学习了磁盘取证基础知识 - 使用 Autopsy 进行了实践分析 - 学习了内存取证基础知识 - 使用 Volatility 进行了实践分析 ### 第 4 周 - AI 集成与事件响应 - 学习了网络安全中的 AI 应用 - 使用 AI 工具执行了日志分析 - 研究了事件响应生命周期 - 学习了报告撰写与文档记录 - 研究了异常检测基础知识 - 实现了简单的异常检测任务 ### 第 5 周 - SOC 模拟与毕业项目 - 执行了端到端的事件调查 - 构建了可直接用于作品集的毕业项目 - 展示了 SOC 与取证技能 - 完成了最终演示与评估 ## ✅ 所有已完成的项目 ### 📁 项目 1 - SOC 告警模拟 **周次** : 第 1 周 **目标** : 模拟 SOC 告警场景 **场景** 服务器上检测到多次失败的登录尝试。 学生需识别问题、受影响的系统以及响应策略。 **关键任务** - 分析了失败登录尝试的场景 - 识别了受影响的系统 - 制定了事件响应策略 - 记录了调查结果 **学习成果** - SOC 告警处理流程 - 事件识别技能 - 基本响应程序 ### 📁 项目 2 - 日志调查 **周次** : 第 1 周 **目标** : 分析日志文件中的可疑活动 **场景** 分析提供的日志文件以识别失败的登录尝试和可疑活动。 **关键任务** - 分析了 auth.log 文件 - 识别了失败的登录尝试 - 找到了可疑的 IP 地址 - 记录了可疑活动 **使用的命令** - grep "Failed password" auth.log - 使用 awk 统计失败尝试次数 - 使用 sort 和 uniq 进行 IP 分析 **学习成果** - Linux 日志文件结构 - grep 和 awk 命令 - 日志中的模式识别 ### 📁 项目 3 - SIEM 告警配置 **周次** : 第 2 周 **目标** : 配置 Wazuh SIEM 告警 **场景** 将日志导入 Wazuh，并为失败的登录尝试创建告警。 **关键任务** - 安装并配置了 Wazuh - 将日志导入到了 Wazuh - 创建了自定义告警规则 - 测试了告警触发 **使用的工具** - Wazuh SIEM - Kibana 仪表盘 **学习成果** - SIEM 配置 - 告警规则创建 - 日志摄取流程 ### 📁 项目 4 - 攻击检测 **周次** : 第 2 周 **目标** : 使用 SIEM 检测暴力破解攻击 **场景** 使用 SIEM 仪表盘检测暴力破解攻击模式并生成基础报告。 **关键任务** - 监控了 Wazuh 仪表盘 - 检测到了 128 次身份验证失败 - 识别了攻击者 IP 地址 - 生成了基础检测报告 **证据** - Wazuh 显示 128 次身份验证失败 - 识别出攻击者 IP：192.168.56.105 - 仪表盘中触发了告警级别 **学习成果** - 暴力破解攻击模式 - SIEM 仪表盘分析 - 攻击检测技术 ### 📁 项目 5 - 磁盘调查 **周次** : 第 3 周 **目标** : 使用 Autopsy 恢复已删除的文件 **场景** 使用 Autopsy 取证工具恢复已删除文件并分析元数据。 **关键任务** - 使用 dd 命令创建了磁盘镜像 - 在 Autopsy 中打开了镜像 - 创建了取证案件 Soc_Investigation - 在磁盘上发现了恶意文件 - 分析了文件元数据 **发现的证据** - payload.sh (22 字节) - 恶意脚本 - stolen_data.txt (17 字节) - 窃取的数据 - MD5 哈希值：08009B0FE385DCE6B552C1F1F5EC57DF **使用的工具** - Autopsy 2.24 - dd 命令 **学习成果** - 磁盘取证方法论 - 文件恢复技术 - 证据文档记录 - 哈希校验 ### 📁 项目 6 - 内存分析 **周次** : 第 3 周 **目标** : 使用 Volatility 分析内存转储 **场景** 分析内存转储以识别可疑进程并解释发现。 **关键任务** - 创建了内存转储文件 - 安装了 Volatility 3 框架 - 运行了内存分析命令 - 识别了可疑进程 - 记录了内存分析发现 **可疑发现** - PID 1821 sshd - 攻击者 SSH 会话 - PID 1822 bash - 攻击者 shell - PID 1900 payload.sh - 恶意脚本 - PID 1901 nc - 反向 shell 工具 **使用的工具** - Volatility 3 框架 2.28.1 - Python 3 **学习成果** - 内存取证概念 - Volatility 框架使用 - 进程分析 - 网络连接分析 ### 📁 项目 7 - 基于 AI 的日志分析 **周次** : 第 4 周 **目标** : 使用 AI 工具分析日志 **场景** 使用 AI 工具分析日志并生成关于攻击模式的洞察。 **关键任务** - 使用 ChatGPT 进行日志分析 - 生成了 AI 辅助的洞察 - 使用 AI 识别了攻击模式 - 记录了 AI 分析发现 **AI 分析结果** - 识别了暴力破解模式 - 检测到了反向 shell 指标 - 生成了攻击时间线 - 提供了修复建议步骤 **学习成果** - AI 在网络安全中的应用 - 针对安全场景的提示工程 - AI 辅助的威胁分析 ### 📁 项目 8 - 事件报告生成 **周次** : 第 4 周 **目标** : 创建完整的事件报告 **场景** 创建一份包含时间线、调查发现和响应动作的完整事件报告。 **报告章节** - 执行摘要 - 攻击时间线 - 指标妥协 - 收集的证据 - 根本原因分析 - 已采取的响应措施 - 建议 **记录的关键发现** - 攻击类型：SSH 暴力破解 - 攻击者 IP：192.168.56.105 - 恶意端口：4444 - 被攻陷的账户：admin **学习成果** - 专业报告撰写 - 事件文档记录 - 证据展示 - 技术沟通 ### 📁 项目 9 - 完整事件模拟 **周次** : 第 5 周 **目标** : 完整的端到端攻击模拟 **场景** 分析完整的攻击场景，包括检测、调查和响应。 **攻击链** 1. 攻击者开始 SSH 暴力破解 2. 检测到 6 次失败的登录尝试 3. 攻击者以 admin 身份成功登录 4. 执行了恶意 payload 5. 建立了到端口 4444 的反向 shell **检测阶段** - 使用 grep 分析了 auth.log - 发现了 6 次失败的登录尝试 - 识别出在 02:17:44 的成功登录 - 检测到可疑的出站连接 **响应阶段** - 启用了 UFW 防火墙 - 封锁了攻击者 IP 192.168.56.105 - 锁定了被攻陷的 admin 账户 - 记录了所有发现 **收集的证据** - 包含攻击日志的 auth.log - 包含分析的 findings.txt - 包含完整报告的 incident_report.txt **使用的工具** - Kali Linux 终端 - UFW 防火墙 - grep 和 awk 命令 ### 📁 项目 10 - 毕业项目预准备 **周次** : 第 5 周 **目标** : 组织文件并为毕业项目做准备 **关键任务** - 创建了合适的文件夹结构 - 移动了所有证据文件 - 编写了 README 文档 - 定义了调查工作流程 - 验证了所有工具均可正常运行 - 准备了 GitHub 仓库 **创建的文件夹结构** - logs/ 用于存放攻击日志文件 - forensics/ 用于存放磁盘和内存分析 - reports/ 用于存放所有调查报告 - screenshots/ 用于存放视觉证据 - tools-config/ 用于存放工具配置 **定义的工作流程** 1. 日志收集与 SIEM 摄取 2. 磁盘获取与 Autopsy 分析 3. 内存捕获与 Volatility 分析 4. 证据关联与报告撰写 5. GitHub 仓库提交 ## 🏆 毕业项目 ### SOC 与数字取证调查系统 **目标** 构建一个完整的 SOC 调查系统， 展示所有学到的技能。 ### 毕业项目第 1 部分 - Wazuh SIEM 分析 **工具** : Wazuh **执行的步骤** - 启动了 Wazuh manager 服务 - 将攻击日志导入 Wazuh - 打开了 Wazuh 仪表盘 - 导航至 Threat Hunting 模块 - 检测到了 128 次身份验证失败 - 识别了暴力破解攻击模式 **关键发现** Wazuh 检测到来自攻击者 IP 192.168.56.105 的 128 次身份验证失败 **证据** : screenshots/wazuh-alert.png ### 毕业项目第 2 部分 - Autopsy 磁盘取证 **工具** : Autopsy 2.24 **执行的步骤** - 使用 dd 创建了 100MB 磁盘镜像 - 使用 ext4 文件系统格式化了磁盘 - 向磁盘中添加了恶意文件 - 打开了 Autopsy 取证浏览器 - 创建了案件：Soc_Investigation - 添加了主机：AttackerMachine - 加载了磁盘镜像进行分析 - 执行了文件分析 - 发现并检查了恶意文件 **发现的证据** - payload.sh - 包含攻击者 payload - stolen_data.txt - 包含窃取的数据 - MD5：08009B0FE385DCE6B552C1F1F5EC57DF **证据** : screenshots/autopsy-payload.png ### 毕业项目第 3 部分 - Volatility 内存分析 **工具** : Volatility 3 框架 2.28.1 **执行的步骤** - 从 GitHub 安装了 Volatility 3 - 创建了 100MB 内存转储文件 - 运行了 linux.pslist 插件 - 运行了 linux.netstat 插件 - 识别了可疑进程 - 记录了内存分析发现 **发现的可疑进程** - sshd PID 1821 - 攻击者 SSH 会话 - bash PID 1822 - 攻击者 shell - payload.sh PID 1900 - 恶意脚本 - nc PID 1901 - 反向 shell netcat **可疑连接** - 192.168.56.105:53480 ESTABLISHED - 203.0.113.44:4444 ESTABLISHED ### 毕业项目第 4 部分 - 最终事件报告 **位置** : reports/capstone_report.txt **报告包含** - 执行摘要 - 完整的攻击时间线 - 所有工具和发现 - 指标妥协 已采取的响应措施 - 建议 ## 🛠️ 使用的工具 | 工具 | 用途 | |--------------|-----------------------------| | Kali Linux | 实验环境 | | VirtualBox | 虚拟机平台 | | Wazuh | SIEM 与告警检测 | | UFW | 防火墙管理 | | Autopsy 2.24 | 磁盘取证分析 | | Volatility 3 | 内存取证分析 | | Wireshark | 网络数据包分析 | | grep/awk | 日志分析命令 | | ChatGPT | AI 辅助的报告撰写 | | Git | 版本控制 | ## 📁 仓库结构

标签：AI安全, AMSI绕过, Autopsy, BurpSuite集成, Chat Copilot, DAST, HTTP工具, PoC, SecList, Triage, Wazuh, Wireshark, 人工智能安全, 内存取证, 取证调查, 句柄查看, 合规性, 威胁检测, 子域名变形, 安全事件响应, 安全基线, 安全报告, 安全运营中心, 实习生项目, 库, 应急响应, 异常检测, 恶意软件分析, 插件系统, 攻击链重构, 教学环境, 数字取证, 数字鉴识, 暴力破解, 磁盘取证, 红队行动, 网络安全, 网络安全入门, 网络安全实训, 网络安全审计, 网络安全研究, 网络映射, 自动化脚本, 虚拟机部署, 警报模拟, 逆向工具, 隐私保护