xiomararodriguezgil22-cmd/data-exfiltration-detection-lab

# 数据泄露检测实验 本项目演示了如何通过使用 Wireshark 和 Splunk 进行网络流量分析、威胁狩猎方法以及 SIEM 关联，来调查和检测多种数据泄露技术。 本项目侧重于识别隐蔽通道、可疑的出站通信、协议滥用以及与数据窃取活动相关的失陷指标。 # 泄露工作流 与数据泄露相关的常见阶段： 1. 发现 / 收集 攻击者识别并收集组织的敏感数据。 2. 准备 / 压缩 数据被聚合、压缩、编码或加密，使用诸如 ZIP、RAR、7z、tar 或 Base64 等格式。 3. 泄露传输 数据通过网络协议、云服务、可移动介质或隐蔽通道进行传输。 4. 命令与控制 (C2) 协调 攻击者协调传输并确认被盗信息的成功交付。 # 调查场景 | 技术 | 分析平台 | |---|---| | HTTP 泄露 | Wireshark + Splunk | | FTP 泄露 | Wireshark | | ICMP 泄露 | Wireshark | | DNS 隧道 | Wireshark + Splunk | # 使用工具 - Wireshark - Splunk - 网络流量分析 - 威胁狩猎方法论 - MITRE ATT&CK 框架 # 展示技能 - 网络流量分析 - SIEM 调查 - 威胁狩猎 - 检测工程 - IOC 识别 - 日志关联 - 数据包检查 - 协议分析 - 检测规则开发 - 安全监控 # MITRE ATT&CK 技术 | 技术 ID | 描述 | |---|---| | T1048 | 使用替代协议进行泄露 | | T1041 | 通过 C2 通道进行泄露 | | T1071.001 | 应用层协议：Web 协议 | | T1071.004 | 应用层协议：DNS | | T1095 | 非应用层协议 | | T1020 | 自动化泄露 | | T1001 | 数据混淆 | # 仓库结构 ``` data-exfiltration-detection-lab/ |__ logs/ │ ├── reports/ │ ├── http_exfiltration.md │ ├── ftp_exfiltration.md │ ├── icmp_exfiltration.md │ └── dns_tunneling.md │ ├── screenshots/ │ ├── splunk_wireshark_queries/ │ └── README.md ``` # 调查报告 | 报告 | 描述 | |---|---| | HTTP 泄露 | 检测可疑的 HTTP POST 请求和凭据窃取 | | FTP 泄露 | 检测明文凭据和未经授权的文件上传 | | ICMP 泄露 | 检测隐蔽的 ICMP 隧道和嵌入的 payload 数据 | | DNS 隧道 | 检测基于 DNS 的隐蔽通信通道 | # 检测技术 本项目包含基于以下内容的检测方法： - 数据包大小异常 - 流量频率分析 - 协议滥用检测 - Payload 检查 - 可疑域分析 - 编码数据检测 - SIEM 关联 - 行为威胁狩猎 # 关键发现 这些调查成功识别了多种形式的隐蔽数据泄露，涉及： - 明文凭据窃取 - 可疑的出站通信 - 大型异常 payload - 协议隧道 - 编码数据传输 - 内部主机被攻陷 - 持久性泄露通道 本项目演示了攻击者如何滥用受信任的协议（如 HTTP、FTP、ICMP 和 DNS）来绕过传统的网络安全控制并窃取组织的敏感数据。

标签：Cloudflare, DNS隧道, FTP泄露, HTTP泄露, ICMP泄露, MITRE ATT&CK, Wireshark, 句柄查看, 子域枚举, 安全实验室, 安全运营, 扫描框架, 数据包检测, 数据外泄检测, 日志关联, 网络协议分析, 网络安全, 隐私保护