Higor1912/TLOA-Framework
GitHub: Higor1912/TLOA-Framework
一套以威胁情报为驱动的攻击模拟与检测验证框架,通过 MITRE ATT&CK 映射的攻击场景系统性揭示 SIEM 检测盲区。
Stars: 0 | Forks: 0
# TLOA — 威胁导向的攻击性审计
## 什么是 TLOA?
大多数安全从业者都是孤立地学习工具:今天学 nmap,明天学 Metasploit,后天学 Wazuh。但在真实的攻击中,攻击者并不遵循教程——他们遵循的是目标。而一个优秀的防御者需要准确理解这种逻辑。
**TLOA(威胁导向的攻击性审计,Threat-Led Offensive Audit)** 是一个用于弥合这一差距的结构化框架:从真实的威胁情报出发,基于已记录的 MITRE ATT&CK TTP 构建攻击场景,在受控环境中执行它们,并验证 SIEM 检测到了什么——以及遗漏了什么。
检测缺口不是实验室的失败。它们是其最有价值的产出。
## 核心原则
| # | 原则 | 描述 |
|---|---|---|
| 1 | **以威胁为导向** | 没有任何测试是没有记录在案的 TTP 依据的 |
| 2 | **攻击者思维** | 像攻击者一样思考,才能像防御者一样测试 |
| 3 | **实战验证** | 提供技术证据,而非理论 |
| 4 | **基于风险的优先级排序** | 严重性由真实的威胁上下文决定,而不仅仅依赖 CVSS |
| 5 | **关注业务影响** | 每一个发现都从组织后果的角度进行表述 |
## 方法论 — 7 个阶段
```
Phase 0 — Scoping Define scope and authorization → Rules of Engagement
Phase 1 — Context Map the target environment → Asset inventory, attack surface
Phase 2 — Threat Intel Identify relevant threat actors → Threat profile, TTPs
Phase 3 — Modeling Transform threats into scenarios → Documented attack paths
Phase 4 — Validation Test security in practice → Evidence, detection gaps
Phase 5 — Prioritization Classify risks by real threat context → Risk ranking
Phase 6 — Reporting Communicate risk clearly → Executive and technical report
```
## 实验室架构
### 网络拓扑
```
VMware Workstation — Host-Only Network (VMnet1) — 192.168.204.0/24
│
├── DC01 — Windows Server 2025 (Domain Controller)
│ IP: 192.168.204.132 | Domain: tloa.local
│ Services: AD DS, DNS, Sysmon (SwiftOnSecurity), Wazuh Agent 4.7.5
│
├── WS01 — Windows 10 Pro (Domain Workstation / Victim)
│ IP: 192.168.204.130
│ Services: Sysmon (SwiftOnSecurity), Wazuh Agent
│
├── KALI — Kali Linux 2025.4 (Attacker)
│ IP: 192.168.204.128
│ Tools: Atomic Red Team, BloodHound, Netexec, Mimikatz
│
└── SIEM — Ubuntu Server 24.04 (Wazuh Manager)
IP: 192.168.204.129
Stack: Wazuh 4.7.5 — SIEM/XDR, ATT&CK-mapped alert dashboards
```
### 组件栈
| 组件 | 版本 | 角色 |
|---|---|---|
| Windows Server 2025 | DC01 | 域控制器, AD DS, DNS |
| Windows 10 Pro | WS01 | 域工作站(受害者) |
| Kali Linux | 2025.4 | 攻击者 — TTP 模拟 |
| Wazuh | 4.7.5 | SIEM/XDR — 检测与告警 |
| Sysmon | SwiftOnSecurity config | 端点遥测数据增强 |
| Atomic Red Team | Latest | ATT&CK 映射的技术执行 |
| BloodHound | Community Edition | AD 攻击路径枚举 |
### Active Directory — 蓄意设计的攻击面
| 账户 | 类型 | 错误配置 | 相关技术 |
|---|---|---|---|
| `jsmith` | 标准用户 | 弱密码,凭据重用 | T1078, T1110 |
| `sconnor` | 标准用户 | 敏感组成员 | T1069, T1087 |
| `svc-backup` | 服务账户 | 可被 Kerberoast (SPN: `MSSQLSvc/dc01.tloa.local:1433`) | T1558.003 |
## ATT&CK 覆盖范围与检测结果
| TTP | 技术 | 已执行 | 已检测 | 备注 |
|---|---|---|---|---|
| T1046 | 网络服务发现 | ✅ | ❌ | Windows 防火墙阻止了扫描 — 网络层缺口 |
| T1053.005 | 计划任务/作业 | ✅ | ✅ | Wazuh 规则 61104 — 实时 |
| T1112 | 修改注册表 | ✅ | ⚠️ | 检测到,但有 12 小时的 syscheck 延迟 — 建议使用 Sysmon EID 13 |
| T1548.002 | UAC 绕过 (事件查看器) | ✅ | ✅ | 规则 594, 750 — 已映射 ATT&CK |
| T1003.001 | 操作系统凭据转储 — LSASS | ✅ | ❌ | 无原生 Wazuh 规则 — 关键缺口 |
| T1550.002 + T1021.006 | Pass-the-Hash / WinRM 横向移动 | ✅ | ❌ | DC01 通过 SMB 签名阻止;WS01 被成功利用 |
**有效检测率:40–60%** — 对于仅有 Wazuh 且没有专用 EDR 的技术栈来说,这是符合预期的。这些缺口正是意义所在。
### 已识别的缺口与建议
| 缺口 | 技术 | 建议 |
|---|---|---|
| 网络侦察 | T1046 | 部署 Suricata 或 Zeek 以提供网络层可见性 |
| 注册表修改延迟 | T1112 | 使用 Sysmon 事件 ID 12/13 进行实时 FIM |
| LSASS 凭据转储 | T1003.001 | 针对 Sysmon EID 10 制定自定义 Wazuh 规则,过滤未授权的 lsass.exe 访问 |
## IR 案例结构
`TLOA-IR-Cases` 中的每一项调查均遵循一致的 4 阶段格式:
```
Phase 1 — Attack Execution Technique selection, execution steps, artifacts generated
Phase 2 — Detection & Triage Alert analysis, Wazuh rule mapping, severity assessment
Phase 3 — Investigation IOC extraction, timeline reconstruction, log correlation
Phase 4 — Reporting Executive summary, ATT&CK mapping, remediation
```
## 框架仓库
| 仓库 | 描述 |
|---|---|
| [`TLOA-Framework`](https://github.com/Higor1912/TLOA-Framework) | 此仓库 — 框架文档与架构 |
| [`TLOA-Lab-Exercises`](https://github.com/Higor1912) | ATT&CK 映射的练习,包含执行日志、Wazuh 检测结果和缺口分析 |
| [`TLOA-IR-Cases`](https://github.com/Higor1912) | 遵循 4 阶段格式的结构化 IR 调查 |
## 相关链接
- 📄 Medium: [TLOA — 威胁导向的攻击性审计](https://medium.com/@higorsilva1816/tloa-threat-led-offensive-audit-8863d9962e63)
- 🔗 LinkedIn: [linkedin.com/in/higor-silva-sec](https://linkedin.com/in/higor-silva-sec)
- 💻 GitHub: [github.com/Higor1912](https://github.com/Higor1912)
## 语言
本 README 以英文编写,以获得更广泛的可及性。`/docs` 目录下的架构和方法论文档以巴西葡萄牙语编写。
*TLOA 是一个个人学习框架 — 不隶属于任何组织。所有模拟均在隔离的实验室环境中进行。*
标签:ATT&CK框架, Cloudflare, IP 地址批量处理, MITRE ATT&CK, SIEM规则测试, Terraform 安全, TLOA, TTP模拟, VMware, Web报告查看器, Windows Server 2025, 个人安全框架, 企业安全, 域控制器, 威胁情报, 安全实验室, 安全方法论, 开发者工具, 插件系统, 攻击模拟, 数据展示, 智能体, 检测验证, 漏洞分析, 紫队, 红队, 网络安全, 网络安全审计, 网络资产管理, 路径探测, 隐私保护, 驱动签名利用