HexKermit/soc-incident-investigation-lab

# SOC 事件调查：被攻陷的 Windows 主机分析 ## 概述 本动手实践 SOC 调查项目模拟了在受控实验室环境中对被攻陷的 Windows 系统进行分析。调查重点包括识别失陷指标 (IOCs)、分析可疑进程与网络连接、审查日志以及记录事件响应结果。 该项目结合了 Windows 主机调查、日志分析、数据包分析、Splunk 调查工作流程以及取证方法学。 ## 目标 * 调查失陷指标 (IOCs) * 分析可疑进程与网络连接 * 审查 Windows 和 Linux 日志 * 检查持久化机制 * 执行数据包与流量分析 * 理解事件响应与取证工作流程 * 记录调查发现与修复步骤 ## 展示技能 * Incident Response * SOC Investigation * Log Analysis * Splunk * Wireshark * Windows Forensics * IOC Analysis * Threat Detection * Network Traffic Analysis * Process Investigation * Vulnerability Analysis ## 使用工具 * Splunk * Wireshark * NetworkMiner * Process Explorer * Autoruns * Netstat * Nmap * OpenVAS * Autopsy * Kali Linux * Windows Server * Linux CLI tools ## 实验室组件 ### 1. 调查网络入侵 * 易失性数据收集 * RAM 分析 * 计划任务调查 * 服务分析 * 文件痕迹调查 ### 2. 发现恶意指标 * 进程分析 * 可疑连接分析 * 注册表持久化调查 * IOC 发现 ### 3. Linux 与 Splunk 中的日志分析 * Linux 身份验证日志 * Apache 访问日志 * Splunk 调查工作流 * Threat hunting 基础 ### 4. 深度数据包分析 * 协议分析 * 数据包检查 * 流量过滤 * 网络痕迹分析 ### 5. 数字取证工作流 * 证据处理 * 保管链概念 * 取证报告 * Autopsy 调查基础 ## 关键要点 * 攻击者通常会在进程、日志、内存和网络流量中留下指标。 * 日志分析和数据包分析在事件响应期间至关重要。 * 可见性与监控对威胁检测必不可少。 * 文档记录和报告是安全运营的重要组成部分。 ## 状态 项目文档和调查报告目前正在持续更新。 # 调查证据 ## 进程调查 ### Process Explorer TCP/IP 分析 调查发现了与活动进程相关的可疑出站网络连接。使用 Process Explorer 将运行中的进程与活动的 TCP/IP 连接相关联，并识别异常的远程通信。  ### 持久化机制分析 使用 Autoruns 识别可疑的启动持久化条目和未经授权的应用程序执行路径。持久化机制通常被攻击者用来维持长期访问权限。  ### 内存进程分析 使用 Volatility Framework 从内存镜像中审查运行中的进程，并识别系统内存痕迹中潜在的可疑活动。  # 网络调查 ### 可疑网络连接 Netstat 分析识别了活动的已建立连接及其关联的进程标识符 (PIDs)，帮助将可疑通信与运行中的进程关联起来。  ### 基于内存的网络分析 执行了 Volatility netscan 分析，以从内存痕迹中识别活动和历史网络连接。  ### 数据包与流量分析 使用 Wireshark 检查网络流量，审查 SSH 通信，并分析与可疑连接相关的数据包级别的活动。  # 安全建议 基于调查结果，建议采取以下修复和加固措施： * 调查可疑的出站网络通信 * 审查并禁用未经授权的启动持久化条目 * 执行恶意软件扫描和取证验证 * 限制不必要的出站连接 * 监控网络流量中异常的 SSH 通信 * 改进端点日志记录和集中监控 * 审查进程执行和启动行为 * 应用安全补丁和端点加固控制措施 * 针对可疑进程和连接活动实施 SIEM 告警 * 执行持续的日志监控和 Threat hunting 活动 # 结论 本项目展示了一个实践性的 SOC 调查工作流，涵盖了在受控实验室环境中的进程分析、内存分析、网络流量检查、持久化分析以及事件调查技术。 该调查强调了攻击者可能如何在进程、内存、日志、持久化机制和网络通信中留下指标，突显了可见性、监控和事件响应准备的重要性。 # 观察到的 MITRE ATT&CK 技术 | 技术 | 描述 | | -------------------------------------------- | ---------------------------------------------------------------------- | | T1053 - Scheduled Task/Job | 持久化机制可能使用计划任务来执行 | | T1547 - Boot or Logon Autostart Execution | Autoruns 条目可能表明存在持久化活动 | | T1049 - System Network Connections Discovery | Netstat 和连接分析识别了活动的通信 | | T1057 - Process Discovery | 进程分析识别了正在运行的系统进程 | | T1046 - Network Service Discovery | 网络和端口分析审查了活动的通信通道 | | T1040 - Network Sniffing | Wireshark 流量分析审查了数据包级别的通信 | | T1105 - Ingress Tool Transfer | 可疑的出站通信可能表明存在远程载荷活动 | # 免责声明 本代码库中包含的所有活动、调查和分析均在授权和受控的实验室环境中进行，仅用于教育和防御性安全目的。

标签：BurpSuite集成, Conpot, CTI, DAST, HTTPS请求, HTTP工具, IOC发现, JARM, Linux日志分析, Mr. Robot, PE 加载器, SOC分析, Windows取证, Windows安全, Wireshark, 内存分析, 句柄查看, 妥协指标, 子域名变形, 安全分析师, 安全实训, 安全实验室, 安全运营中心, 库, 应急响应, 恶意软件分析, 持久化机制分析, 数字取证, 无线安全, 漏洞分析, 网络安全, 网络安全审计, 网络映射, 自动化脚本, 路径探测, 进程分析, 隐私保护