uliyach45/CTI-Cyber-Threat-Intelligence-cybersecurity-exercises

# CTI-Cyber-Threat-Intelligence-网络安全练习 CTI 实验 2 — 恶意文件分析、ELK Stack、紫队演练 (MITRE ATT&CK) 和 Elastic SIEM 告警实验。工具：Sysmon、Atomic Red Team、Kibana、VirusTotal。 # 🛡️ CTI 作业 2 — 网络威胁情报实验报告 **课程：** 网络威胁情报 (CTI) **提交：** 实践练习 ## 📁 仓库内容 | 文件 | 实验 | 主题 | |------|----------|-------| | `Instructions.docx` | — | 作业说明与评分标准 | | `Exercise1_File_analysis_232098.docx` | 实验 1 | 恶意文件分析 | | `Exercise2_ELK_232098.docx` | 实验 2 | ELK Stack 研讨会 | | `Exercise3_Purple_Teaming_232098.docx` | 实验 3 | 基于 MITRE ATT&CK 的紫队演练 | | `Exercise4_Alerting_232098.docx` | 实验 4 | Elastic SIEM 安全告警 | ## 📝 实验描述 ### 实验 1 — 恶意文件分析 (10 分) **文件：** `Exercise1_File_analysis_232098.docx` 一次实操恶意软件识别实验，在 Linux 机器上分析了从受密码保护的 ZIP 压缩包（`course9.zip`，密码：`infected`）中提取的 8 个可疑文件。 针对每个文件，记录了以下内容： - **真实文件类型** — 使用 Linux `file` 命令识别（读取 magic bytes，而不仅仅是扩展名） - **SHA-256 和 MD5 哈希值** — 计算用于威胁情报查询 - **VirusTotal 分析** — 社区检测结果与威胁家族标签 - **行为分析** — 每个文件的作用/隐藏内容 **主要发现包括：** - 一个经过 UPX 壳处理的 Windows PE32 可执行文件（`x`），被确认为 **AhmedVirus.exe** — 一种 Virut/Virtob 文件感染型病毒和 IRCBot 木马（VirusTotal 检出率 64/71） - 一个伪装成图片的十六进制混淆 JavaScript 文件（`PIC036117424-JPG.js`） — 是一种 **GandCrab 勒索软件下载器** (Trojan.CryXOS) ### 实验 2 — ELK Stack 研讨会 (15 分) **文件：** `Exercise2_ELK_232098.docx` 在 Debian Linux 虚拟机上，完整实施 **ELK Stack**（Elasticsearch、Logstash、Kibana）用于集中式日志管理和安全分析。 **已完成操作：** - 设置并验证运行在端口 9200 上的 Elasticsearch (v8.19.14) - 配置了带有 `grok`、`date` 和 `mutate` 过滤器的 Logstash 管道（`logstash.conf`），以解析 Apache HTTP 服务器日志 - 将 100 条 Apache 日志条目摄取到 Elasticsearch 中 - 创建了 Kibana 数据视图和可视化（条形图、饼图、数据表格），用于分析 HTTP 方法、响应码、主要客户端 IP 和流量模式 **使用技术：** Elasticsearch · Logstash · Kibana · Apache 日志解析 · grok 模式 ### 实验 3 — 紫队演练 (35 分) **文件：** `Exercise3_Purple_Teaming_232098.docx` 在 Windows 10 机器上，使用 **Sysmon**、**Atomic Red Team** 和 **MITRE ATT&CK** 框架，将攻击性攻击模拟（红队）与防御性检测（蓝队）相结合的 **紫队** 演练实验。 **模拟的攻击技术：** | MITRE ID | 技术 | 测试 | 状态 | |----------|-----------|-------|--------| | T1059.005 | 命令和脚本解释器：VBScript | 1 | 成功 | | T1053.005 | 计划任务/作业 | 2 | 成功 | | T1569.002 | 系统服务：服务执行 | 2 | 成功 | | T1003.001 | 操作系统凭据转储：LSASS 内存 | 3 | ⚠️ 已尝试 | | T1136.001 | 创建账户：本地账户 | 2 | 成功 | **检测体系：** Sysmon v15.20 → Winlogbeat 9.3.4 → Elasticsearch 8.19 → Kibana 每次攻击均通过转发到 Kibana 的 Sysmon 事件 ID 1（进程创建）日志进行检测和关联。 ### 实验 4 — Elastic SIEM 安全告警 (40 分) **文件：** `Exercise4_Alerting_232098.docx` 基于 Elastic 内置规则库在 Elastic Security (SIEM) 中创建自定义 **检测规则**，随后在运行于 Debian GNU/Linux 13 的 Elastic Stack 8.19 上触发并验证。 **创建的规则：** | 规则名称 | 基于 | 严重程度 | MITRE ATT&CK | |-----------|----------|----------|---------------| | uliya SSH 暴力破解登录尝试检测 | 潜在的 SSH 暴力破解攻击 | 🔴 高 | T1110 | | uliya - Sudo 权限提升尝试 | 通过 Sudo 进行潜在的权限提升 | 🔴 高 | T1548.003 | | uliya - 可疑系统日志错误检测 | 异常的 Linux 系统调用 | 🟠 中 | T1562 | 每条规则均通过触发真实事件（SSH 登录循环、sudo 尝试、系统日志注入）进行测试，并通过 Kibana 屏幕截图记录了规则构成、基础事件和关联告警的证据。 ## 🛠️ 使用的工具和技术 - **Linux / Debian** — 主要分析环境 - **Elasticsearch · Logstash · Kibana (ELK 8.19)** — 日志管理和 SIEM - **Sysmon v15.20** — Windows 端点监控 - **Atomic Red Team** — MITRE ATT&CK 攻击模拟 - **Winlogbeat** — 从 Windows 将日志转发至 Elasticsearch - **VirusTotal** — 威胁情报与哈希查询 - **file · xxd · sha256sum** — Linux 文件分析工具 - **PowerShell** — 攻击模拟脚本 ## ⚠️ 免责声明 所有恶意软件样本和攻击模拟均在**隔离的虚拟机环境**中执行，仅供教育目的。未对任何真实系统造成损害。实验 1 中的文件包含或引用了恶意代码 — 请在隔离环境中谨慎处理。

标签：AI合规, Ask搜索, Atomic Red Team, Cloudflare, DAST, DNS 反向解析, Elastic SIEM, ELK Stack, GandCrab勒索软件, IRC僵尸网络, Linux命令, MD5, MITRE ATT&CK, PE32分析, Purple Teaming, SHA-256, SIEM告警, SOC分析, Sysmon, UPX脱壳, VirusTotal, 内容过滤, 哈希分析, 安全教育, 安全警报, 实验报告, 恶意文件分析, 恶意软件分析, 数据展示, 数据泄露检测, 文件感染型病毒, 紫队, 红队, 网络信息收集, 网络威胁情报, 网络安全, 网络安全实验, 越狱测试, 隐私保护, 魔法字节识别