Danielnwachukwu/Simulated-Phishing-Incident-Response

GitHub: Danielnwachukwu/Simulated-Phishing-Incident-Response

一个基于虚拟化实验室的完整钓鱼攻击模拟与事件响应实战项目，帮助安全分析师通过 Sysmon 和 Windows 日志检测、分析和调查钓鱼攻击链。

Stars: 0 | Forks: 0

# 模拟钓鱼事件响应 ## 项目概述该项目在受控实验室环境中模拟了一次真实的钓鱼攻击调查和事件响应工作流程。目标是展示 SOC 分析师如何使用 Sysmon、PowerShell Logging 和 Windows Event Viewer 来检测、分析和调查与钓鱼相关的活动。实验室模拟了以下内容： - 使用 Social Engineering Toolkit (SET) 进行凭据收集 - 恶意 PowerShell 执行 - 注册表持久化创建 - HTTP 载荷投递 - 网络连接监控 - Windows 事件日志分析 - Sysmon 遥测调查 ## 实验室目标 - 在安全的虚拟环境中模拟钓鱼攻击 - 使用 Sysmon 监控攻击者活动 - 检测恶意 PowerShell 执行 - 分析与进程创建、网络连接和持久化相关的事件 ID - 提取失陷指标 (IOC) - 实践 SOC 调查方法论 - 提升 DFIR 和威胁狩猎技能 ## 实验室拓扑 ### 攻击机 - Kali Linux - 使用的工具： - Social Engineering Toolkit (SET) - Python HTTP Server ### 受害机 - Windows 11 - 监控工具： - Sysmon - PowerShell Operational Logs - Event Viewer ### 网络配置 - VirtualBox Internal Network - 攻击机 IP：`192.168.56.103` - 受害机 IP：`192.168.56.1` ## 工具与技术 | 工具 | 用途 | |---|---| | Sysmon | 高级 Windows 遥测日志 | | Event Viewer | Windows 日志分析 | | PowerShell | 模拟恶意执行 | | Python HTTP Server | 载荷托管 | | SEToolkit | 凭据收集模拟 | | Kali Linux | 攻击机 | | Windows 11 | 受害机 | | VirtualBox | 实验室虚拟化 | ## 攻击模拟工作流程 ### 1. Sysmon 验证确认 Sysmon 服务在受害机上成功运行。 ### 截图 ![01 Sysmon 服务运行中](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/520a314084002414.png) ### 2. 凭据收集配置在 Kali Linux 上配置 Social Engineering Toolkit (SET) 以克隆 Google 登录页面用于钓鱼模拟。 ### 截图 ![02 凭据收集](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/94d5fc51bb002415.png) ### 3. 伪造登录页面投递受害机访问来自攻击机托管的克隆钓鱼页面。 ### 截图 ![03 伪造 Google 登录页面](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/362dbf1e07002416.png) ### 4. 恶意 HTTP 服务器活动使用 Python HTTP 服务器在端口 8080 上托管载荷。 ### 截图 ![04 恶意 HTTP 服务器](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/20fbcdff4d002416.png) ### 5. 通过 PowerShell 创建持久化执行 PowerShell 脚本，该脚本执行以下操作： - 从攻击服务器下载文件 - 创建注册表持久化 - 启动 Notepad 作为持久化测试 ### 截图 ![05 PowerShell 持久化执行](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/25db8a3736002417.png) ### 6. Sysmon Event ID 1 — 进程创建使用 Sysmon Event ID 1 检测到恶意 PowerShell 执行。观察到： - PowerShell 执行 - ExecutionPolicy Bypass - 从 Desktop 位置执行脚本 ### 截图 ![06 Sysmon EventID1 PowerShell 执行](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/fdd3449945002418.png) ### 7. Sysmon Event ID 3 — 网络连接检测到受害机与攻击机之间的出站网络通信。观察到： - 源 IP：`192.168.56.1` - 目标 IP：`192.168.56.103` - 目标端口：`8080` ### 截图 ![07 Sysmon EventID3 网络连接](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/3b83b09a2a002419.png) ### 8. PowerShell 4104 脚本块日志记录使用 Event ID 4104 捕获完整的 PowerShell 脚本执行。观察到： - Invoke-WebRequest 使用 - 注册表修改 - 持久化创建 - 文件下载活动 ### 截图 ![08 PowerShell 4104 脚本块日志记录](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/a49055ca7d002419.png) ## 失陷指标 (IOC) ### IP 地址 - `192.168.56.103` - `192.168.56.1` ### 注册表持久化 HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Updater ### 可疑命令 ``` powershell.exe -ExecutionPolicy Bypass -File .\fake_update.ps1 ```

标签：AI合规, DAST, HTTP载荷投递, IP 地址批量处理, meg, PowerShell日志, SOC分析师, Sysmon, Sysmon遥测调查, VirtualBox, Windows 11, Windows事件日志分析, Windows事件查看器, 事件检测, 信息安全, 入侵指标提取, 内部网络, 凭证收集, 安全实验室, 安全运营中心, 工具集, 恶意PowerShell执行, 恶意软件分析, 攻击模拟, 数字取证与事件调查, 无线安全, 模拟钓鱼事件响应, 注册表持久化, 混合加密, 社会工程学工具包, 网络安全, 网络映射, 网络连接监控, 网络钓鱼攻击, 蓝队防御, 隐私保护, 驱动签名利用