dhouha-kthiri/malware-sandbox-elastic

# 恶意软件分析沙箱 — Elastic Security ## 概述 基于VMware虚拟化和Elastic Stack构建的完全隔离的恶意软件分析环境。该沙箱允许安全执行可疑文件，同时Elastic Security实时监控、检测并可视化所有恶意行为。 该环境已通过**WannaCry勒索软件**验证，成功检测到进程注入尝试、加密文件创建和异常网络连接——所有行为均通过Elastic Defend和Kibana仪表板呈现。 ## 架构 ### 物理基础设施 | 虚拟机 | 操作系统 | 角色 | IP地址 | |--------|----------|------|--------| | VM1 | Ubuntu Server 22.04 LTS | Elasticsearch + Kibana + Fleet Server | `192.168.102.130` | | VM2 | Windows 10 | **沙箱** — 恶意软件执行目标 | `192.168.102.128` | | VM3 | Windows Server 2019 | Active Directory + DHCP控制器 | DHCP自动分配 | **宿主机：** Lenovo IdeaPad Gaming 3 — AMD Ryzen 7 4800H，16 GB RAM，512 GB SSD，Windows 11 Pro **虚拟化平台：** VMware Workstation Pro 16 **网络：** VMnet1（仅主机模式）— 与互联网隔离 ### 逻辑架构 ``` ┌─────────────────────────────────────────┐ │ Elastic Agents (VM2) │ │ • Elastic Defend │ │ • System │ │ • Network Packet Capture │ │ • Nginx │ └──────────────┬──────────────────────────┘ │ Management (Fleet) ▼ ┌──────────────────────────┐ │ Fleet Server │ ──► Elasticsearch ──► Kibana │ (Ubuntu VM1) │ (index) (visualize) └──────────────────────────┘ ``` ## 技术栈 | 组件 | 版本 | 用途 | |------|------|------| | Elasticsearch | 8.18.0 | 事件索引与搜索 | | Kibana | 8.18.0 | 可视化与仪表板 | | Fleet Server | 1.6.9 | 集中式代理管理 | | Elastic Agent | 8.18.0 | 沙箱数据采集 | | Elastic Defend | v8.18.1 | 恶意软件检测与防护 | | Network Packet Capture | v1.33.0 | 网络流量分析 | | VMware Workstation Pro | 16 | 虚拟化 | ## 启用的集成 - **Elastic Defend** — 端点保护、行为检测 - **System** — 操作系统事件日志收集 - **Network Packet Capture** — 原始流量捕获与协议分析 - **Nginx** — Web日志收集（可选） ## 测试内容 ### WannaCry勒索软件模拟 在Windows 10沙箱（VM2）中执行WannaCry，同时Elastic Security监控所有活动。 **检测到的行为：** - 可疑进程执行尝试（由Elastic Defend标记） - 大规模文件加密事件（文件系统遥测数据） - 异常出站网络连接 - 注册表修改尝试 **结果：** 所有行为均被检测、告警，并在Kibana仪表板中可视化呈现。Ubuntu服务器（VM1）和Windows Server 2019（VM3）完全未受影响。 ## 仓库结构 ``` malware-sandbox-elastic/ ├── README.md ← This file ├── setup/ │ └── elk-setup.md ← Full ELK stack setup guide ├── rules/ │ └── detection-rules.json ← Elastic detection rules used ├── analysis/ │ └── wannacry-report.md ← WannaCry behavioral analysis └── docs/ └── architecture-notes.md ← Design decisions and notes ``` ## 关键成果 - Elasticsearch、Kibana和Fleet Server均达到**活跃（运行中）**状态 - 沙箱上的Elastic Agent在Fleet管理界面中确认为**健康**状态 - WannaCry行为在执行后数秒内成功检测 - 宿主机和隔离网络中的其他虚拟机零影响 ## 参考文献 - [Elastic Security文档](https://www.elastic.co/guide/index.html) - [MITRE ATT&CK框架](https://attack.mitre.org/) - [VMware Workstation Pro文档](https://docs.vmware.com/en/VMware-Workstation-Pro/) - NIST SP 800-92 — 计算机安全日志管理指南 - Sikorski & Honig — *《实用恶意软件分析》* - Murdoch — *《蓝队手册：SOC、SIEM与威胁狩猎》* ## 展示技能 `Elastic Stack` `SIEM` `恶意软件分析` `VMware虚拟化` `Windows Server管理` `Active Directory` `DHCP` `网络安全` `威胁检测` `Kibana仪表板` `Fleet管理`

标签：MIT许可证, Terraform 安全