shrouqobaid/Incident-Response-Lab

# 🛡️ 数字犯罪调查与事故响应实验室 - Incident Response lab ### 项目概述 本项目提供了一份全面的项目文档和完整的模拟，用于调查安全事件（Incident Response）和针对恶意软件 **Remcos RAT** 的威胁狩猎。项目将网络犯罪调查与 **Wireshark** 结合，以及使用 **Splunk SIEM** 系统进行日志分析、仪表板构建和检测工程。 ### 数字证据完整性 (Evidence Integrity) * 为确保调查的完整性和在分析过程中不篡改文件，提取了证据压缩文件的数字指纹（Hash）： * **证据文件名:** `2022-03-21-traffic-analysis-exercise.pcap.zip` * **文件类型:** 数据包捕获 (PCAP) * **SHA-256 Hash 值:** `de4037e31d52e937a01784dd9a718d7ee0935f3`  ### 第1阶段：初始安全警报 调查始于在安全运营中心（SOC）接收到的高严重性警报： * **警报名称 (Alert Name):** 可疑出站连接 * **严重程度 (Severity):** 高 * **受感染设备 (Source Host):** WIN-01 * **检测时间 (Detection Time):** 2022-03-21 09:15 AM ### 第2阶段：技术分析和威胁狩猎 #### 首先：网络分析（Wireshark Analysis） 1. **连接建立 (Connection Establishment):** 检测到内部设备与外部恶意服务器之间的 TCP 三次握手过程。  2. **恶意文件请求 (HTTP GET Request):** 帧分析揭示设备发送了可疑的 GET 请求以加载恶意软件包。  3. **确认载荷交付 (Payload Delivery):** 数据包 #498 确认文件成功到达并收到 HTTP 200 OK 响应，表明压缩可执行文件（application/gzip）已成功加载。  #### 其次：日志分析和检测工程（Splunk SIEM） 1. **基本数据上传:** 上传了网络日志（共 502 个事件）并确保它们完整地包含在专用索引中。  2. **连接时间序列分析 (Beaconing):** 通过时间序列数据聚合，发现与外部地址 188.166.154.118 的频繁且自动化的连接。  3. **搜索恶意域名:** 构建查询以搜索与 Remcos RAT 基础设施相关的已知恶意域名，如 otectagain.top。  ### 检测查询和警报工程（Splunk SPL） #### 基于阈值的重复连接警报 构建了一个智能检测基，当外部连接超过每分钟 10 次时立即触发警报，该基成功隔离了 1 分钟内发生的 499 次连接： ``` index="cyber_logs" "188.166.154.118" | bucket _time span=1m | stats count as connection_count by _time | where connection_count > 10 ``` ### 将攻击与 MITRE ATT&CK 框架匹配 为了使这次调查与行业标准保持一致，已将观察到的攻击者行为映射到 MITRE ATT&CK 框架： | 战术 | 技术ID | 技术名称 | 活动上下文与证据 | | :--- | :--- | :--- | :--- | | **执行** | `T1059.001` | PowerShell | 攻击者利用 PowerShell 命令行界面在 Windows 主机上执行恶意脚本、处理有效载荷交付或建立初始访问行为。 | | **命令与控制** | `T1071.004` | 应用层协议：DNS | 受感染的设备向非标准顶级域名（TLD）如 `.top` 发起可疑的 DNS 查询以解析 C2 基础设施。 | | **命令与控制** | `T1071.001` | 应用层协议：Web 协议 | 通过标准 HTTP/TCP 流量建立持久的通信通道与 C2 服务器 (`188.166.154.118`) 交换命令。 | | **发现** | `T1087` | 账户发现 | 恶意软件尝试识别系统或域账户（例如搜索 `ANONYMOUS LOGON` 或本地权限）以绘制受害者的环境图。 | ### 应急响应计划和预防措施 (Response Actions) * **隔离 (Containment):** 立即从网络中隔离受感染的设备 WIN-01 以防止攻击者的横向移动，并在防火墙级别阻止地址 188.166.154.118。 * **清除 (Eradication):** 删除恶意软件并清理系统日志，强制用户重置密码（Reset Credentials）。 * **恢复 (Recovery):** 从干净的备份中恢复系统，并在 72 小时内加强设备的安全监控以确保威胁已消除。 ### 经验教训 (Lessons Learned) 这次调查展示了“网络可见性”的重要性，以及安全调查员在主动威胁狩猎中的关键作用。早期检测到 C2 信标（C2 Beaconing）行为有助于在数据加密或泄露之前挫败攻击。 ### 项目组织结构 (Interactive Directory) | 部门 | 技术描述 | | :--- | :--- | | 📄 **[README.md](README.md)** | 项目的主要综合报告（您现在正在查看的）。 | | 🖼️ **[screenshots/](screenshots/)** | 完整调查的屏幕截图。 | | 📦 **[pcap/](pcap/)** | 数字证据文件和 Remcos RAT 的数字哈希验证。 | | 📑 **[IOC-Report/](IOC-Report/)** | 提取的入侵指标（IPs、域名、哈希）报告。 | | ⏳ **[Incident-Timeline/](Incident-Timeline/)** | 攻击的时间线（从初始警报到响应）。 | | 🗺️ **[MITRE-Mapping/](MITRE-Mapping/)** | 攻击者活动与 MITRE ATT&CK 战术的匹配。 | | 🔍 **[Detection-Opportunities/](Detection-Opportunities/)** | 高级检测查询和防御改进机会。 | | 🛡️ **[Response-Actions/](Response-Actions/)** | 立即响应措施（隔离受感染设备并清除威胁）。 | | 🎓 **[Lessons-Learned/](Lessons-Learned/)** | 经验教训和安全建议，以保护未来数字环境。 |

标签：BurpSuite集成, DAST, Remcos RAT, SHA-256, Splunk SIEM, Wireshark, 反取证, 句柄查看, 安全事件响应, 安全告警, 安全培训, 安全意识, 安全报告, 安全测试, 安全漏洞, 安全策略, 安全评估, 安全防护, 库, 应急响应, 恶意软件分析, 提示词设计, 攻击性安全, 数字取证, 网络安全, 网络流量分析, 自动化脚本, 自定义DNS解析器, 证据完整性, 隐私保护