abdalmegedalfiky-ops/SOC-Phishing-THM

# 🛡️ TryHackMe 实验室解答 — SOC Simulator：网络钓鱼简介 ### 完整实验指南与调查报告 ### Lab 完整解答 | 网络钓鱼场景分析       ## 📌 概述 | نظرة عامة **EN:** 此仓库记录了我在 TryHackMe 的 SOC Simulator 上关于 **Introduction to Phishing** 场景的完整演练。它涵盖了告警分类、网络钓鱼邮件分析、使用 **Elastic Stack (ELK)** 进行 SIEM 日志调查、IOC 提取、MITRE ATT&CK 映射以及案例报告 —— 全部基于真实的 SOC 分析师视角。 **达到了 100% 的准确率 —— 正确识别了 3 个 True Positives 和 2 个 False Positives。** **AR:** هذا الـ repository يوثق حل سيناريو **Introduction to Phishing** على منصة TryHackMe SOC Simulator. يشمل تحليل الـ alerts، فحص إيميلات التصيد، التحقيق في لوجات الـ SIEM باستخدام **Elastic Stack (ELK)**، استخراج مؤشرات الاختراق (IOCs)، ربطها بإطار MITRE ATT&CK، وكتابة تقارير الحوادث. **تم تحقيق دقة 100% — تحديد 3 True Positives و 2 False Positives بشكل صحيح.** ## 🏆 最终得分 | النتيجة النهائية | 指标 | 结果 | |--------|--------| | True Positive 率 | **100%** ✅ | | False Positive 率 | **100%** ✅ | | 平均解决时间 | **2 分钟** | | 平均驻留时间 | **4 分钟** | | 已关闭告警 | **4 个告警** | ## 🎯 场景目标 | أهداف السيناريو | # | 目标 (EN) | الهدف (AR) | 状态 | |---|----------------|------------|--------| | 1 | 监控和分析实时告警 | مراقبة وتحليل الـ alerts في الوقت الفعلي | ✅ | | 2 | 识别可疑邮件和附件 | تحديد الإيميلات والمرفقات المشبوهة | ✅ | | 3 | 创建详细的案例报告 | كتابة تقارير حوادث تفصيلية | ✅ | | ✅ | 关闭所有 True Positive 告警 | إغلاق كل الـ True Positive alerts | ✅ | ## 🛠️ 使用的 SIEM 工具 | الأداة المستخدمة **Elastic Stack (ELK)** — 使用 Kibana Discover 视图来： - 搜索发件人域名 (`*amazon.biz*`) - 搜索恶意 URL (`*bit.ly*`) - 将邮件日志与防火墙日志进行关联 - 确认用户活动（点击、连接） ## 📊 告警摘要 | ملخص الـ Alerts | 告警 ID | 规则 | 严重性 | 结论 | 已升级 | 得分 | |----------|------|----------|---------|-----------|-------| | [8814](alerts/8814-FP.md) | 可疑外部链接 | 中 | ⬜ False Positive | 否 | 10/10 | | [8815](alerts/8815-TP.md) | 可疑外部链接 | 中 | 🔴 True Positive | 否 | — | | [8816](alerts/8816-TP.md) | 已拦截黑名单 URL | **高** | 🔴 True Positive | 是 | — | | [8817](alerts/8817-TP.md) | 可疑外部链接 | 中 | 🔴 True Positive | 是 | 10/10 + 80/100 | | [8818](alerts/8818-FP.md) | 可疑外部链接 | 中 | ⬜ False Positive | 否 | — | **结果：3 个 True Positives | 2 个 False Positives | 100% 准确率 🎯** ## 🔍 调查工作流 | منهجية التحقيق ``` Alert Triggered │ ▼ Read Alert Details (sender, subject, URL, recipient) │ ▼ Check URL/Domain in TryDetectThis (VirusTotal equivalent) │ ├─ CLEAN ──► Check internal context (HR partner? Known vendor?) │ │ │ ├─ Legitimate ──► FALSE POSITIVE ✅ │ └─ Unknown ───► Investigate further │ └─ MALICIOUS ──► Check Firewall Logs in ELK │ ├─ BLOCKED ──► TRUE POSITIVE (no escalation needed) └─ ALLOWED ──► TRUE POSITIVE + ESCALATE 🚨 ``` ## 🗂️ 仓库结构 | هيكل الـ Repository ``` SOC-Phishing-THM/ ├── README.md ← Main walkthrough (bilingual EN/AR) ├── alerts/ │ ├── 8814-FP.md ← HR Onboarding — False Positive │ ├── 8815-TP.md ← Amazon Phishing — True Positive │ ├── 8816-TP.md ← Blacklisted URL Blocked — True Positive (escalated) │ ├── 8817-TP.md ← Microsoft Impersonation — True Positive (escalated) │ └── 8818-FP.md ← HR Onboarding Repeat — False Positive ├── iocs/ │ └── indicators.md ← All IOCs consolidated & defanged ├── case-reports/ │ └── case-report-template.md ← Reusable SOC case report template └── screenshots/ ← Evidence from the simulation ``` ## 🔴 发现的关键钓鱼活动 | الهجمات المكتشفة ### 活动 1 — 亚马逊包裹递送骗局 (告警 8815 + 8816) - **目标：** Hannah Harris (`h.harris@thetrydaily.thm`) - **发件人：** `urgents@amazon.biz` (伪造) - **诱饵：** “您的包裹无法送达” - **结果：** 用户点击，防火墙**已拦截** ✅ ### 活动 2 — Microsoft 账户被盗 (告警 8817) - **目标：** Charlotte Allen (`c.allen@thetrydaily.thm`) - **发件人：** `no-reply@m1crosoftsupport.co` (拼写错误域名/typosquatted) - **诱饵：** “来自尼日利亚拉各斯的异常登录” - **结果：** 用户点击，防火墙**未拦截** ❌ → 已升级 ## 🔍 MITRE ATT&CK 映射 | ربط الهجمات بإطار MITRE | 技术 ID | 名称 | 告警 | 描述 | |---|---|---|---| | T1566.001 | Phishing: Spearphishing Link | 8815, 8817 | 电子邮件正文中嵌入了恶意 URL | | T1598.003 | Phishing for Information: Spearphishing Link | 8814, 8818 | 指向凭证收集页面的链接 | | T1204.001 | User Execution: Malicious Link | 8815, 8817 | 用户点击了钓鱼 URL | | T1071.003 | Application Layer Protocol: Mail Protocols | 所有 | 电子邮件作为传递机制 | | T1036.005 | Masquerading: Match Legitimate Name | 8817 | 拼写错误域名 Microsoft 域名 | ## 💡 经验教训 | الدروس المستفادة ### 英文 1. **下结论前先看上下文** — 告警 8814/8818 看起来可疑，但它们来自经过验证的 HR 供应商。请务必检查内部上下文。 2. **ELK 关联功能很强大** — 搜索 `*bit.ly*` 在一次查询中同时揭示了钓鱼邮件和防火墙拦截记录，确认了完整的攻击链。 3. **防火墙漏洞是关键的升级理由** — 告警 8817 显示防火墙失效。这是该场景中最高优先级的发现。 4. **拼写错误域名(Typosquatting)很隐蔽** — `m1crosoftsupport.co` 与 `microsoftsupport.com` 的区别 —— 仅仅只有一个字符的差异。培训用户仔细阅读发件人域名。 5. **交叉比对告警** — 告警 8818 与 8814 完全相同。跨队列的模式识别可节省调查时间。 ### 阿拉伯文 1. **السياق أولاً** — Alerts 8814 و 8818 بدت مشبوهة لكنها من vendor شرعي. دايماً تحقق من السياق الداخلي. 2. **قوة الـ ELK في الربط** — البحث عن `*bit.ly*` كشف الإيميل وسجل الـ firewall في query واحد وأكد سلسلة الهجوم كاملة. 3. **فشل الـ Firewall = escalation فوري** — Alert 8817 كشف أن الـ firewall فشل في الحجب. ده أعلى أولوية. 4. **الـ Typosquatting خادع** — `m1crosoftsupport.co` مقابل `microsoftsupport.com` — حرف واحد فرق. لازم تدريب المستخدمين. 5. **الربط بين الـ alerts يوفر وقت** — Alert 8818 كان نفس 8814 تماماً. التعرف على الأنماط يسرّع التحقيق. ## 🛠️ 使用的工具 | الأدوات المستخدمة | 工具 | 用途 | |------|---------| | TryHackMe SOC Simulator | 告警分类环境 | | **Elastic Stack (ELK) — Kibana Discover** | SIEM 日志分析与关联 | | TryDetectThis | URL/域名信誉查询 | | 防火墙日志 | 确认用户连接尝试 | | MITRE ATT&CK 框架 | 技术映射 | ## 👤 作者 | المؤلف **Abdalmegeed Al-Fiky** - 🔗 [LinkedIn](https://www.linkedin.com/in/abdalmeged-alfiky) - 🐙 [GitHub](https://github.com/abdalmegedalfiky-ops) - 📧 abdalmegedalfiky@gmail.com ## 📄 许可证 本项目仅用于教育目的。所有场景内容版权归 TryHackMe 所有。

标签：ELK Stack, SOC分析, 威胁情报, 实验报告, 开发者工具, 越狱测试, 钓鱼攻击分析, 防御加固