Ballferm/THM-Summit-SOC-Detection-Lab

# THM-Summit-SOC-Detection-Lab SOC 分析师模拟实验，重点通过 TryHackMe Summit 房间，使用文件哈希、IP、DNS 过滤、Sigma 规则、主机 artifacts 以及 MITRE ATT&CK 映射来进行恶意软件检测。 概述 在这个房间中，我担任安全运营中心 (SOC) 分析师，负责调查由名为 Sphinx 的攻击者部署的一系列恶意软件样本。 目标是使用不同的检测策略来检测并阻止多种恶意软件变种，包括： 文件哈希检测 IP 地址封禁 DNS 域名封禁 基于主机 Artifact 的检测 创建 Sigma 规则 MITRE ATT&CK 映射 恶意软件行为分析 随着攻击者不断升级其技术，传统的入侵指标 (IOC) 变得不再有效，需要采用更高级的、专注于行为和持久化机制的检测方法。 学习目标 了解不同类型的入侵指标 (IOC) 使用文件哈希检测恶意软件 使用恶意 IP 地址检测恶意软件 通过 DNS 过滤拦截恶意域名 在沙箱环境中调查恶意软件行为 创建 Sigma 检测规则 将检测映射到 MITRE ATT&CK 技术 检测基于主机的持久化和防御规避活动 使用的工具 PicoSecure Platform Malware Sandbox DNS Rule Manager Sigma Rule Validator MITRE ATT&CK Framework 调查过程 样本 1 – 文件哈希检测 使用的技术：基于哈希的检测 步骤： 分析 sample1.exe 识别恶意文件哈希 创建检测规则 成功阻止执行 获得 Flag：✅ 样本 2 – IP 地址检测 使用的技术：网络 IOC 检测 步骤： 调查恶意软件网络活动 识别命令与控制 (C2) IP 封禁恶意 IP 地址 阻止与攻击者基础设施的通信 获得 Flag：✅ 样本 3 – DNS 检测 使用的技术：恶意域名封禁 发现： 域名： emudyn.bresonicz.info 采取的行动： 审查 DNS 请求 识别恶意域名 创建 DNS 拒绝规则 阻止恶意软件通信 获得 Flag：✅ 样本 4 – 主机 Artifact 检测 使用的技术：注册表监控 恶意软件行为： 禁用 Windows Defender 实时监控 修改注册表项 使用防御规避技术 MITRE ATT&CK 映射： 技术 ATT&CK ID 防御规避 TA0005 检测规则： 注册表项监控 Sigma 规则验证 获得 Flag：✅ 样本 5 – 数据泄露检测 使用的技术：文件创建监控 发现： 恶意软件创建了： %temp%\exfiltr8.log 观察到的命令： systeminfo ipconfig /all netstat -ano net localgroup administrator MITRE ATT&CK 映射： 技术 ATT&CK ID 数据泄露 TA0010 检测策略： 文件创建监控 Sigma 规则开发 行为分析 获得 Flag：✅ 关键收获 这个房间展示了为什么仅仅依赖传统的 IOC 是不够的。 攻击者可以轻易地： 更改文件哈希 轮换 IP 地址 注册新域名 更具弹性的检测应侧重于： 行为指标 注册表修改 持久化机制 防御规避活动 数据泄露模式 这反映了真实的 SOC 运营场景，分析师必须随着对手的演进不断调整检测策略。 观察到的 MITRE ATT&CK 技术 战术 ID 命令与控制 TA0011 防御规避 TA0005 数据泄露 TA0010 练习的技能 威胁狩猎 IOC 分析 恶意软件分析 创建 Sigma 规则 MITRE ATT&CK 映射 DNS 安全 SOC 调查工作流

标签：Cloudflare, MITRE ATT&CK, Sigma规则, SOC分析, 威胁情报, 实验室环境, 开发者工具, 目标导入