MallelaShashi/malware-analysis-limacharlie-lab

# 🔴🔵 恶意软件攻击模拟与 EDR 检测实验室 ## 📌 概述 本实验室在隔离的虚拟环境中演示了完整的红队 → 蓝队攻击生命周期。我同时扮演了攻击者（生成并部署 reverse shell payload）和防御者（使用 LimaCharlie EDR 监控、检测和调查入侵）的角色。 ## 🖥️ 实验环境 | 组件 | 详情 | |-----------|---------| | Hypervisor | VMware Workstation | | 攻击者 | Kali Linux 2026.1 — 192.168.29.130 | | 受害者 | Windows 10 x64 22H2 (Build 19045) — 192.168.29.132 | | 主机名 | DESKTOP-85SRRMH | | EDR 平台 | LimaCharlie (app.limacharlie.io) | ## 🛠️ 使用的工具 | 工具 | 用途 | |------|---------| | LimaCharlie EDR | 终端监控、遥测、artifact 收集 | | Metasploit Framework | payload 生成、reverse shell handler | | Meterpreter | 远程访问、后渗透 | | VirusTotal | 基于哈希的威胁情报 | | PowerShell | Agent 安装、payload 执行 | | VMware Workstation | 虚拟实验室基础设施 | ## ⚔️ 攻击阶段（红队） 1. 生成了 `windows/meterpreter/reverse_tcp` payload 2. 在 Kali 上配置了 Metasploit `multi/handler`（LHOST: 192.168.29.130, LPORT: 4441） 3. 在 Windows 10 受害者机器上投递并执行了 `malware.exe` 4. 建立了实时的 Meterpreter C2 会话（通过 `sysinfo` 确认） 5. 启动了 `cmd.exe` — 交互式远程 shell ## 🛡️ 检测阶段（蓝队） ### LimaCharlie 时间线 — 完整攻击链 | 时间戳 | 事件 | 详情 | |-----------|-------|---------| | 10:12:52 | NEW_DOCUMENT | malware.exe 投递至 Downloads | | 10:14:59 | NEW_PROCESS | malware.exe 执行 (PID 5964) | | 10:15:00 | CODE_IDENTITY | Hash: 18adf63ae632cf58... | | 10:15:26 | NETWORK_CONNECTIONS | 10 个出站连接 | | 10:18:05 | NETWORK_CONNECTIONS | C2 回调 → 192.168.29.130:4441 | | 10:34:44 | NEW_PROCESS | 恶意软件启动了 cmd.exe | ### 进程树

标签：AI合规, EDR, OpenCanary, TGT, 攻防演练, 数据展示, 红队, 网络安全, 脆弱性评估, 虚拟化实验环境, 隐私保护