gfigueroa1151/REvil---GOLD-SOUTHFIELD-LAB-

REvil 勒索软件实验室 | CyberDefenders 概述 本仓库包含我在 CyberDefenders 上完成的 REvil - GOLD SOUTHFIELD 实验室的完整报告。该实验室模拟了一个真实的勒索软件事件响应场景，我 使用 Splunk SIEM 和 Sysmon 事件日志调查了一台被加密的机器，以提取威胁指标并还原攻击链。 场景 作为一家网络安全咨询公司的威胁猎人，我分析了在一次勒索软件攻击中被加密的多台机器中的一台。受影响的用户报告称他们的桌面上出现了勒索信， 并且背景图片被篡改。我的任务是使用 Splunk 尽可能多地提取有关此次攻击的信息。 关键发现 通过调查，我回答了六个核心问题： ``` Ransom Note Filename — Identified the note left behind by the ransomware Process ID — Pinpointed the ransomware's process ID from event logs Executable Location — Located the ransomware executable and identified the attack vector Shadow Copy Deletion — Deobfuscated a Base64-encoded PowerShell command disabling system recovery SHA256 Hash — Extracted and validated the ransomware hash against threat intelligence C2 Domain — Identified the attacker's Tor-based command and control infrastructure using VirusTotal and AnyRun ``` 练习的技能 ``` Splunk querying and log analysis Sysmon event log investigation Base64 deobfuscation and command analysis Hash validation and threat intelligence correlation Attack timeline reconstruction IOC identification and verification ``` 所学到的知识 这个实验室强化了实用的 SOC 工作流：在 SIEM 查询和外部威胁情报平台之间切换以验证调查结果。 在这种情况下，利用 Splunk 的 Interesting Fields 等内置功能，使调查比手动查询的效率显著提高。

标签：AI合规, DNS 反向解析, OpenCanary, Sysmon, 安全, 实验室报告, 库, 应急响应, 超时处理