LJones910109/Phishing-incident-response

GitHub: LJones910109/Phishing-incident-response

该项目模拟了从钓鱼攻击到恶意软件持久化的完整攻击生命周期，并产出了包含取证证据、MITRE ATT&CK 映射和检测规则的专业事件响应报告。

Stars: 0 | Forks: 0

# 🎣 钓鱼到恶意软件攻击模拟与事件响应 ![实验类型](https://img.shields.io/badge/Lab%20Type-Offensive%20%2B%20Defensive-red?style=for-the-badge) ![平台](https://img.shields.io/badge/Platform-Kali%20Linux%20%7C%20Metasploitable2-557C94?style=for-the-badge) ![框架](https://img.shields.io/badge/Framework-MITRE%20ATT%26CK-orange?style=for-the-badge) ![状态](https://img.shields.io/badge/Status-Complete-brightgreen?style=for-the-badge) ## 📋 实验概述本实验从攻击者和 SOC 分析师的视角，模拟了完整的**钓鱼到恶意软件攻击生命周期**。一个伪装成发票文档的恶意 ELF 二进制文件被传送到受害机器，建立了一个反弹 Meterpreter shell，并通过 crontab 实现了持久化。随后对该事件进行了调查，并以正式的事件响应报告进行了记录。 **日期：** 2026年6月17日 **分析师：** Lillian Jones **环境：** VMware Fusion — MacBook Air ## 🖥️ 实验环境 |角色 |机器 |IP 地址 |操作系统 | |-------------|-----------------|---------------|---------------------| |攻击者 / C2 |Kali Linux 2026.1|172.16.148.132 |Debian Linux 6.18.12 | |受害者 |Metasploitable2 |172.16.148.133 |Ubuntu Linux (旧版) | |网络 |VMware Host-Only |172.16.148.0/24|— | ## ⚔️ 攻击链 ``` [ATTACKER - Kali 172.16.148.132] │ │ 1. WEAPONIZATION │ msfvenom generates invoice_june2026.elf │ linux/x86/meterpreter/reverse_tcp payload │ │ 2. DELIVERY │ SCP transfer to victim /tmp/ │ (simulates phishing email attachment download) │ ▼ [VICTIM - Metasploitable2 172.16.148.133] │ │ 3. EXECUTION │ chmod +x invoice_june2026.elf && ./invoice_june2026.elf & │ PID 98588 spawned │ │ 4. C2 CALLBACK │ Reverse TCP → 172.16.148.132:4444 │ Meterpreter session 1 opened @ 00:14:50 │ │ 5. PERSISTENCE │ crontab: * * * * * /tmp/invoice_june2026.elf │ Re-executes every 60 seconds │ ▼ [ATTACKER ACHIEVES] ✓ Interactive shell (Meterpreter) ✓ System enumeration (sysinfo, ps, netstat, /etc/passwd) ✓ Persistence (T1053.003 Cron Job) ``` ## 🔍 收集的关键证据 |#|证据 |详情 | |-|--------------------|-----------------------------------------------------| |1|磁盘上的恶意二进制文件|`/tmp/invoice_june2026.elf` — 207 字节 ELF 32位 | |2|活动的 C2 连接 |`172.16.148.132:46284 → :4444 ESTABLISHED` | |3|恶意进程 |在 netstat 中可见的 PID 98588 `invoice_june2` | |4|Meterpreter 会话 |会话 1 开启于 `2026-06-17 00:14:50 -0400` | |5|Crontab 持久化 |`* * * * * /tmp/invoice_june2026.elf` | |6|Cron 重新执行 |PID 124713, 124715 — payload 每 60 秒重新启动一次 | |7|父进程链 |`ruby (88984)` → `invoice_june2 (98588)` | |8|/etc/passwd 枚举 |入侵后提取了完整的用户列表 | ## 🛡️ MITRE ATT&CK 映射 |战术 |技术 |ID |证据 | |-----------------|----------------------|---------|---------------------------------------------| |初始访问 |钓鱼 |T1566 |Payload 作为伪造的发票文档传送 | |执行 |Unix Shell |T1059.004|ELF 二进制文件执行；生成 /bin/sh | |命令与控制 |非应用层协议 |T1095 |端口 4444 上的原始 TCP 反弹 shell | |命令与控制 |非标准端口 |T1571 |TCP 4444 用于 C2 | |发现 |进程发现 |T1057 |`ps aux` 枚举了所有正在运行的进程 | |发现 |网络连接发现 |T1049 |`netstat -antp` 揭示了活动的连接 | |发现 |账户发现 |T1087 |`cat /etc/passwd` 枚举了本地用户 | |持久化 |Cron 任务 |T1053.003|`* * * * *` crontab 重新执行 payload | |防御规避 |伪装 |T1036 |二进制文件命名为看起来像发票文档 | ## 📡 入侵指标 (IOCs) ``` TYPE INDICATOR CONTEXT ───────────────────────────────────────────────────────────────────── File invoice_june2026.elf Malware payload — /tmp/ File cron.txt Persistence config — /tmp/ IP 172.16.148.132 C2 server (attacker) Port TCP 4444 Meterpreter C2 port Process invoice_june2 (PID 98588) Initial payload execution Process /bin/sh -c invoice_june2026.elf Cron-spawned shell Crontab * * * * * /tmp/invoice_june2026.elf Persistence mechanism Connection 172.16.148.132:46284 → :4444 Active C2 channel ``` ## 🔎 检测机会 **Snort/Suricata — 检测 Meterpreter C2：** ``` alert tcp any any -> any 4444 (msg:"Possible Meterpreter C2 on port 4444"; sid:9000001; rev:1;) ``` **Auditd — 监控 Crontab 修改：** ``` -w /var/spool/cron -p wa -k crontab_modification ``` **关键行为指标：** - 从 `/tmp/` 执行的 ELF 二进制文件 — 合法软件绝不会从 /tmp 运行 - 指向端口 4444 的出站 TCP — 已知的 Metasploit 默认 C2 端口 - 由 cron 执行 `/tmp/` 中的二进制文件而生成的 `/bin/sh` - 与文件名模式匹配的进程名 (invoice_*.elf) ## 🧰 使用的工具 |工具 |用途 | |---------------------------|-----------------------| |`msfvenom` |Payload 生成 | |`Metasploit multi/handler` |C2 监听器 | |`meterpreter` |后渗透框架 | |`netstat` |网络连接分析 | |`ps aux` |进程枚举 | |`crontab` |持久化机制 | ## 📁 仓库内容 ``` phishing-incident-response/ ├── README.md ← This file ├── report/ │ └── IR_Report_Phishing_LillianJones_2026.docx ← Full IR report ├── evidence/ │ ├── 01_payload_created.png ← msfvenom output │ ├── 02_listener_session_opened.png ← Meterpreter session │ ├── 03_netstat_c2_active.png ← Live C2 connection │ ├── 04_persistence_crontab.png ← Crontab entry │ └── 05_cron_reexecution_ps.png ← Multiple payload PIDs └── iocs.txt ← IOC reference file ``` ## 📄 事件响应报告 `/report` 目录中包含一份完整的专业 IR 报告，涵盖： - 执行摘要 - 攻击时间线 - 取证证据与 IOCs - MITRE ATT&CK 映射 - 检测规则 - 遏制与修复步骤 - 经验教训 ## 👩‍💻 关于 **Lillian Jones** | 网络安全分析师 AAS 网络安全与网络 — DeVry 大学 (预计 2027 年 2 月) 正在考取 CompTIA Security+ | SOC 分析师候选人 GitHub: [LJones910109](https://github.com/LJones910109)

标签：DNS 反向解析, SOC分析, TGT, Windows 调试器, 安全实验环境, 攻防演练, 网络安全, 隐私保护