abhinav-janbandhu/linux-threat-hunting-home-lab
GitHub: abhinav-janbandhu/linux-threat-hunting-home-lab
一个基于 VirtualBox、Auditd 和 MITRE ATT&CK 框架的 Linux 蓝队威胁狩猎与事件响应实验项目,涵盖十个从攻击模拟到防御调查的结构化实验。
Stars: 0 | Forks: 0
# Linux 威胁狩猎家庭实验室
## 
## 项目概述
本仓库记录了一个实用的 Linux 威胁狩猎家庭实验室,旨在模拟现实世界中的攻击者技术,并从防御者的角度对其进行调查。
在十个结构化实验室(实验室 21–30)中,我模拟了持久化、凭证发现、数据暂存和数据泄露等活动,随后使用 Linux Auditd 分析了生成的证据,并将每项活动映射到 MITRE ATT&CK 框架。
本项目的主要目标是加强以下方面的实用 Blue Team 技能:
- 威胁狩猎
- 事件响应
- Linux 安全监控
- MITRE ATT&CK 映射
- 攻击时间线重建
- 安全调查
每个实验室不仅关注攻击命令,更强调防御者如何检测、调查和理解攻击者的行为。
## 目录
- [项目概述](#project-overview)
- [实验室环境](#lab-environment)
- [实验室架构](#lab-architecture)
- [使用的工具](#tools-used)
- [已完成的实验室](#labs-completed)
- [展示的技术技能](#technical-skills-demonstrated)
- [MITRE ATT&CK 覆盖范围](#mitre-attck-coverage)
- [仓库结构](#repository-structure)
- [关键成果](#key-outcomes)
## 项目亮点
- 🔍 在 10 个结构化实验室中模拟了完整的 Linux 攻击生命周期。
- 🛡️ 使用 Linux Auditd 执行了基于假设的威胁狩猎。
- 🔐 调查了包括 Cron Jobs 和 SSH Authorized Keys 在内的持久化技术。
- 🔎 模拟了凭证发现、数据暂存和数据泄露场景。
- 📊 将攻击者行为映射到了 MITRE ATT&CK 框架。
- 📝 为每个实验室生成了调查报告并记录了发现。
## 实验室环境
| 组件 | 技术 |
|-----------|------------|
| 宿主机操作系统 | Windows 11 |
| Hypervisor | Oracle VirtualBox |
| 攻击者 VM | Kali Linux |
| 目标 VM | Ubuntu Server |
| 监控 | Linux Auditd |
| 调查 | ausearch, aureport |
| 框架 | MITRE ATT&CK |
## 威胁狩猎实验室架构
```
Linux Threat Hunting Home Lab
Windows 11 Host (VirtualBox)
│
┌──────────────┴──────────────┐
│ │
┌──────────────┐ ┌──────────────┐
│ Kali Linux │──────────▶ │ Ubuntu Server│
│ Attacker VM │ Attack │ Target VM │
└──────────────┘ └──────┬───────┘
│
Linux Auditd
│
Threat Hunting & Detection
│
Incident Investigation
│
MITRE ATT&CK Mapping
```
## 使用的工具
## | 类别 | 工具 |
|----------|-------|
| 操作系统 | Windows 11, Ubuntu Server, Kali Linux |
| 虚拟化 | Oracle VirtualBox |
| 监控 | Linux Auditd |
| 调查 | ausearch, aureport |
| 网络 | SSH, Nmap |
| 框架 | MITRE ATT&CK |
## 已完成的实验室
| 实验室 | 标题 | 主要技能 |
| ------ | ------------------------------------------ | --------------------------- |
| 实验 21 | 事件调查工作流 | 事件调查 |
| 实验 22 | 基于假设的威胁狩猎 | 威胁狩猎 |
| 实验 23 | Cron 持久化狩猎 | Linux 持久化 |
| 实验 24 | SSH 持久化狩猎 | SSH 安全 |
| 实验 25 | 横向移动与网络发现 | 发现与枚举 |
| 实验 26 | 凭证访问与敏感数据狩猎 | 凭证访问检测 |
| 实验 27 | 数据暂存与收集狩猎 | 数据收集与暂存 |
| 实验 28 | 数据泄露检测概念 | 数据泄露检测 |
| 实验 29 | 端到端攻击链模拟 | 攻击链分析 |
| 实验 30 | Blue Team 顶点调查 | 事件响应 |
## 展示的技术技能
### 威胁狩猎
- 基于假设的威胁狩猎
- Linux 审计日志分析
- 攻击时间线重建
- 威胁调查
### Linux 安全
- Auditd 配置
- 命令执行监控
- 持久化检测
- SSH 安全分析
### 事件响应
- 证据收集
- 根本原因分析
- 损害指标
- MITRE ATT&CK 映射
### Blue Team 操作
- 凭证访问狩猎
- 数据收集检测
- 数据泄露调查
- 攻击链重建
## MITRE ATT&CK 覆盖范围
| 战术 | 实践技术 |
|---------|----------------------|
| 发现 | 系统发现、网络发现 |
| 持久化 | Cron Jobs、SSH Authorized Keys |
| 凭证访问 | 不安全的凭证 |
| 收集 | 本地数据收集、归档创建 |
| 数据泄露 | 数据移动与数据泄露概念 |
## 仓库结构
```
linux-threat-hunting-home-lab/
│
├── Lab21-Incident-Investigation/
├── Lab22-Threat-Hunting/
├── Lab23-Cron-Persistence/
├── Lab24-SSH-Persistence/
├── Lab25-Lateral-Movement/
├── Lab26-Credential-Access/
├── Lab27-Data-Staging/
├── Lab28-Exfiltration/
├── Lab29-Attack-Chain/
├── Lab30-Capstone-Investigation/
└── screenshots/
```
## 关键成果
- 构建并记录了一个 Linux 威胁狩猎家庭实验室。
- 模拟了跨多种 MITRE ATT&CK 战术的攻击者行为。
- 调查了持久化、凭证访问、收集和数据泄露活动。
- 使用 Linux Auditd 重建了攻击时间线。
- 为每个实验室制作了结构化的事件调查文档。
## 学习成果
通过这个项目,我加强了以下方面的实践经验:
- Linux 威胁狩猎
- 事件响应方法论
- 安全调查
- Linux Auditd 监控
- 攻击时间线重建
- MITRE ATT&CK 映射
- Blue Team 文档
- 安全报告
## 未来增强计划
这个家庭实验室的下一阶段将重点关注云与平台安全,包括:
- AWS IAM 安全
- CloudTrail 日志分析
- Amazon GuardDuty
- S3 安全监控
- 云威胁狩猎
- 检测工程
- 安全自动化
标签:Auditd, Cloudflare, CTI, HTTP工具, MITRE ATT&CK, 内存分配, 安全实验环境, 库, 应急响应