thabosakonta-wq/velociraptor-investigation-lab

GitHub: thabosakonta-wq/velociraptor-investigation-lab

一个基于 Velociraptor 理念的 DFIR 端点调查实验项目,通过威胁狩猎和 MITRE ATT&CK 映射模拟完整的数字取证与事件响应流程。

Stars: 0 | Forks: 0

# Velociraptor 调查实验室 一个数字取证与事件响应 (DFIR) 项目,展示了使用 Velociraptor 风格的 artifact、威胁狩猎技术、事件报告以及 MITRE ATT&CK 映射进行的端点调查。 ## 概述 本项目模拟了一次数字取证与事件响应 (DFIR) 调查,通过收集和分析端点 artifact,以识别受损系统上的可疑活动。 本次调查侧重于: * 进程调查 * 网络连接分析 * 可疑文件发现 * 端点 artifact 分析 * 事件报告 * MITRE ATT&CK 映射 ## 目标 * 展示如何使用 Velociraptor 概念进行端点调查。 * 执行进程、网络和文件狩猎。 * 分析端点 artifact。 * 将发现映射到 MITRE ATT&CK 框架。 * 生成专业的 DFIR 调查报告。 * 展示实用的事件响应技能。 ## 调查范围 | 调查范围 | 严重程度 | | -------------------------- | -------- | | 进程调查 | 高 | | 网络调查 | 中等 | | 文件调查 | 高 | | 端点 Artifact 分析 | 高 | ## 报告 * 执行摘要 * Velociraptor 调查报告 * MITRE ATT&CK 映射 ## 功能 ### 进程调查 * 检测可疑的 PowerShell 执行。 * 识别恶意进程。 ### 网络调查 * 识别出站网络通信。 * 检测可疑的外部连接。 ### 文件调查 * 发现可疑 payload。 * 识别潜在的恶意文件。 ### 端点 Artifact 分析 * 审查在取证调查期间收集的端点 artifact。 ### 调查报告 * 记录调查发现。 * 评估严重程度。 * 提供响应建议。 ## MITRE ATT&CK 覆盖范围 | 技术 | ATT&CK ID | 描述 | | -------------------------- | --------- | ------------------- | | PowerShell | T1059.001 | 执行 | | Application Layer Protocol | T1071 | 命令与控制 | | Ingress Tool Transfer | T1105 | 命令与控制 | ## 调查工作流 端点 Artifact 收集 ↓ 进程调查 ↓ 网络调查 ↓ 文件调查 ↓ 威胁分析 ↓ 事件报告 ↓ MITRE ATT&CK 映射 ## 截图 ### 进程调查 ![进程狩猎](https://static.pigsec.cn/wp-content/uploads/repos/cas/86/862c03136f8e801bc14c84af5d7e4353dbe4a2a0213f5116194d418c8f783bba.png) ### 网络调查 ![网络狩猎](https://static.pigsec.cn/wp-content/uploads/repos/cas/e0/e01bb567a97ae19b489a14648e904e3a24509984fe94c5b158abf4e7793ca2c7.png) ### 文件调查 ![文件狩猎](https://static.pigsec.cn/wp-content/uploads/repos/cas/4c/4cf3355652e11f9705607069b3cfa158cdf7b3b38d19a8143139985002e4b801.png) ## 使用技术 * Velociraptor * Bash * Linux * Termux * Git * GitHub * 数字取证 * 事件响应 * 威胁狩猎 * MITRE ATT&CK ## 项目结构 ``` Velociraptor-Investigation-Lab ├── artifacts │ └── endpoint_artifacts.txt ├── queries │ ├── account_hunt.sh │ ├── file_hunt.sh │ ├── network_hunt.sh │ └── process_hunt.sh ├── reports │ ├── mitre_mapping.md │ └── velociraptor_investigation_report.txt ├── screenshots │ ├── process_hunt.png │ ├── network_hunt.png │ └── file_hunt.png └── README.md ``` ## 学习成果 * 数字取证 * 端点调查 * 威胁狩猎 * 事件响应 * DFIR 方法论 * MITRE ATT&CK 映射 * 安全监控 ## 未来增强功能 * Velociraptor 实时收集 * Windows 内存分析 * 时间线分析 * Microsoft Defender XDR 集成 * Microsoft Sentinel 集成 * Sigma 规则关联 * 自动化 IOC 提取 * YARA 规则集成 ## 作者 **Thabo Sakonta** **微软认证安全运营分析师 (SC-200)** GitHub: https://github.com/thabosakonta-wq LinkedIn: https://www.linkedin.com/in/thabo-sakonta-377a3748 ## 许可证 本项目仅用于教育、研究和网络安全作品集目的。
标签:Cloudflare, MITRE ATT&CK, Velociraptor, Windows 调试器, 安全实验室, 库, 应急响应, 应用安全, 数字取证, 用户态调试, 端点安全, 网络安全研究, 自动化脚本, 补丁管理