omarbabba779xx/phishing-ir-lab
GitHub: omarbabba779xx/phishing-ir-lab
该项目在隔离实验环境中完整模拟钓鱼攻击与凭证收集,并结合 Sysmon 日志进行结构化的事件响应取证与分析。
Stars: 0 | Forks: 0
# 钓鱼攻击模拟与事件响应实验






**包含凭证收集的端到端钓鱼攻击模拟,随后进行了结构化的事件响应调查 —— 旨在复现真实的 SOC Tier 1/2 工作流程。**
[概述](#overview) · [实验环境搭建](#lab-setup) · [攻击链](#attack-chain) · [检测与事件响应](#detection--incident-response) · [MITRE ATT&CK](#mitre-attck-mapping) · [完整报告](report/incident-report.md)
## 概述
在一个隔离的 VirtualBox 实验环境中执行了受控的钓鱼攻击。攻击者 (Kali Linux) 使用 Social-Engineer Toolkit (SET) 部署了凭证收集器,通过 HTTP 提供克隆的 Google 登录页面。受害者 (Windows 10) 访问了钓鱼 URL 并提交了凭证 —— 这些凭证以明文形式被捕获。检测和调查使用了 Sysmon 端点遥测和 Windows 事件查看器。
| 字段 | 详情 |
|-------|---------|
| **报告 ID** | IR-2026-001 |
| **分析师** | Omar Babba |
| **日期** | 2026-06-29 |
| **环境** | VirtualBox — 隔离的 Host-Only 网络 |
| **攻击者** | Kali Linux 2026.1 — `192.168.56.10` |
| **受害者** | Windows 10 Pro 22H2 — `192.168.56.20` |
| **捕获的凭证** | `victime@gmail.com` / `MotDePasse123` |
| **严重性** | 高 |
## 实验架构
```
┌──────────────────────┐ Host-Only Network (192.168.56.0/24) ┌───────────────────────────┐
│ Kali Linux VM │ ◄──────────────────────────────────────────► │ Windows 10 VM (Victim) │
│ 192.168.56.10 │ │ 192.168.56.20 │
│ │ │ │
│ ● SET v8.0.3 │ │ ● Sysmon v15.21 │
│ ● Apache (port 80) │ │ ● SwiftOnSecurity config │
│ ● Credential log │ │ ● Microsoft Edge │
└──────────────────────┘ └───────────────────────────┘
│
│ NAT (eth1 — 10.0.3.15)
▼
Internet
```
## 实验环境搭建
### 1. Kali Linux 虚拟机 — 双网卡网络
攻击者虚拟机使用两个网络适配器:
- **eth0** (Host-Only) — 与受害者 `192.168.56.0/24` 的通信
- **eth1** (NAT) — 用于下载工具的互联网访问
```
sudo ip addr add 192.168.56.10/24 dev eth0
sudo ip link set eth0 up
```

### 2. Windows 10 虚拟机 — 静态 IP 与连通性
打开**管理员**命令提示符,为 Host-Only 网络适配器分配静态 IP,然后验证与攻击者机器的连通性。
```
netsh interface ip set address "Ethernet" static 192.168.56.20 255.255.255.0 192.168.56.1
ping 192.168.56.10
```

### 3. 在受害者机器上部署 Sysmon
下载 Sysmon v15.21 和 SwiftOnSecurity 生产级规则集。在单次执行中应用配置进行安装。
```
powershell -Command "Invoke-WebRequest -Uri 'https://raw.githubusercontent.com/SwiftOnSecurity/sysmon-config/master/sysmonconfig-export.xml' -OutFile 'C:\sysmonconfig.xml'"
Sysmon64.exe -accepteula -i
Sysmon64.exe -c C:\sysmonconfig.xml
```


## 攻击链
### 阶段 1 — 武器化:部署凭证收集器
以 root 权限启动 SET,并配置通过 HTTP 在本地 80 端口提供克隆的 Google 登录页面。
```
sudo setoolkit
```
```
set> 1 # Social-Engineering Attacks
set:webattack> 2 # Website Attack Vectors
set:webattack> 3 # Credential Harvester Attack Method
set:webattack> 1 # Web Templates
IP: 192.168.56.10
Template: 2 # Google
```

### 阶段 2 — 投递:受害者导航至钓鱼页面
在 Windows 虚拟机上,打开 Microsoft Edge 并导航至 `http://192.168.56.10`。浏览器渲染了一个逼真的 Google 登录克隆页面。
有经验的用户能发现的两个可见危险信号:
- URL 栏显示的是 **IP 地址**而不是 `accounts.google.com`
- 浏览器显示 **“不安全”**(HTTP,无 TLS)

### 阶段 3 — 凭证访问:凭证被捕获
受害者提交凭证。SET 拦截了 HTTP POST 请求,并在攻击者终端以明文形式打印出收集到的数据。凭证在两次表单提交中被捕获了**两次**。
```
[*] WE GOT A HIT! Printing the output:
POSSIBLE USERNAME FIELD FOUND: Email=victime@gmail.com
POSSIBLE PASSWORD FIELD FOUND: Passwd=MotDePasse123
PARAM: signIn=Sign+in
PARAM: PersistentCookie=yes
[*] WHEN YOU'RE FINISHED, HIT CONTROL-C TO GENERATE A REPORT.
```
**源 IP:** `192.168.56.20` — **时间戳:** `29/Jun/2026 11:06:37`

## 检测与事件响应
### Sysmon 遥测
攻击发生后,打开**事件查看器 → 应用程序和服务日志 → Microsoft → Windows → Sysmon → Operational**,并按事件 ID 进行筛选。
| 事件 ID | 类别 | 结果 | 分析 |
|----------|----------|--------|----------|
| 1 | Process Create | ✅ 已记录 | 当受害者访问钓鱼页面时生成了 `msedge.exe` |
| 3 | Network Connection | ⚠️ 0 个事件 | **符合预期** — SwiftOnSecurity 配置在默认情况下会抑制浏览器连接(减少噪音) |
| 5 | Process Terminate | ✅ 已记录 | 攻击发生后发生多个进程终止 |
| 22 | DNS Query | ✅ 已记录 | `QueryName: wpad` — 确认 Sysmon 运行正常,捕获到了网络活动 |

## MITRE ATT&CK 映射
| 战术 | 技术 | ID | 证据 |
|--------|-----------|-----|---------|
| Initial Access | Phishing: Spearphishing Link | **T1566.002** | 受害者通过浏览器导航至钓鱼 URL |
| Credential Access | Credentials from Web Browsers | **T1555.003** | Google 登录克隆页面捕获了明文凭据 |
| Collection | Input Capture: Web Portal Capture | **T1056.003** | SET 拦截了 HTTP POST 表单提交 |
| Discovery | System Network Configuration Discovery | **T1016** | 攻击设置前的网络枚举 |
## 检测规则 (Sigma 风格)
```
title: Credential Submission to Non-Standard Host
description: Detects HTTP POST to a raw IP address instead of a domain — typical of phishing harvesters
logsource:
product: windows
service: sysmon
detection:
selection:
EventID: 3
DestinationIp|re: '^(?!10\.|192\.168\.|172\.(1[6-9]|2[0-9]|3[01])\.).*'
DestinationPort: 80
Image|endswith: '\msedge.exe'
condition: selection
falsepositives:
- Internal web applications served over plain HTTP
level: high
tags:
- attack.initial_access
- attack.t1566.002
```
## 关键发现
- 凭证以**明文**形式收集 — HTTP POST 无加密
- 从启动收集器到捕获凭证,完整攻击周期在 **5 分钟**内完成
- Sysmon 端点遥测确认整个过程处于活跃的进程监控中
- 用户唯一可见的指标是 URL 栏中的 IP 地址和“不安全”的浏览器警告
- SwiftOnSecurity 配置在默认情况下抑制了事件 ID 3 — 转向使用事件 ID 22 进行网络确认
- 没有横向移动 — 攻击完全控制在实验网络内
## 攻陷指标
| 类型 | 值 | 置信度 | 上下文 |
|------|-------|-----------|---------|
| IP 地址 | `192.168.56.10` | 高 | 钓鱼服务器(攻击者) |
| URL | `http://192.168.56.10/` | 高 | 钓鱼着陆页 |
| 端口 | `TCP/80` | 高 | HTTP — 无加密 |
| 进程 | `msedge.exe` | 中 | 用于访问钓鱼页面的浏览器 |
| 凭证 | `victime@gmail.com` | 高 | 收集到的用户名 |
| 工具 | `Social-Engineer Toolkit v8.0.3` | 高 | 攻击框架 |
完整 IOC 列表:[`evidence/iocs.md`](evidence/iocs.md)
## 使用的工具
| 工具 | 版本 | 用途 | 平台 |
|------|---------|---------|---------|
| Social-Engineer Toolkit (SET) | 8.0.3 | 钓鱼页面投递与凭证收集 | Kali Linux |
| Sysmon | v15.21 | 端点遥测与进程监控 | Windows 10 |
| SwiftOnSecurity Sysmon Config | Schema 4.50 | 生产级检测规则集 | Windows 10 |
| VirtualBox | 7.x | 隔离的实验环境 | 宿主机 |
| Microsoft Edge | — | 受害者浏览器(攻击向量) | Windows 10 |
| Windows 事件查看器 | — | 日志分析与事件调查 | Windows 10 |
## 展示的技能
- **威胁模拟** — 钓鱼攻击执行、凭证收集
- **端点日志分析** — Sysmon 事件解析、Windows 事件查看器
- **MITRE ATT&CK** — 技术识别与映射
- **事件响应** — 结构化 IR 文档 (IR-2026-001)
- **检测工程** — Sigma 规则编写
- **实验设计** — 网络分段、双网卡虚拟机网络
- **遥测分析** — 理解检测差距与预期行为的对比
## 项目结构
```
phishing-ir-lab/
├── README.md ← This file
├── report/
│ └── incident-report.md ← Full IR report (IR-2026-001)
├── evidence/
│ └── iocs.md ← Indicators of Compromise
├── screenshots/ ← Evidence screenshots
│ ├── 01_kali_desktop.png
│ ├── 02_network_config.png
│ ├── 03_set_harvester_active.png
│ ├── 04_phishing_page.png
│ ├── 05_credentials_captured.png
│ ├── 06_ping_kali.png
│ ├── 07_sysmon_installed.png
│ ├── 08_sysmon_configured.png
│ └── 09_event_viewer_sysmon.png
└── tools/
└── setup.md ← Lab setup guide
```
*SOC 家庭实验室系列 — 10 个项目中的第 2 个*标签:安全运营, 实验环境, 库, 应急响应, 扫描框架, 数据展示, 红队, 网络安全, 钓鱼攻击模拟, 隐私保护