omarbabba779xx/phishing-ir-lab

GitHub: omarbabba779xx/phishing-ir-lab

该项目在隔离实验环境中完整模拟钓鱼攻击与凭证收集,并结合 Sysmon 日志进行结构化的事件响应取证与分析。

Stars: 0 | Forks: 0

# 钓鱼攻击模拟与事件响应实验
![Kali Linux](https://img.shields.io/badge/Kali_Linux-2026.1-557C94?style=flat-square&logo=kalilinux&logoColor=white) ![Windows 10](https://img.shields.io/badge/Windows_10-22H2-0078D6?style=flat-square&logo=windows&logoColor=white) ![SET](https://img.shields.io/badge/SET-v8.0.3-red?style=flat-square) ![Sysmon](https://img.shields.io/badge/Sysmon-v15.21-blue?style=flat-square) ![MITRE ATT&CK](https://img.shields.io/badge/MITRE_ATT%26CK-T1566.002-orange?style=flat-square) ![Status](https://img.shields.io/badge/Status-Completed-brightgreen?style=flat-square) **包含凭证收集的端到端钓鱼攻击模拟,随后进行了结构化的事件响应调查 —— 旨在复现真实的 SOC Tier 1/2 工作流程。** [概述](#overview) · [实验环境搭建](#lab-setup) · [攻击链](#attack-chain) · [检测与事件响应](#detection--incident-response) · [MITRE ATT&CK](#mitre-attck-mapping) · [完整报告](report/incident-report.md)
## 概述 在一个隔离的 VirtualBox 实验环境中执行了受控的钓鱼攻击。攻击者 (Kali Linux) 使用 Social-Engineer Toolkit (SET) 部署了凭证收集器,通过 HTTP 提供克隆的 Google 登录页面。受害者 (Windows 10) 访问了钓鱼 URL 并提交了凭证 —— 这些凭证以明文形式被捕获。检测和调查使用了 Sysmon 端点遥测和 Windows 事件查看器。 | 字段 | 详情 | |-------|---------| | **报告 ID** | IR-2026-001 | | **分析师** | Omar Babba | | **日期** | 2026-06-29 | | **环境** | VirtualBox — 隔离的 Host-Only 网络 | | **攻击者** | Kali Linux 2026.1 — `192.168.56.10` | | **受害者** | Windows 10 Pro 22H2 — `192.168.56.20` | | **捕获的凭证** | `victime@gmail.com` / `MotDePasse123` | | **严重性** | 高 | ## 实验架构 ``` ┌──────────────────────┐ Host-Only Network (192.168.56.0/24) ┌───────────────────────────┐ │ Kali Linux VM │ ◄──────────────────────────────────────────► │ Windows 10 VM (Victim) │ │ 192.168.56.10 │ │ 192.168.56.20 │ │ │ │ │ │ ● SET v8.0.3 │ │ ● Sysmon v15.21 │ │ ● Apache (port 80) │ │ ● SwiftOnSecurity config │ │ ● Credential log │ │ ● Microsoft Edge │ └──────────────────────┘ └───────────────────────────┘ │ │ NAT (eth1 — 10.0.3.15) ▼ Internet ``` ## 实验环境搭建 ### 1. Kali Linux 虚拟机 — 双网卡网络 攻击者虚拟机使用两个网络适配器: - **eth0** (Host-Only) — 与受害者 `192.168.56.0/24` 的通信 - **eth1** (NAT) — 用于下载工具的互联网访问 ``` sudo ip addr add 192.168.56.10/24 dev eth0 sudo ip link set eth0 up ``` ![Kali 双网卡网络 — eth0 Host-Only + eth1 NAT (10.0.3.15),通过 ping 8.8.8.8 验证了互联网连接](https://raw.githubusercontent.com/omarbabba779xx/phishing-ir-lab/master/screenshots/02_network_config.png) ### 2. Windows 10 虚拟机 — 静态 IP 与连通性 打开**管理员**命令提示符,为 Host-Only 网络适配器分配静态 IP,然后验证与攻击者机器的连通性。 ``` netsh interface ip set address "Ethernet" static 192.168.56.20 255.255.255.0 192.168.56.1 ping 192.168.56.10 ``` ![Windows 管理员 CMD — 已配置静态 IP,ping 192.168.56.10 返回 0% 丢包率](https://raw.githubusercontent.com/omarbabba779xx/phishing-ir-lab/master/screenshots/06_ping_kali.png) ### 3. 在受害者机器上部署 Sysmon 下载 Sysmon v15.21 和 SwiftOnSecurity 生产级规则集。在单次执行中应用配置进行安装。 ``` powershell -Command "Invoke-WebRequest -Uri 'https://raw.githubusercontent.com/SwiftOnSecurity/sysmon-config/master/sysmonconfig-export.xml' -OutFile 'C:\sysmonconfig.xml'" Sysmon64.exe -accepteula -i Sysmon64.exe -c C:\sysmonconfig.xml ``` ![管理员 CMD — Sysmon64 已安装,SysmonDrv 已安装并启动](https://raw.githubusercontent.com/omarbabba779xx/phishing-ir-lab/master/screenshots/07_sysmon_installed.png) ![管理员 CMD — SwiftOnSecurity 配置已应用:“配置文件已验证。配置已更新。”](https://static.pigsec.cn/wp-content/uploads/repos/cas/c2/c22dcfa4c905fb8dac5dc697e7dca2bcc1d68a574fb025a4e428afbb394ee6e4.png) ## 攻击链 ### 阶段 1 — 武器化:部署凭证收集器 以 root 权限启动 SET,并配置通过 HTTP 在本地 80 端口提供克隆的 Google 登录页面。 ``` sudo setoolkit ``` ``` set> 1 # Social-Engineering Attacks set:webattack> 2 # Website Attack Vectors set:webattack> 3 # Credential Harvester Attack Method set:webattack> 1 # Web Templates IP: 192.168.56.10 Template: 2 # Google ``` ![SET — Google 模板已克隆,凭证收集器正在 192.168.56.10:80 上运行](https://static.pigsec.cn/wp-content/uploads/repos/cas/fa/fa88a6c17e79d252bc7fef1c411e6f3dc75e9c62fb6714637ff2c36f22ba4748.png) ### 阶段 2 — 投递:受害者导航至钓鱼页面 在 Windows 虚拟机上,打开 Microsoft Edge 并导航至 `http://192.168.56.10`。浏览器渲染了一个逼真的 Google 登录克隆页面。 有经验的用户能发现的两个可见危险信号: - URL 栏显示的是 **IP 地址**而不是 `accounts.google.com` - 浏览器显示 **“不安全”**(HTTP,无 TLS) ![Edge 浏览器 — 在 192.168.56.10 提供的克隆 Google 登录页面,可见“不安全”警告](https://raw.githubusercontent.com/omarbabba779xx/phishing-ir-lab/master/screenshots/04_phishing_page.png) ### 阶段 3 — 凭证访问:凭证被捕获 受害者提交凭证。SET 拦截了 HTTP POST 请求,并在攻击者终端以明文形式打印出收集到的数据。凭证在两次表单提交中被捕获了**两次**。 ``` [*] WE GOT A HIT! Printing the output: POSSIBLE USERNAME FIELD FOUND: Email=victime@gmail.com POSSIBLE PASSWORD FIELD FOUND: Passwd=MotDePasse123 PARAM: signIn=Sign+in PARAM: PersistentCookie=yes [*] WHEN YOU'RE FINISHED, HIT CONTROL-C TO GENERATE A REPORT. ``` **源 IP:** `192.168.56.20` — **时间戳:** `29/Jun/2026 11:06:37` ![SET 终端 — 以明文捕获的凭证:victime@gmail.com / MotDePasse123](https://raw.githubusercontent.com/omarbabba779xx/phishing-ir-lab/master/screenshots/05_credentials_captured.png) ## 检测与事件响应 ### Sysmon 遥测 攻击发生后,打开**事件查看器 → 应用程序和服务日志 → Microsoft → Windows → Sysmon → Operational**,并按事件 ID 进行筛选。 | 事件 ID | 类别 | 结果 | 分析 | |----------|----------|--------|----------| | 1 | Process Create | ✅ 已记录 | 当受害者访问钓鱼页面时生成了 `msedge.exe` | | 3 | Network Connection | ⚠️ 0 个事件 | **符合预期** — SwiftOnSecurity 配置在默认情况下会抑制浏览器连接(减少噪音) | | 5 | Process Terminate | ✅ 已记录 | 攻击发生后发生多个进程终止 | | 22 | DNS Query | ✅ 已记录 | `QueryName: wpad` — 确认 Sysmon 运行正常,捕获到了网络活动 | ![事件查看器 — Sysmon Operational 日志显示事件 ID 1 (Process Create) 和 5 (Process Terminate)](https://raw.githubusercontent.com/omarbabba779xx/phishing-ir-lab/master/screenshots/09_event_viewer_sysmon.png) ## MITRE ATT&CK 映射 | 战术 | 技术 | ID | 证据 | |--------|-----------|-----|---------| | Initial Access | Phishing: Spearphishing Link | **T1566.002** | 受害者通过浏览器导航至钓鱼 URL | | Credential Access | Credentials from Web Browsers | **T1555.003** | Google 登录克隆页面捕获了明文凭据 | | Collection | Input Capture: Web Portal Capture | **T1056.003** | SET 拦截了 HTTP POST 表单提交 | | Discovery | System Network Configuration Discovery | **T1016** | 攻击设置前的网络枚举 | ## 检测规则 (Sigma 风格) ``` title: Credential Submission to Non-Standard Host description: Detects HTTP POST to a raw IP address instead of a domain — typical of phishing harvesters logsource: product: windows service: sysmon detection: selection: EventID: 3 DestinationIp|re: '^(?!10\.|192\.168\.|172\.(1[6-9]|2[0-9]|3[01])\.).*' DestinationPort: 80 Image|endswith: '\msedge.exe' condition: selection falsepositives: - Internal web applications served over plain HTTP level: high tags: - attack.initial_access - attack.t1566.002 ``` ## 关键发现 - 凭证以**明文**形式收集 — HTTP POST 无加密 - 从启动收集器到捕获凭证,完整攻击周期在 **5 分钟**内完成 - Sysmon 端点遥测确认整个过程处于活跃的进程监控中 - 用户唯一可见的指标是 URL 栏中的 IP 地址和“不安全”的浏览器警告 - SwiftOnSecurity 配置在默认情况下抑制了事件 ID 3 — 转向使用事件 ID 22 进行网络确认 - 没有横向移动 — 攻击完全控制在实验网络内 ## 攻陷指标 | 类型 | 值 | 置信度 | 上下文 | |------|-------|-----------|---------| | IP 地址 | `192.168.56.10` | 高 | 钓鱼服务器(攻击者) | | URL | `http://192.168.56.10/` | 高 | 钓鱼着陆页 | | 端口 | `TCP/80` | 高 | HTTP — 无加密 | | 进程 | `msedge.exe` | 中 | 用于访问钓鱼页面的浏览器 | | 凭证 | `victime@gmail.com` | 高 | 收集到的用户名 | | 工具 | `Social-Engineer Toolkit v8.0.3` | 高 | 攻击框架 | 完整 IOC 列表:[`evidence/iocs.md`](evidence/iocs.md) ## 使用的工具 | 工具 | 版本 | 用途 | 平台 | |------|---------|---------|---------| | Social-Engineer Toolkit (SET) | 8.0.3 | 钓鱼页面投递与凭证收集 | Kali Linux | | Sysmon | v15.21 | 端点遥测与进程监控 | Windows 10 | | SwiftOnSecurity Sysmon Config | Schema 4.50 | 生产级检测规则集 | Windows 10 | | VirtualBox | 7.x | 隔离的实验环境 | 宿主机 | | Microsoft Edge | — | 受害者浏览器(攻击向量) | Windows 10 | | Windows 事件查看器 | — | 日志分析与事件调查 | Windows 10 | ## 展示的技能 - **威胁模拟** — 钓鱼攻击执行、凭证收集 - **端点日志分析** — Sysmon 事件解析、Windows 事件查看器 - **MITRE ATT&CK** — 技术识别与映射 - **事件响应** — 结构化 IR 文档 (IR-2026-001) - **检测工程** — Sigma 规则编写 - **实验设计** — 网络分段、双网卡虚拟机网络 - **遥测分析** — 理解检测差距与预期行为的对比 ## 项目结构 ``` phishing-ir-lab/ ├── README.md ← This file ├── report/ │ └── incident-report.md ← Full IR report (IR-2026-001) ├── evidence/ │ └── iocs.md ← Indicators of Compromise ├── screenshots/ ← Evidence screenshots │ ├── 01_kali_desktop.png │ ├── 02_network_config.png │ ├── 03_set_harvester_active.png │ ├── 04_phishing_page.png │ ├── 05_credentials_captured.png │ ├── 06_ping_kali.png │ ├── 07_sysmon_installed.png │ ├── 08_sysmon_configured.png │ └── 09_event_viewer_sysmon.png └── tools/ └── setup.md ← Lab setup guide ``` *SOC 家庭实验室系列 — 10 个项目中的第 2 个*
标签:安全运营, 实验环境, 库, 应急响应, 扫描框架, 数据展示, 红队, 网络安全, 钓鱼攻击模拟, 隐私保护