KBS320/SOC-Home-Lab
GitHub: KBS320/SOC-Home-Lab
一个自建的 SOC 检测实验室,通过 Atomic Red Team 模拟 30 个 MITRE ATT&CK 攻击技术并在 Splunk 中完成检测,帮助安全分析师系统性掌握蓝队检测能力。
Stars: 0 | Forks: 0
# SOC 检测实验室 — 30 个 MITRE ATT&CK 技术
这是一个亲手搭建的家用实验室,我从零开始构建了完整的攻击与检测 pipeline。
每种技术都使用 Atomic Red Team 进行了模拟,并在 Splunk 中被检测到。
没有现成的教程。没有预置的告警。全部由我亲手构建、测试、调试并修复。
## 为什么构建这个实验室
我在金融机构使用安全工具工作了 8 年——
Splunk、CrowdStrike、Cortex XSOAR、Prisma Cloud。我非常熟悉这些工具。
我想向自己以及未来的雇主证明的是:
我能够像攻击者一样思考,并从日志中发现他们的踪迹。
这个实验室就是证明。
## 实验室环境
| 机器 | 操作系统 | IP | 角色 |
|---|---|---|---|
| SIEM / 攻击者 | Kali Linux | 192.168.56.101 | 运行 Splunk,执行 Atomic 测试 |
| 目标机 | Windows Server 2019 | 192.168.56.102 | Sysmon + Universal Forwarder |
- 网络:VirtualBox Host-Only (192.168.56.0/24)
- 日志 pipeline:Sysmon → Universal Forwarder → 运行在 Kali 上的 Splunk
- 攻击框架:Atomic Red Team (PowerShell)
- Sysmon 配置:SwiftOnSecurity
## 30 个技术 — 完整的 Kill Chain
### 阶段 1 — Discovery:环境侦察(攻击 1–10)
*攻击者刚刚潜入。第一步:弄清他们身在何处。*
| # | 我模拟的操作 | MITRE ID |
|---|---|---|
| 1 | Whoami — 我是以什么身份登录的? | T1033 |
| 2 | Systeminfo — 这是什么机器? | T1082 |
| 3 | Tasklist — 正在运行哪些进程? | T1057 |
| 4 | Ipconfig — 我在哪个网络中? | T1016 |
| 5 | Netstat — 这台机器正在与谁通信? | T1049 |
| 6 | Net user — 存在哪些账户? | T1087.001 |
| 7 | Net localgroup — 谁拥有管理员权限? | T1069.001 |
| 8 | Net share — 存在哪些共享文件夹? | T1135 |
| 9 | Dir/tree — 这台机器上有哪些文件? | T1083 |
| 10 | Reg query — 注册表中隐藏了什么? | T1012 |
### 阶段 2 — Execution:运行恶意代码(攻击 11–12)
*是时候运行一些本不该运行的程序了。*
| # | 我模拟的操作 | MITRE ID |
|---|---|---|
| 11 | PowerShell 编码命令 | T1059.001 |
| 12 | CMD 与批处理文件执行 | T1059.003 |
### 阶段 3 — Persistence:保持在机器上的驻留(攻击 13–15)
*如果机器重启,攻击者会自动返回。*
| # | 我模拟的操作 | MITRE ID |
|---|---|---|
| 13 | 在启动时创建计划任务 | T1053.005 |
| 14 | 添加注册表 Run 键以实现持久化 | T1547.001 |
| 15 | 下载远程工具到目标机 | T1105 |
### 阶段 4 — Defense Evasion:躲避安全工具(攻击 16–19)
*掩盖踪迹。让一切看起来像是什么都没发生过。*
| # | 我模拟的操作 | MITRE ID |
|---|---|---|
| 16 | 使用 Rundll32 运行恶意代码 | T1218.011 |
| 17 | 删除磁盘上的证据 | T1070.004 |
| 18 | 清除命令历史记录 | T1070.003 |
| 19 | 修改注册表以禁用安全防护 | T1112 |
### 阶段 5 — Discovery 2:深度侦察(攻击 20–22)
*攻击者现在开始深入——寻找时间、视觉画面和剪贴板数据。*
| # | 我模拟的操作 | MITRE ID |
|---|---|---|
| 20 | 查询系统时间 | T1124 |
| 21 | 截取当前桌面的屏幕截图 | T1113 |
| 22 | 窃取剪贴板内容 | T1115 |
### 阶段 6 — Collection:打包数据(攻击 23–24)
*收集所有值得窃取的内容,并准备进行 exfiltration。*
| # | 我模拟的操作 | MITRE ID |
|---|---|---|
| 23 | 将文件打包压缩成 zip | T1560.001 |
| 24 | 通过 C2 通道外传数据 | T1041 |
### 阶段 7 — Impact:破坏与摧毁(攻击 25–30)
*最后阶段。勒索软件、清理痕迹并撤离。*
| # | 我模拟的操作 | MITRE ID |
|---|---|---|
| 25 | 文件被加密 — 勒索软件模拟 | T1486 |
| 26 | 导出密码策略 | T1201 |
| 27 | 识别安全软件 | T1518.001 |
| 28 | 枚举 USB 及外围设备 | T1120 |
| 29 | 使用 BITS 任务进行静默后台下载 | T1197 |
| 30 | 关闭系统以销毁证据 | T1529 |
## 检测分析报告
`/detections` 文件夹中包含了每种技术各自的分析报告,内容涵盖:
- 攻击的执行原理以及攻击者为什么使用它
- 所使用的具体 Atomic Red Team 命令
- 捕获到的原始 Splunk 事件
- 检测到该攻击的 SPL 查询语句
- Splunk 告警触发的屏幕截图
→ [浏览所有检测分析报告](https://github.com/KBS320/SOC-Home-Lab/tree/main/detections)
## 工具与技术栈
- **Splunk** — SIEM、日志摄入、搜索与告警
- **Sysmon** — 深度 Windows 事件日志记录(SwiftOnSecurity 配置)
- **Atomic Red Team** — 映射到 MITRE ATT&CK 的开源攻击模拟工具
- **VirtualBox** — 虚拟化平台
- **PowerShell** — Windows 目标机上的攻击执行工具
## 背景
我拥有 8 年以上在金融机构(包括 TD Bank 和 Fiserv) hands-on 使用各类安全工具的经验。熟练掌握 Splunk、CrowdStrike、Cortex XSOAR 和 Prisma Cloud。持有 Security+ 认证。
构建这个实验室是为了超越对工具的表面熟悉——通过在编写每一行 SPL 查询之前先深入研究每种攻击,来培养真正的检测直觉。
标签:AI合规, AMSI绕过, Mr. Robot, Sysmon, 后渗透, 威胁检测, 安全, 安全实验室, 数据包嗅探, 无线安全, 网络安全审计, 超时处理