KBS320/SOC-Home-Lab

GitHub: KBS320/SOC-Home-Lab

一个自建的 SOC 检测实验室,通过 Atomic Red Team 模拟 30 个 MITRE ATT&CK 攻击技术并在 Splunk 中完成检测,帮助安全分析师系统性掌握蓝队检测能力。

Stars: 0 | Forks: 0

# SOC 检测实验室 — 30 个 MITRE ATT&CK 技术 这是一个亲手搭建的家用实验室,我从零开始构建了完整的攻击与检测 pipeline。 每种技术都使用 Atomic Red Team 进行了模拟,并在 Splunk 中被检测到。 没有现成的教程。没有预置的告警。全部由我亲手构建、测试、调试并修复。 ## 为什么构建这个实验室 我在金融机构使用安全工具工作了 8 年—— Splunk、CrowdStrike、Cortex XSOAR、Prisma Cloud。我非常熟悉这些工具。 我想向自己以及未来的雇主证明的是: 我能够像攻击者一样思考,并从日志中发现他们的踪迹。 这个实验室就是证明。 ## 实验室环境 | 机器 | 操作系统 | IP | 角色 | |---|---|---|---| | SIEM / 攻击者 | Kali Linux | 192.168.56.101 | 运行 Splunk,执行 Atomic 测试 | | 目标机 | Windows Server 2019 | 192.168.56.102 | Sysmon + Universal Forwarder | - 网络:VirtualBox Host-Only (192.168.56.0/24) - 日志 pipeline:Sysmon → Universal Forwarder → 运行在 Kali 上的 Splunk - 攻击框架:Atomic Red Team (PowerShell) - Sysmon 配置:SwiftOnSecurity ## 30 个技术 — 完整的 Kill Chain ### 阶段 1 — Discovery:环境侦察(攻击 1–10) *攻击者刚刚潜入。第一步:弄清他们身在何处。* | # | 我模拟的操作 | MITRE ID | |---|---|---| | 1 | Whoami — 我是以什么身份登录的? | T1033 | | 2 | Systeminfo — 这是什么机器? | T1082 | | 3 | Tasklist — 正在运行哪些进程? | T1057 | | 4 | Ipconfig — 我在哪个网络中? | T1016 | | 5 | Netstat — 这台机器正在与谁通信? | T1049 | | 6 | Net user — 存在哪些账户? | T1087.001 | | 7 | Net localgroup — 谁拥有管理员权限? | T1069.001 | | 8 | Net share — 存在哪些共享文件夹? | T1135 | | 9 | Dir/tree — 这台机器上有哪些文件? | T1083 | | 10 | Reg query — 注册表中隐藏了什么? | T1012 | ### 阶段 2 — Execution:运行恶意代码(攻击 11–12) *是时候运行一些本不该运行的程序了。* | # | 我模拟的操作 | MITRE ID | |---|---|---| | 11 | PowerShell 编码命令 | T1059.001 | | 12 | CMD 与批处理文件执行 | T1059.003 | ### 阶段 3 — Persistence:保持在机器上的驻留(攻击 13–15) *如果机器重启,攻击者会自动返回。* | # | 我模拟的操作 | MITRE ID | |---|---|---| | 13 | 在启动时创建计划任务 | T1053.005 | | 14 | 添加注册表 Run 键以实现持久化 | T1547.001 | | 15 | 下载远程工具到目标机 | T1105 | ### 阶段 4 — Defense Evasion:躲避安全工具(攻击 16–19) *掩盖踪迹。让一切看起来像是什么都没发生过。* | # | 我模拟的操作 | MITRE ID | |---|---|---| | 16 | 使用 Rundll32 运行恶意代码 | T1218.011 | | 17 | 删除磁盘上的证据 | T1070.004 | | 18 | 清除命令历史记录 | T1070.003 | | 19 | 修改注册表以禁用安全防护 | T1112 | ### 阶段 5 — Discovery 2:深度侦察(攻击 20–22) *攻击者现在开始深入——寻找时间、视觉画面和剪贴板数据。* | # | 我模拟的操作 | MITRE ID | |---|---|---| | 20 | 查询系统时间 | T1124 | | 21 | 截取当前桌面的屏幕截图 | T1113 | | 22 | 窃取剪贴板内容 | T1115 | ### 阶段 6 — Collection:打包数据(攻击 23–24) *收集所有值得窃取的内容,并准备进行 exfiltration。* | # | 我模拟的操作 | MITRE ID | |---|---|---| | 23 | 将文件打包压缩成 zip | T1560.001 | | 24 | 通过 C2 通道外传数据 | T1041 | ### 阶段 7 — Impact:破坏与摧毁(攻击 25–30) *最后阶段。勒索软件、清理痕迹并撤离。* | # | 我模拟的操作 | MITRE ID | |---|---|---| | 25 | 文件被加密 — 勒索软件模拟 | T1486 | | 26 | 导出密码策略 | T1201 | | 27 | 识别安全软件 | T1518.001 | | 28 | 枚举 USB 及外围设备 | T1120 | | 29 | 使用 BITS 任务进行静默后台下载 | T1197 | | 30 | 关闭系统以销毁证据 | T1529 | ## 检测分析报告 `/detections` 文件夹中包含了每种技术各自的分析报告,内容涵盖: - 攻击的执行原理以及攻击者为什么使用它 - 所使用的具体 Atomic Red Team 命令 - 捕获到的原始 Splunk 事件 - 检测到该攻击的 SPL 查询语句 - Splunk 告警触发的屏幕截图 → [浏览所有检测分析报告](https://github.com/KBS320/SOC-Home-Lab/tree/main/detections) ## 工具与技术栈 - **Splunk** — SIEM、日志摄入、搜索与告警 - **Sysmon** — 深度 Windows 事件日志记录(SwiftOnSecurity 配置) - **Atomic Red Team** — 映射到 MITRE ATT&CK 的开源攻击模拟工具 - **VirtualBox** — 虚拟化平台 - **PowerShell** — Windows 目标机上的攻击执行工具 ## 背景 我拥有 8 年以上在金融机构(包括 TD Bank 和 Fiserv) hands-on 使用各类安全工具的经验。熟练掌握 Splunk、CrowdStrike、Cortex XSOAR 和 Prisma Cloud。持有 Security+ 认证。 构建这个实验室是为了超越对工具的表面熟悉——通过在编写每一行 SPL 查询之前先深入研究每种攻击,来培养真正的检测直觉。
标签:AI合规, AMSI绕过, Mr. Robot, Sysmon, 后渗透, 威胁检测, 安全, 安全实验室, 数据包嗅探, 无线安全, 网络安全审计, 超时处理