Sagheerabbas/SOC-Bruteforce-Login-Investigation-Case-Study

GitHub: Sagheerabbas/SOC-Bruteforce-Login-Investigation-Case-Study

一个面向初学者的 SOC 案例研究,演示如何利用 Wazuh SIEM 和 Windows 事件日志调查暴力破解登录攻击并完成事件响应。

Stars: 0 | Forks: 0

# SOC 案例研究:暴力破解登录尝试调查 ## 项目概述 本案例研究展示了 SOC Level 1 分析师如何调查 Windows 机器上多次失败的登录尝试。本项目的目的是了解暴力破解攻击在日志中是如何呈现的,如何审查告警,以及分析师如何判断该活动是可疑的还是误报。 本案例研究基于模拟实验环境,专为教育和防御性安全学习而创建。 ## 场景 一个 Windows 终端在短时间内产生了多个失败登录告警。告警显示针对同一个用户账户的反复登录尝试。在几次失败尝试后,还观察到了一次成功的登录。 此模式可能表明这是一次暴力破解攻击,攻击者尝试使用多个密码来获取对有效账户的访问权限。 ## 目标 本次调查的主要目标是: 1. 找出失败登录尝试的来源。 2. 检查被针对的用户账户。 3. 确认在多次失败后是否有任何登录成功。 4. 审查该活动是正常的用户行为还是可疑的。 5. 建议遏制和预防措施。 ## 实验环境 该实验是使用以下工具创建的: * Windows 10 测试机 * Windows Event Viewer * Wazuh SIEM * PowerShell * Windows 安全日志样本 * MITRE ATT&CK 映射 ## 告警摘要 | 字段 | 详情 | | ------------------------- | ------------------------------ | | 告警类型 | 多次失败登录尝试 | | 严重程度 | 中等 | | 目标系统 | Windows 终端 | | 目标用户 | testuser | | 源 IP | 192.168.1.45 | | Event ID | 4625 | | 时间窗口 | 5 分钟 | | 失败尝试次数 | 12 | | 潜在威胁 | 暴力破解攻击 | ## 为什么此告警很重要 短时间内多次失败的登录尝试可能是密码猜测的迹象。如果攻击者找到了正确的密码,他们可能会以有效用户的身份登录并绕过某些安全控制措施。 这类活动对 SOC 分析师非常重要,因为它可能导致未经授权的访问、数据窃取、权限滥用,或网络内部的进一步横向移动。 ## 调查步骤 ### 第 1 步:审查告警 第一步是在 Wazuh 中审查告警。告警显示来自同一源 IP 地址的反复失败登录尝试。 检查的重要字段: * 源 IP 地址 * 目标用户名 * 失败尝试次数 * 活动时间 * 身份验证类型 * 主机名 * Event ID ### 第 2 步:检查 Windows Event ID 4625 Windows Event ID 4625 表示一次失败的登录尝试。此事件有助于识别失败的身份验证活动。 审查了以下详细信息: * 账户名 * 源网络地址 * 登录类型 * 失败原因 * 工作站名 * 时间戳 日志详情示例: ``` Event ID: 4625 Account Name: testuser Source Network Address: 192.168.1.45 Failure Reason: Unknown user name or bad password Logon Type: 3 ``` ### 第 3 步:检查尝试次数 日志显示在 5 分钟内有 12 次失败的登录尝试。这对于普通用户来说是不正常的,可能表明是自动化的密码猜测。 单次登录失败可能是由于失误造成的,但来自同一 IP 的反复失败应该进行调查。 ### 第 4 步:检查是否成功登录 在审查了失败的登录事件后,使用 Windows Event ID 4624 检查了成功登录的事件。 在失败的尝试后不久,发现了一次成功的登录。 日志详情示例: ``` Event ID: 4624 Account Name: testuser Source Network Address: 192.168.1.45 Logon Type: 3 ``` 这增加了风险等级,因为攻击者可能已经猜到了正确的密码。 ### 第 5 步:检查源 IP 地址 对源 IP 地址进行了审查,以了解它是属于受信任的内部机器还是未知设备。 IP 地址 `192.168.1.45` 预期不应访问目标系统。这使得该活动显得可疑。 ### 第 6 步:审查登录后的用户活动 在成功登录之后,分析师检查了是否存在任何可疑操作。 审查了以下项目: * 新进程创建 * PowerShell 使用情况 * 新用户创建 * 文件访问活动 * 远程连接活动 * 防病毒告警 在本次实验中未确认有重大的恶意操作,但在多次失败后的成功登录仍被视为可疑。 ## 检测逻辑 可以使用以下简单逻辑触发此告警: ``` If one source IP generates more than 5 failed login attempts against the same user account within 5 minutes, generate a medium-severity brute force alert. ``` 如果在多次失败后发生成功登录,则应提高严重程度。 ``` If multiple failed login attempts are followed by a successful login from the same source IP, Raise the alert severity to high. ``` ## MITRE ATT&CK 映射 | 战术 | 技术 | 解释 | | ----------------- | -------------- | ------------------------------------------------------------- | | 凭证访问 | 暴力破解 | 攻击者尝试了多个密码 | | 初始访问 | 有效账户 | 成功登录可能意味着攻击者使用了有效账户 | | 防御规避 | 有效账户 | 有效账户可以使攻击者的活动看起来正常 | ## 攻陷指标 | IOC 类型 | 值 | | ---------------------- | ------------ | | 源 IP | 192.168.1.45 | | 目标用户 | testuser | | 失败登录 Event | 4625 | | 成功登录 Event | 4624 | | 登录类型 | 3 | ## 分析师发现 调查发现,用户账户 `testuser` 收到了来自同一源 IP 地址的多次失败登录尝试。在这些失败的尝试之后,还观察到了一次成功的登录。 这种模式非常可疑,因为它可能表明攻击者猜到了正确的密码。尽管在登录后未确认有重大的恶意操作,但该事件不应被忽视。 该告警应被升级以作进一步审查。 ## 建议操作 建议采取以下操作: 1. 临时禁用或锁定受影响的用户账户。 2. 强制重置目标账户的密码。 3. 检查源 IP 是否属于受信任的设备。 4. 审查受影响账户的近期活动。 5. 启用多因素身份验证。 6. 如果源 IP 不受信任,则将其封锁。 7. 审查其他系统是否存在类似的登录尝试。 8. 检查同一账户是否在其他机器上被使用过。 9. 教育用户使用强密码。 10. 针对失败和成功登录模式创建更强的检测规则。 ## 遏制计划 如果此告警出现在真实的 SOC 环境中,分析师应首先确认该登录尝试是否是预期内的。如果不是,则应锁定账户或强制重置密码。 应检查源 IP。如果未知或可疑,应在调查完成前阻止其网络访问。 如果确认登录成功,分析师应审查用户在登录后的活动,以检查是否有进一步被攻陷的迹象。 ## 经验教训 本案例研究表明,不应单独审查失败的登录尝试。SOC 分析师还应检查在反复失败后是否发生了成功的登录。 当攻击者使用有效账户获得访问权限时,暴力破解攻击会变得更加严重。这就是为什么失败和成功登录事件之间的关联非常重要的原因。 该项目还展示了 Windows Event ID 4625 和 4624 在基础 SOC 调查中的价值。 ## 展示的技能 本项目展示了以下 SOC 技能: * Windows 日志分析 * 失败登录调查 * 暴力破解检测 * 告警分类 * IOC 收集 * MITRE ATT&CK 映射 * 事件记录 * 基础遏制计划 * 安全报告 ## 结论 本案例研究中观察到的活动符合可能的暴力破解登录尝试。反复失败的登录尝试以及随后的一次成功登录使该事件显得可疑。 SOC 分析师应升级此案例,重置受影响的密码,审查用户活动,并确认源 IP 是否受信任。 本案例研究帮助建立了一种实践理解,即基于登录的攻击是如何出现在 Windows 日志中的,以及 SOC Level 1 分析师可以如何对其进行调查。
标签:AI合规, 安全案例分析, 安全运营, 库, 应急响应, 扫描框架, 教育培训, 红队行动