Lux1dus/The-Vick-Teem-Incident

GitHub: Lux1dus/The-Vick-Teem-Incident

一个基于「假定失陷」模型的 DFIR 与威胁狩猎实战训练项目,通过模拟攻击与应急响应完整流程帮助安全分析师提升数字取证和事件响应能力。

Stars: 0 | Forks: 0

#### ⚠️ 免责声明 本项目是一个完全出于教育目的、网络安全研究以及在受控和授权环境中进行测试而开发的概念验证。对于因使用本项目中的技术而引起的任何滥用、损害或非法活动,作者不承担任何责任。
# 🛡️ Vick Teem 事件:全栈 DFIR 与威胁狩猎
Atomic Red Team Hayabusa CDIR-Collector Windows Event Logs Sysmon MITRE ATT&CK
## I. 背景与动机 ### 想法的起源 在真实的网络攻击中,仅仅拥有海量日志是远远不够的。诸如 **AiTM Phishing**、**Fileless Malware** 或滥用 **LOLBins**(Living-off-the-Land)等高级技术通常会留下非常微弱的痕迹,淹没在数以万计的合法操作系统事件中。如果没有适当的应急响应(IR)方法,SOC 分析师很容易发现自己是在“大海捞针”。 面对这些攻击技术日益复杂的现实,仅仅研究理论或拥有一个日志收集系统是不够的。这个项目诞生于不断渴望走出舒适区,将自己置身于真实安全事件的“风暴眼”中,以直接磨砺和提升我的 DFIR(数字取证与应急响应)技能。 与其扮演一个观察者的角色,不如手动重建犯罪现场并剖析每一个痕迹,这是我理解攻击者心态并掌握防御方法的最佳方式。 ### 项目目标 **Vick Teem 事件**项目不专注于创建新工具,而是作为一个培养实战思维的沙盒。核心目标包括: * 展示如何从初始访问到权限维持,设置真实的攻击技术。 * 以安全且非破坏性的方式练习取证收集。 * 使用高速日志分析工具 Hayabusa 磨砺“锚定 -> 追踪”(Anchor -> Pivot)的调查思维。 * 构建符合 **NIST Incident Response Lifecycle** 标准的专业 IR 报告。 ## II. 项目概述 本项目采用 **Assumed Breach** 模型,分为 2 个主要阶段: | 阶段 | 核心目标 | 描述 | | :---: | :--- | :--- | | **1** | **攻击模拟** | 使用 Atomic Red Team 框架模拟针对性的攻击链,在系统上生成真实的遥测数据。 | | **2** | **应急响应** | Blue Team 使用 CDIR-Collector 触发日志收集过程,使用 Hayabusa 进行分析,并重建 Kill-chain 以控制和消除威胁。 | ## III. 核心方法与文档 从 Red Team 的攻击到 Blue Team 的调查的整个过程,已详细记录在 `docs/` 目录中: 1. **[👉 阶段 1:攻击模拟](./docs/Attack_Simulation.md)** 记录了 Red Team 使用 TTPs(命令执行、发现、凭证转储、权限维持)创建入侵痕迹的场景。 2. **[👉 阶段 2:应急响应报告](./docs/Incident_Response.md)** 以调查专家(Blue Team)的视角撰写,报告了证据收集、锚点分析、时间线重建和直接响应措施(控制、根除、恢复)以及安全建议的完整过程。 ## IV. 当前局限性 与任何概念验证项目一样,与大规模企业环境相比,该模型仍存在一些局限性: | 局限性 | 技术原因 | 风险 / 后果 | | :--- | :--- | :--- | | **分析范围狭窄** | 项目仅专注于系统日志分析(Windows Event Logs / Sysmon / Registry)。 | 如果攻击者在内存深处使用隐蔽技术 或加密日志无法捕获的网络流量,会导致“盲点”。 | | **缺乏内存取证** | 缺少使用 Volatility 等专业工具提取和分析整个 RAM(Live RAM Forensics)的步骤。 | 可能会遗漏驻留在 RAM 中的解密密钥或恶意软件等有价值的信息。 | | **手动收集过程** | 使用 CDIR-Collector 在收到警报后仍然是一个手动触发的过程。 | 在现实中,横向移动攻击需要自动化的 EDR 工具来立即大规模隔离和收集日志。 | ## V. 未来路线图 为了将项目从 PoC 升级为更全面的 DFIR pipeline,规划了以下路线图: | 阶段 | 升级 | 技术描述 | 核心目标 | | :---: | :--- | :--- | :--- | | **3** | **网络取证** | 使用 Wireshark/Zeek 结合网络流量分析(PCAP)。 | 检测与攻击者的命令与控制(C2 Beacons)服务器的通信痕迹。 | | **4** | **内存取证** | 通过 Volatility 3 集成系统 RAM 转储与分析。 | 揭露完全隐藏在内存中的恶意注入进程。 | | **5** | **自动化 SOAR** | 将 SIEM 与 n8n 或 Shuffle 等平台连接,以自动化分析和主机隔离过程。 | 将平均响应时间(MTTR)从数小时优化至数秒。 | ## VI. 关键学习与概念 在完成本项目的攻防生命周期后,Blue Teamer / DFIR Analyst 的核心实战技能已得到巩固: | 领域 | 技能与实战经验 | | :--- | :--- | | **应急响应 (NIST)** | 清晰理解 4 个应急响应阶段的边界与目的。掌握了证据收集期间的核心**取证安全**(forensic-safe)原则(保护犯罪现场)。 | | **威胁狩猎与日志分析** | 熟练掌握 Triage -> Anchor -> Pivot 方法论。学会了如何利用 Hayabusa 和 Sigma 规则,将数万条混乱的 Event Viewer 日志转化为清晰的 Kill-chain。 | | **MITRE ATT&CK 映射** | 能够理解技术行为(例如 `procdump` 访问 `lsass.exe`),并准确地将它们映射到 MITRE 矩阵(T1003.001),以获得对攻击者操作的战略性视角。 | | **企业安全态势** | 理解为什么技术风险(如缺乏 MFA 导致 AiTM Phishing)会导致业务灾难(Ransomware、Data Breach),从而能够提出适当的强化建议。 |

本文档出于教育目的、技术研究以及社区知识共享而创建。

标签:PoC, 安全运营, 库, 应急响应, 扫描框架, 暴力破解, 网络安全, 隐私保护