MdSerfraz/SOC-Triage-Portfolio

GitHub: MdSerfraz/SOC-Triage-Portfolio

一个网络取证与应急响应实战报告作品集,记录了多个真实恶意软件入侵场景下从流量分析、C2 追踪到端点隔离的完整调查与处置流程。

Stars: 0 | Forks: 0

# SOC Triage 作品集 此仓库托管了从实时数据包捕获 (PCAPs) 中整理出的已验证网络取证调查日志和分诊报告。每个工件都详细说明了在响应生命周期中应用的具体指标特征、传输层跟踪和遏制工作流。 ## 取证案例索引 ### 案例 01:NetSupport RAT 系统入侵 - 受影响端点:10.2.28.88 - C2 目标:45.131.214.85 (端口 443) - 摘要:检测到滥用原生 Windows 后台智能传输服务 (User-Agent: Microsoft BITS/7.8) 执行未经授权的持久化例程,以在伪装的更新路径下检索二进制块。应用层流跟踪发现了针对 /fakeurl.htm 的持续自动化 HTTP POST 信标。 - 修复:对目标外部基础设施执行了边界网关黑洞路由,强制执行了逻辑网络 VLAN 隔离,并通过主机执行控制器触发了远程进程终止钩子。 ### 案例 02:Lumma Info-Stealer 执行追踪 - 受影响端点:10.1.21.58 (DESKTOP-ES9F3ML) - C2 目标:whitepepper.su (nginx/1.29.1) - 摘要:对一个经验证的凭证收集器框架进行了分诊,该框架利用伪造的 Google Chrome 标头来掩盖恶意流量层。TCP 会话跟踪隔离了查询系统维度的入站 JavaScript 主机探测器,随后通过 POST 命令向 /api/set_agent 进行了加密的 form-urlencoded 数据外泄。通过 Kerberos 身份验证审计分离出了用户标识符 gwyatt。 - 修复:为恶意顶级域名基础设施配置了边界域名丢弃约束,执行了集中式目录 token 失效以强制重置凭证,并启动了易失性主机内存清理。 ### 案例 03:Interlock 勒索软件后门分诊 - 受影响端点:10.6.13.133 (DESKTOP-5AVE44C) - C2 目标:windows-msgas.com (端口 80) - 摘要:追踪了针对恶意域名的异常出站 Web 序列,该域名注册伪装为合法的本地消息实用程序。通过本地网段重建了目录验证流量,从而从未加密的 Kerberos CName token 中提取了明确的受损员工账户用户名 rgaines。 - 修复:部署了严格的边界出站丢弃阻止,在核心 Active Directory 结构中制定了账户冻结例程,并执行了主机隔离规则以保护相邻子网主机。 ## 核心防御能力 - 流量取证分析:Wireshark 内的数据包解析、协议树审计、应用层流提取及自定义显示过滤器。 - 生命周期事件响应:远程进程编排、主机网络遏制和身份访问 token 失效剧本。 - 基础设施强化:威胁遥测狩猎、端点注册表清理和安全日志解析。
标签:HTTP, HTTP工具, IP 地址批量处理, Terraform 安全, 事件取证, 安全运营中心 (SOC), 库, 应急响应, 网络信息收集, 网络安全, 网络流量分析, 隐私保护