UnknownPERSON06660/SOC-Lab-Malware-Incident-Response
GitHub: UnknownPERSON06660/SOC-Lab-Malware-Incident-Response
该项目在隔离实验室中使用 pfSense、Suricata IDS 和 Wazuh SIEM 演示恶意软件检测与基于 NIST 框架的完整事件响应流程。
Stars: 0 | Forks: 0
# 使用 pfSense、Suricata IDS 和 Wazuh SIEM 的恶意软件检测与事件响应实验室
## 概述
本项目演示了在虚拟安全运营中心 (SOC) 实验室中检测、分析和响应恶意软件事件的完整生命周期。
该实验室旨在模拟一个小型企业网络,受 pfSense Firewall 保护,由 Suricata 入侵检测系统 (IDS) 监控,并使用 Wazuh 安全信息与事件管理 (SIEM) 平台进行集中监控。
在隔离环境中,一台 Windows 10 虚拟机被故意感染了从 theZoo 恶意软件仓库获取的 Zeus Banking Trojan 样本。通过收集网络活动、端点事件和防火墙日志,对事件进行调查,并按照 NIST SP 800-61 事件响应生命周期执行完整的事件响应流程。
# 目标
- 使用开源技术构建功能完善的 SOC 实验室。
- 使用 Suricata IDS 检测恶意软件。
- 使用 Wazuh SIEM 监控端点活动。
- 关联网络和端点事件。
- 执行完整的事件响应流程。
- 收集失陷标据 (IOC)。
- 识别攻击标据 (IOA)。
- 编写专业的技术文档和事件响应报告。
# 实验室架构
该实验室由以下虚拟机组成:
| 机器 | 用途 |
|----------|---------|
| pfSense | 防火墙与网络网关 |
| Suricata | 网络入侵检测系统 |
| Wazuh Manager | 安全信息与事件管理 |
| Kali Linux | SOC 分析师工作站 |
| Windows 10 | 受害端点 |
### 网络拓扑
# 使用的技术
- Oracle VirtualBox
- pfSense Community Edition
- Suricata IDS
- Wazuh SIEM
- Windows 10
- Kali Linux
- NIST SP 800-61 Incident Response 框架
- Emerging Threats Open 规则
- SHA256 哈希验证
# 恶意软件样本
| 项目 | 值 |
|------|-------|
| 恶意软件家族 | Zeus Banking Trojan |
| 来源 | theZoo 恶意软件仓库 |
| 验证 | SHA256 哈希 |
该恶意软件样本仅在隔离的实验室环境中执行,用于教育和防御性安全目的。
# 检测工作流
1. 恶意软件下载至 Windows 端点。
2. 验证 SHA256 哈希。
3. 执行恶意软件。
4. Suricata 检测到可疑网络活动。
5. Wazuh 收集端点事件。
6. 关联安全事件。
7. 确认安全事件。
8. 启动事件响应。
# 事件响应生命周期
该事件的处理使用了 **NIST SP 800-61 Revision 2** 框架。
### 检测与分析
- Suricata 生成了高优先级的入侵警报。
- Wazuh 收集了端点遥测数据。
- 识别了 IOC 和 IOA。
- 分析了恶意软件行为。
### 遏制
- 使用 pfSense 防火墙隔离受感染端点。
- 阻断出站通信。
- 保留防火墙日志用于取证分析。
### 根除
- 移除恶意可执行文件。
- 删除恶意软件存档。
- 验证系统是否已清除恶意产物。
### 恢复
- 解除防火墙隔离。
- 恢复网络连接。
- 监控环境是否存在其他恶意活动。
### 经验教训
- 纵深防御的重要性。
- 网络监控与端点监控相辅相成。
- 在修复前应始终保留证据。
- 遵循结构化的事件响应方法论可提升调查质量。
# 失陷标据 (IOC)
调查期间收集的示例包括:
- 恶意软件文件名
- SHA256 哈希
- 受害者 IP 地址
- Suricata 警报
- Wazuh 事件
# 攻击标据 (IOA)
观察到的恶意行为包括:
- 恶意软件执行
- 可疑的出站通信
- IDS 特征检测
- 端点活动关联
- 端点隔离
# 项目结构
```
Documentation/
Incident Response Report/
IOC_IOA/
Hashes/
Network Topology/
Screenshots/
README.md
LICENSE
```
# 仓库内容
- 技术文档
- 事件响应报告
- 网络拓扑
- 调查截图
- IOC 和 IOA 分析
- 恶意软件哈希验证
# 展示的技能
- SOC 运营
- 事件响应
- 恶意软件分析
- 网络安全
- 防火墙配置
- 入侵检测
- SIEM 监控
- 日志分析
- 威胁狩猎
- IOC 分析
- IOA 分析
- Windows 端点监控
- Linux 管理
# 未来改进
- 将 Suricata 配置为 IPS 模式。
- 集成 VirusTotal 查询。
- 添加 Sigma 规则检测。
- 实现 YARA 扫描。
- 使用 Wazuh Active Response 自动化事件响应。
- 集成 MISP 用于威胁情报。
# 参考资料
- NIST SP 800-61 Revision 2 – Computer Security Incident Handling Guide
- Wazuh 文档
- Suricata 文档
- pfSense 文档
- Emerging Threats Open 规则
- theZoo 恶意软件仓库
# 免责声明
本项目完全在隔离的虚拟实验室内进行,仅用于教育和防御性网络安全目的。未对公共系统或生产环境执行任何恶意活动。执行该恶意软件样本 solely 目的仅是为了理解检测、监控和事件响应技术。
标签:BurpSuite集成, CIDR输入, DAST, IP 地址批量处理, Suricata, Wazuh, 安全运营中心(SOC), 库, 应急响应, 恶意软件分析, 现代安全运营, 自定义DNS解析器