Документую свою домашню лабораторію для виявлення загроз

Після того, як я отримав роль в ІТ, я почав свій шлях у кібербезпеці, і зараз уже маю чотири місяці досвіду. На початку року я вирішив здобути сертифікат Comptia CYSA+ і для цього вирішив побудувати власну домашню лабораторію. Я вирішив документувати свій прогрес, щоб покращити своє розуміння і додати це до свого резюме.

День 1

Налаштування

Я вибрав VirtualBox для створення лабораторії, оскільки вже мав досвід роботи з ним завдяки курсу 2024 року.

pic

Встановлення Windows

Мені вдалося налаштувати середовище Windows 10, і тепер я починаю налаштовувати Kali Linux.

pic

pic

pic

Під час налаштування Windows 10 у VirtualBox я стикався з проблемами масштабу. Мені довелося кілька разів коригувати налаштування, щоб все вийшло.

Після того, як я потрапив у середовище Windows 10, я перейшов до "Devices" у VirtualBox > "Insert Guest Additions CD image" > відкрив "File Explorer" > "This PC" > відкрив "CD Drive (D:)" > VirtualBox Guest Additions > і запустив "VboxWindowsAddition-amd64".

Після перезавантаження я у VirtualBox вибрав "View" > "Adjust Window Size", і Windows 10 відразу відмасштабувалась правильно.

Налаштування мережі

У налаштуваннях мережі VirtualBox:

  • NAT — надає доступ до інтернету
  • Internal Network — дозволяє віртуальним машинам (VM) спілкуватися між собою, але не з хостом (добре для аналізу шкідливих програм).

Я вибрав "Internal Network" і створив мережу під назвою XpLab.

pic

pic

Після налаштування мережі я статично призначив IP-адреси для Kali та Windows VM, щоб вони могли взаємодіяти.

Кроки для налаштування статичної IP-адреси на Windows:

  1. Відкрити "Network & Internet Settings" > "Change adapter options" > клацнути правою кнопкою на "Ethernet" > вибрати "Internet Protocol Version 4 (TCP/IPv4)" > "Properties" > "Use the following IP address".

pic

Після вибору IP-адреси я перевірив налаштування через командний рядок, використовуючи команду "ipconfig /all".

pic

Кроки для налаштування статичної IP-адреси на Kali:

  1. Клацнути правою кнопкою на Ethernet > "Edit Connections" > "Wired Connection 1" > вибрати значок шестерні > "IPv4 Settings" > змінити "Automatic (DHCP)" на "Manual" > вибрати "Add" > ввести необхідні дані та натискати "Save".

pic

pic

Після того, як я налаштував IP-адреси на обох машинах, я перевірив з'єднання.

Ping з Kali на Windows 10 успішно пройшов.

pic

Ping з Windows 10 на Kali також був успішним.

pic

Встановлення Splunk і Sysmon

Тепер, коли з'єднання підтверджено, я можу почати створювати телеметрію для виявлення зловмисників на своїй цільовій машині.

Почну з встановлення Splunk на Windows 10:

(Я не міг зрозуміти, як підключити Windows 10 до інтернету. Після деяких досліджень з'ясував, що проблема була в налаштуваннях мережі, що залишалися на Internal Network.)

Для тимчасового отримання доступу до інтернету я змінив мережеві налаштування на NAT:

  1. Змінити мережеві налаштування Windows на NAT.
  2. Відкрити настройки мережі, де ви вручну призначили IP, і змінити його на автоматичне.
  3. Після цього ви повинні мати доступ до інтернету.
  4. Встановити і налаштувати Sysmon та Splunk, а потім повернути IP та мережеві налаштування назад.

Це зайняло майже 20 хвилин, але Splunk нарешті встановився.

pic

pic

Встановлення Sysmon:

pic

pic

Сканування з Nmap

Тепер, коли я встановив Splunk і Sysmon на Windows 10, я повернув мережеві налаштування до Internal Network і знову налаштував статичний IP.

На Kali я запустив команду nmap -h для отримання списку команд, після чого запустив nmap -A 192.168.20.10 -Pn для сканування Windows машини.

Примітки:

-A = агресивне сканування, що намагається визначити версію ОС, версії служб і інші основні скрипти для всіх відкритих портів.

-Pn = пропускає виявлення хоста і відразу починає сканування портів.

Після першого сканування я отримав повідомлення "Not shown: 1000 filtered tcp ports (no-response)", ймовірно, через активність Windows Defender.

pic

Я вимкнув Windows Defender і повторно запустив сканування.

pic

Після цього я дізнався багато нової інформації про свою Windows машину:

  • 995 TCP портів закриті.
  • Порт 135 відкритий, що використовуваний для RPC.
  • Порт 139 відкритий для NetBIOS.
  • Порт 445 відкритий для SMB.
  • Порти 135, 139 та 445 є небезпечними.
  • Порт 8000 відкритий для HTTP і Splunk.

Порт 3389 (RDP) не відкритий. Я дізнався, як відкрити порт через брандмауер, але він не з'явився в результатах сканування. Після досліджень я зрозумів, що навіть відкривши порт, я не налаштував службу для його використання.

Помилка користувача…

Під час досліджень я дізнався, що коли порт відкритий, але служба не слухає його, ОС не знає, що робити з трафіком, і nmap вважає порт закритим.

Я налаштував віддалений робочий стіл і перевірив, що служба RDP слухає порт 3389, використовуючи команду netstat:

netstat -an | findstr LISTEN | findstr :3389

Вона слухала.

pic

Я знову запустив команду nmap -A 192.168.20.10 -Pn і тепер бачу, що TCP порт 3389 відкритий.

pic

Завтра я хочу створити шкідливе ПЗ за допомогою Metasploit і налаштувати телеметрію між Kali і Windows машинами, а також використовувати Splunk для аналізу логів Sysmon.

Посилання:

https://youtu.be/-8X7Ay4YCoA?si=WBuRDmRxZl07SDYo

https://youtu.be/4fHOP3PxFw?si=lb6St4BG-B41-DP

https://youtu.be/t7_HWmHlYnU?si=jGFPIGZceUJQPtPn

https://youtu.be/8Ks5Yj4IQ3g?si=Fr4LHDInZU5FGxnQ

https://youtu.be/uJ7pv6blyog?si=P6G4pSA1pDRkazZL

https://youtu.be/5iafC6vj7kM?si=hwQrcIh0hSrbUgDO

https://youtu.be/kku0fVfksrk?si=zgKMxdfNNzuPx4aO

Перекладено з: Documenting my threat dectection home lab

Вам також може сподобатися

Oracle-розширене покоління: з’єднання ШІ з перевіреними даними в реальному часі
Завершуємо 2024 рік, зустрічаємо 2025: підйом DeepSeek V3 та майбутнє LLM.
C# ТА ОБ’ЄКТНО-ОРІЄНТОВАНЕ ПРОГРАМУВАННЯ (OOP)