Skip to content
/ MITRE-Attack-Simulation-Lab Public

Simulasi dan deteksi serangan Full-Chain (Execution, Persistence, Privilege Escalation, C2) menggunakan Splunk Enterprise dan Sysmon berdasarkan framework MITRE ATT&CK

License

MIT license
0 stars 0 forks Branches Tags Activity
Star
Notifications You must be signed in to change notification settings

indrikalis/MITRE-Attack-Simulation-Lab

BranchesTags

Folders and files

NameName
Last commit message
Last commit date

Latest commit

Β 

History

8 Commits
docs
docs
Β 
Β 
LICENSE
LICENSE
Β 
Β 
README.md
README.md
Β 
Β 

Repository files navigation

MITRE-Attack-Simulation-Lab

πŸ“Œ Overview

Project ini mendemonstrasikan simulasi dan deteksi serangan full-chain berdasarkan framework MITRE ATT&CK, yang mencakup fase Execution, Persistence, Privilege Escalation, dan Command & Control (C2).

Lab ini menggunakan Sysmon untuk mengumpulkan telemetry endpoint dan Splunk Enterprise sebagai platform analisis log dan deteksi ancaman.

Pendekatan dilakukan dari dua sisi:

  • Red Team β†’ simulasi serangan
  • Blue Team β†’ deteksi dan analisis forensik

🎯 Tujuan

  • Mensimulasikan teknik serangan nyata berdasarkan MITRE ATT&CK
  • Mengumpulkan log aktivitas sistem menggunakan Sysmon
  • Mendeteksi aktivitas berbahaya menggunakan query Splunk (SPL)
  • Mengkorelasikan event eksekusi proses dan koneksi jaringan
  • Memahami pola serangan dan strategi deteksi di lingkungan SOC

Topologi Jaringan

Topologi Jaringan Lab MITRE ATT&CK

πŸ§ͺ Lingkungan Lab

  • Windows 10 / 11 (Target)
  • Kali Linux (Attacker)
  • Splunk Enterprise (Windows)
  • Sysmon (Sysinternals)

🧩 Skenario Serangan yang Disimulasikan

πŸ”΄ Red Team (Simulasi Serangan)

  • Execution
    • T1059.001 – Command and Scripting Interpreter: PowerShell
  • Persistence
    • T1547.001 – Registry Run Keys / Startup Folder
  • Privilege Escalation
    • T1548.002 – Bypass User Account Control (fodhelper.exe)
  • Command & Control
    • Reverse Shell menggunakan .NET TCPClient

πŸ”΅ Blue Team (Deteksi & Analisis)

  • Monitoring pembuatan proses (Sysmon Event ID 1)
  • Analisis koneksi jaringan (Sysmon Event ID 3)
  • Analisis hubungan Parent–Child Process
  • Inspeksi argumen command-line PowerShell
  • Korelasi antara event eksekusi dan aktivitas jaringan keluar

πŸ›  Tools yang Digunakan

  • Splunk Enterprise
  • Sysmon
  • Kali Linux
  • Netcat
  • PowerShell
  • MITRE ATT&CK Framework

πŸ“‚ Dokumentasi

🧠 Temuan Utama

  • Serangan berbasis PowerShell memungkinkan fileless execution
  • Persistence melalui registry memberikan akses berkelanjutan secara tersembunyi
  • Teknik UAC Bypass menggunakan fodhelper.exe memungkinkan eskalasi hak akses tanpa menampilkan prompt UAC
  • Korelasi Sysmon Event ID 1 dan Event ID 3 sangat krusial dalam deteksi
  • Koneksi keluar pada port non-standar merupakan indikator kompromi (IoC)

πŸ›‘ Rekomendasi Mitigasi

  • Mengaktifkan PowerShell Script Block Logging
  • Menerapkan AppLocker atau Windows Defender Application Control (WDAC)
  • Monitoring registry autorun secara berkala
  • Pembatasan koneksi jaringan keluar (egress filtering)
  • Membuat alert Splunk untuk aktivitas PowerShell yang mencurigakan

⚠ Disclaimer

Project ini dibuat khusus untuk tujuan edukasi dan lab yang terkontrol. Seluruh simulasi serangan dilakukan pada lingkungan yang memiliki izin. Dilarang menggunakan teknik ini pada sistem tanpa otorisasi resmi.

License GitHub Repo Size

About

Simulasi dan deteksi serangan Full-Chain (Execution, Persistence, Privilege Escalation, C2) menggunakan Splunk Enterprise dan Sysmon berdasarkan framework MITRE ATT&CK

Resources

Readme

License

MIT license
Activity

Stars

0 stars

Watchers

0 watching

Forks

0 forks
Report repository

Releases

No releases published

Packages

No packages published