Wazuh监视恶意命令执行
Wazuh监视恶意命令执行
原创 网络安全菜鸟 安全孺子牛 2025-04-28 00:33
点击蓝字,关注我
1.简介
1.1 功能简介
Auditd 是 Linux 系统原生的审计实用程序。它用于 Linux 终结点中的记账操作和更改。
在 Ubuntu 端点上配置 Auditd,以考虑给定用户执行的所有命令。这包括用户在模式下或更改为 root 用户后运行的命令。您可以配置自定义 Wazuh 规则以对可疑命令发出警报。
1.2 测试环境
|
端点 |
描述 |
|
Ubuntu 22.04 |
配置 Auditd 以监视恶意命令的执行。然后,利用 Wazuh CDB 列表查找功能创建可在其上运行的潜在恶意命令列表。 |
2.Linux环境配置
2.1Ubuntu配置
1)安装并启用audit
sudo apt -y install auditd
sudo systemctl start auditd
sudo systemctl enable auditd
2)添加审核规则
echo "-a exit,always -F auid=1000 -F egid!=994 -F auid!=-1 -F arch=b32 -S execve -k audit-wazuh-c" >> /etc/audit/audit.rules
echo "-a exit,always -F auid=1000 -F egid!=994 -F auid!=-1 -F arch=b64 -S execve -k audit-wazuh-c" >> /etc/audit/audit.rules
3)重新加载规则
sudo auditctl -R /etc/audit/audit.rules
sudo auditctl -l
4)配置audit日志读取
配置Wazuh代理文件,允许Wazuh代理读取auditd日志文件
<localfile>
<log_format>audit</log_format>
<location>/var/log/audit/audit.log</location>
</localfile>
5)重启代理服务
sudo systemctl restart wazuh-agent
2.2Wazuh服务器配置
1)查看配置的查找文件中的键值对
cat /var/ossec/etc/lists/audit-keys
2)创建CDB列表
ncat:yellow
nc:red
tcpdump:orange
修改文件权限
chown wazuh:wazuh /var/ossec/etc/lists/suspicious-programs
chmod 660 /var/ossec/etc/lists/suspicious-programs
3)添加CDB列表到配置文件中
<list>etc/lists/suspicious-programs</list>
4)创建高危规则
创建一个高严重性规则,以便在执行“红色”程序时触发
<group name="audit">
<rule id="100210" level="12">
<if_sid>80792</if_sid>
<list field="audit.command" lookup="match_key_value" check_value="red">etc/lists/suspicious-programs</list>
<description>Audit: Highly Suspicious Command executed: $(audit.exe)</description>
<group>audit_command,</group>
</rule>
</group>
5)重启wazuh服务
sudo systemctl restart wazuh-manager
2.3攻击测试
1)安装NC
sudo apt -y install netcat
nc -v
2.4告警查看
1)查看audit日志
more /var/log/audit/audit.log | grep nc
2)查看告警
查询语句:data.audit.command:nc
END
信息安全
关注小助理微信
一起入群成长交流