Wazuh检测隐藏进程

1.1 功能简介

rootkit隐藏在内核模块列表中，还可以隐藏在应用程序的进程中，Wazuh使用rootcheck和系统调用来检测它。本案例中通过Wazuh 检测Linux端点上的rootkit创建的隐藏进程。

1.2 测试环境

2.Linux环境配置

2.1Ubuntu配置

1）切换成root并更新内核

sudo su
apt update

2）安装rootkit环境包

apt -y install gcc git

3）配置rootkit扫描周期

默认扫描周期为12个小时，调整扫描周期为2分钟一次。

<frequency>120</frequency>

4）重启wazuh代理服务

systemctl restart wazuh-agent

2.2攻击测试

1）获取Diamorphine源码

git clone https://github.com/m0nad/Diamorphine

2）编译代码

cd Diamorphine
make

3）加载内核模块

insmod diamorphine.ko
lsmod | grep diamorphine

4）取消隐藏 Diamorphine rootkit

默认情况下，Diamorphine会隐藏自身，因此我们无法通过运行命令来检测到它，可以通过Ubuntu 端点上运行的随机进程的 PID 运行终止信号。

lsmod | grep diamorphine
kill -63 509
lsmod | grep diamorphine

5）隐藏或取消隐藏进程

查看rsyslogd的进程ID

ps auxw | grep rsyslogd | grep -v grep

使用kill -31指令指定进程ID即可隐藏该进程

kill -31 913
ps auxw | grep rsyslogd | grep -v grep

再次使用该命令即可恢复进程隐藏

2.3警报查看

通过查询语法可以看到提示有内核rootkit检测，查询语法：rule.groups:rootcheck