正文

Wazuh监视恶意命令执行

admin
admin V管理员 /0 评论 /10 阅读
0428
文章最后更新时间2025年04月28日,若文章内容或图片失效,请留言反馈!
点击蓝字,关注我

1.简介

1.1 功能简介

Auditd 是 Linux 系统原生的审计实用程序。它用于 Linux 终结点中的记账操作和更改。

在 Ubuntu 端点上配置 Auditd,以考虑给定用户执行的所有命令。这包括用户在模式下或更改为 root 用户后运行的命令。您可以配置自定义 Wazuh 规则以对可疑命令发出警报。

1.2 测试环境

端点

描述

Ubuntu 22.04

配置 Auditd 以监视恶意命令的执行。然后,利用 Wazuh CDB 列表查找功能创建可在其上运行的潜在恶意命令列表。

2.Linux环境配置

2.1Ubuntu配置

1)安装并启用audit

sudo apt -y install auditd
sudo systemctl start auditd
sudo systemctl enable auditd

2)添加审核规则

echo "-a exit,always -F auid=1000 -F egid!=994 -F auid!=-1 -F arch=b32 -S execve -k audit-wazuh-c" >> /etc/audit/audit.rules
echo "-a exit,always -F auid=1000 -F egid!=994 -F auid!=-1 -F arch=b64 -S execve -k audit-wazuh-c" >> /etc/audit/audit.rules

3)重新加载规则

sudo auditctl -R /etc/audit/audit.rules
sudo auditctl -l

4)配置audit日志读取

配置Wazuh代理文件,允许Wazuh代理读取auditd日志文件

<localfile>
  <log_format>audit</log_format>
  <location>/var/log/audit/audit.log</location>
</localfile>

5)重启代理服务

sudo systemctl restart wazuh-agent

2.2Wazuh服务器配置

1)查看配置的查找文件中的键值对

cat /var/ossec/etc/lists/audit-keys

2)创建CDB列表

ncat:yellow
nc:red
tcpdump:orange

修改文件权限

chown wazuh:wazuh /var/ossec/etc/lists/suspicious-programs
chmod 660 /var/ossec/etc/lists/suspicious-programs

3)添加CDB列表到配置文件中

<list>etc/lists/suspicious-programs</list>

4)创建高危规则

创建一个高严重性规则,以便在执行“红色”程序时触发

<group name="audit">
  <rule id="100210" level="12">
      <if_sid>80792</if_sid>
  <list field="audit.command" lookup="match_key_value" check_value="red">etc/lists/suspicious-programs</list>
    <description>Audit: Highly Suspicious Command executed: $(audit.exe)</description>
      <group>audit_command,</group>
  </rule>
</group>

5)重启wazuh服务

echo "-a exit,always -F auid=1000 -F egid!=994 -F auid!=-1 -F arch=b32 -S execve -k audit-wazuh-c" >> /etc/audit/audit.rules
echo "-a exit,always -F auid=1000 -F egid!=994 -F auid!=-1 -F arch=b64 -S execve -k audit-wazuh-c" >> /etc/audit/audit.rules0

2.3攻击测试

1)安装NC

echo "-a exit,always -F auid=1000 -F egid!=994 -F auid!=-1 -F arch=b32 -S execve -k audit-wazuh-c" >> /etc/audit/audit.rules
echo "-a exit,always -F auid=1000 -F egid!=994 -F auid!=-1 -F arch=b64 -S execve -k audit-wazuh-c" >> /etc/audit/audit.rules1

2.4告警查看

1)查看audit日志

echo "-a exit,always -F auid=1000 -F egid!=994 -F auid!=-1 -F arch=b32 -S execve -k audit-wazuh-c" >> /etc/audit/audit.rules
echo "-a exit,always -F auid=1000 -F egid!=994 -F auid!=-1 -F arch=b64 -S execve -k audit-wazuh-c" >> /etc/audit/audit.rules2

2)查看告警

查询语句:data.audit.command:nc

END
信息安全

关注小助理微信

一起入群成长交流


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下网