1.简介
1.1 功能简介
Wazuh命令监视功能在端点上运行命令并监视命令的输出,在此用例中,使用Wazuh命令监控功能来检测Netcat何时在 Ubuntu端点上运行。Netcat是用于端口扫描和端口侦听的计算机网络实用程序。
1.2 测试环境
|
端点 |
描述 |
|
Ubuntu 22.04 |
此端点上配置 Wazuh 命令监视模块以检测正在运行的 Netcat 进程 |
2.环境配置
2.1Ubuntu配置
1)配置进程监控
<ossec_config>
<localfile>
<log_format>full_command</log_format>
<alias>process list</alias>
<command>ps -e -o pid,uname,command</command>
<frequency>30</frequency>
</localfile>
</ossec_config>
2)重启服务
sudo systemctl restart wazuh-agent3)安装测试工具
sudo apt install ncat nmap -y
2.2Wazuh服务配置
1)配置监控规则
创建每次启动Netcat程序时触发的规则
<group name="ossec,">
<rule id="100050" level="0">
<if_sid>530</if_sid>
<match>^ossec: output: 'process list'</match>
<description>List of running processes.</description>
<group>process_monitor,</group>
</rule>
<rule id="100051" level="7" ignore="900">
<if_sid>100050</if_sid>
<match>nc -nlv</match>
<description>netcat listening for incoming connections.</description>
<group>process_monitor,</group>
</rule>
</group>
2)重启服务
sudo systemctl restart wazuh-manager2.3.攻击验证
1)开启NC监听服务
在Ubuntu服务器上,运行30秒
nc -nlv 88883.告警查看
3.1基于告警ID查询事件
告警事件查询ID: rule.id:(100051)
在事件详情中可以看到执行的NC命令已经被监控到
原文始发于微信公众号(安全孺子牛):Wazuh检测未经授权的进程
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论