😛
安全运营指南
  • 序言
  • 1 序言
    • 1.1 简介
  • 10 主动防御
    • 10 主动防御
  • 11 安全审计
    • audit
    • osquery
    • sysmon
  • 12 告警手段
    • ESalert告警
    • wazuh邮件告警
    • 自定义告警
  • 13 指标可视化
    • grafana
    • kibana
    • splunk
  • 14 SIEM框架
    • clickhouse
    • splunk
  • 15 nids
    • suricata
  • 16 SIEM集成虚拟机
    • misp
    • ossim
    • selks
    • siemonster
    • wazuh
  • 2 wazuh安装配置
    • 2.1 系统架构
    • 2.2 wazuh管理端安装
      • 2.2.1 Centos 7安装
      • 2.2.2 Ubuntu 18.04安装
    • 2.3 wazuh代理端安装
      • 2.3.3 Windows安装
      • 2.3.1 Centos 7安装
      • 2.3.2 Ubuntu 18.04安装
    • 2.4 管理端与代理端通信
      • 2.4.1 LINUX系统通信
      • 2.4.2 Windows系统通信
    • 2.5 puppet批量部署
      • 2.5.1 puppet server安装
      • 2.5.2 wazuh管理端安装
      • 2.5.3 Ubuntu代理端安装
      • 2.5.4 Windows代理端安装
      • 2.5.5 wazuh参数
    • 2.6 ansible批量部署
      • 2.6.1 ansible Linux 安装
      • 2.6.2 ansible windows安装
      • 2.6.3 wazuh参数
    • 2.7 无状态代理
  • 3 日志收集安装配置
    • 3.1 代理端收集日志
      • Linux日志收集
      • windows日志收集
      • 日志收集安装配置
      • 远程日志收集
    • 3.2 EL(F)K安装配置
      • 3.2.4 Logstash
      • 3.2.5 es集群
      • elasticsearch
      • filebeat
      • kibana
    • 3.3 EL(F)K安装配置(开源)
    • 3.4 splunk安装配置
      • 3.3.1 splunk server
      • 3.3.2 splunk wazuh app
      • 3.3.3 splunk forward
    • 3.5 ELK鉴权机制
      • 3.5.1 HTTP认证
      • 3.5.2 HTTPS认证
    • 3.6 wazuh鉴权机制
      • 3.6.1 管理端与代理端通信
      • 3.6.2 wazuhAPI认证
    • 3.7 syslog导出
  • 4 wazuh共享和集群
    • 4.1 wazuh共享
    • 4.2 wazuh集群
  • 5 文件完整性监控
    • 5.1 功能描述
    • 5.2 实战操作
  • 6 异常和恶意软件检测
    • clamav检测
    • VirusTotal检测
    • 本地规则检测
  • 7 安全基线检测
    • 7.1 安全基线简介
    • 7.2 SCA
    • 7.3 openscap
  • 8 命令内容监控
    • 8.1 命令内容监控
  • 9 主机安全漏洞检测
    • 9.1 配置漏洞扫描
由 GitBook 提供支持
在本页

这有帮助吗?

  1. 6 异常和恶意软件检测

本地规则检测

自从wazuh的3.9.0版本开始,rootcheck集成到SCA(安全基线配置),原则上说,现在rootcheck从木马检测这一块变成安全基线扫描,倾向于木马病毒检测的方向直接偏移到安全基线扫描。为什么会这么说呢?在下面rootcheck配置文件,可以看到它的检测规则文件是基于rootkit_files.txt和rootkit_trojans.txt进行匹配告警,但是可以发现这两个文件的内容是已经过时的,作为攻防对抗,就是需要与时俱进,总不能拿着过时技术去检测新的技术。

作为科普,我还是会说一下它的运行机制,以及实际效果,不建议生产使用,检测到一个文件异常就会持续生成日志,误报生成的日志非常多。

在centos代理端配置文件,会有rootcheck默认的配置,一般来说,不用修改这部分配置文件,因为已经配置完成的,不需要做额外修改。

  <rootcheck>
    <disabled>no</disabled>
    <check_files>yes</check_files>
    <check_trojans>yes</check_trojans>
    <check_dev>yes</check_dev>
    <check_sys>yes</check_sys>
    <check_pids>yes</check_pids>
    <check_ports>yes</check_ports>
    <check_if>yes</check_if>

    <!-- Frequency that rootcheck is executed - every 12 hours -->
    <frequency>43200</frequency>

    <rootkit_files>/var/ossec/etc/shared/rootkit_files.txt</rootkit_files>
    <rootkit_trojans>/var/ossec/etc/shared/rootkit_trojans.txt</rootkit_trojans>

    <skip_nfs>yes</skip_nfs>
  </rootcheck>

查看这两个文件的特征库,可以看到是特征库内容不多并且很多都是已经过时的。

为了测试效果,将检测频率修改为30秒,以及快速检测到出现问题。

使用echo命令在/dev目录生成一个隐藏文件,在Linux系统(.)代表隐藏文件,所以rootcheck会觉得有问题,就会进行告警。

[root@wazuh-centos-agent ~]# echo "test" > /dev/.test

在管理端收集告警日志,在full_log字符看到描述说是可能是隐藏文件。

下图可以看到,这是我之前使用蜜罐系统捕捉到互联网的恶意脚本,执行这些恶意脚本测试一下rootcheck检测效果是怎样的。

批量运行脚本:

import os
for root, dirs, files in os.walk("/opt/Legacy-of-intrusion-master/files", topdown=False):
    for name in files:
        print("run {}".format(name))
        os.system('cd '+root+' && ./'+name)

恶意脚本运行了一段时间之后,rootcheck并没有检测到恶意脚本的行为,相反audit还检测到一些执行操作,这一块检测到后面章节说到。

上一页VirusTotal检测下一页7.1 安全基线简介

最后更新于1年前

这有帮助吗?