Wazuh Verdächtige Binärdateien erkennen - Versionsgeschichte

Thomas.will: /* Warnungen visualisieren */

2025-03-11T18:53:43Z

Warnungen visualisieren

Thomas.will: /* Original-Binärdatei durch bösartigen Code ersetzen */

2025-01-30T10:49:24Z

Original-Binärdatei durch bösartigen Code ersetzen

Thomas.will: /* Original-Binärdatei durch bösartigen Code ersetzen */

2025-01-30T10:49:11Z

Original-Binärdatei durch bösartigen Code ersetzen

Thomas.will: /* Kopie der Original-Binärdatei erstellen */

2025-01-30T10:47:35Z

Kopie der Original-Binärdatei erstellen

Thomas.will: Die Seite wurde neu angelegt: „==== Verdächtige Binärdateien erkennen ==== Wazuh verfügt über Anomalie- und Malware-Erkennungsfunktionen, die verdächtige Binärdateien auf einem Endpun…“

2025-01-30T10:46:52Z

Die Seite wurde neu angelegt: „==== Verdächtige Binärdateien erkennen ==== Wazuh verfügt über Anomalie- und Malware-Erkennungsfunktionen, die verdächtige Binärdateien auf einem Endpun…“

Neue Seite

==== Verdächtige Binärdateien erkennen ====

Wazuh verfügt über Anomalie- und Malware-Erkennungsfunktionen, die verdächtige Binärdateien auf einem Endpunkt erkennen. Binärdateien sind ausführbarer Code, der zur Automatisierung von Aufgaben geschrieben wurde. Bösartige Akteure nutzen sie häufig für Exploits, um unentdeckt zu bleiben.

In diesem Anwendungsfall wird gezeigt, wie das Wazuh-Rootcheck-Modul eine Trojanisierte Systembinärdatei auf einem Ubuntu-Endpunkt erkennt. Dabei wird die legitime Binärdatei durch bösartigen Code ersetzt, um das System dazu zu bringen, diese als legitime Datei auszuführen.

Das Wazuh-Rootcheck-Modul prüft zudem auf versteckte Prozesse, Ports und Dateien.

==== Infrastruktur ====

===== Endpunkt =====
* **Beschreibung:** Ubuntu 22.04
* **Funktion:** Das Wazuh-Rootcheck-Modul erkennt die Ausführung einer verdächtigen Binärdatei auf diesem Endpunkt.

==== Konfiguration ====

Folgende Schritte sind auf dem Ubuntu-Endpunkt erforderlich, um das Wazuh-Rootcheck-Modul zu aktivieren und eine Anomalie- und Malware-Erkennung durchzuführen.

Standardmäßig ist das Wazuh-Rootcheck-Modul in der Wazuh-Agenten-Konfigurationsdatei aktiviert. Prüfe den `<rootcheck>`-Block in der Datei `/var/ossec/etc/ossec.conf` des überwachten Endpunkts und stelle sicher, dass folgende Konfiguration gesetzt ist:

<pre>
<rootcheck>
<disabled>no</disabled>
<check_files>yes</check_files>


<check_trojans>yes</check_trojans>

<check_dev>yes</check_dev>
<check_sys>yes</check_sys>
<check_pids>yes</check_pids>
<check_ports>yes</check_ports>
<check_if>yes</check_if>


<frequency>43200</frequency>
<rootkit_files>/var/ossec/etc/shared/rootkit_files.txt</rootkit_files>
<rootkit_trojans>/var/ossec/etc/shared/rootkit_trojans.txt</rootkit_trojans>
<skip_nfs>yes</skip_nfs>
</rootcheck>
</pre>

Die Rootcheck-Sektion erklärt die Optionen im Rootcheck-Modul.

==== Angriffssimulation ====

===== Kopie der Original-Binärdatei erstellen =====
'''sudo cp -p /usr/bin/w /usr/bin/w.copy'''

===== Original-Binärdatei durch bösartigen Code ersetzen =====
'''sudo tee /usr/bin/w << EOF'''
'''!/bin/bash'''
'''echo "`date` this is evil" > /tmp/trojan_created_file'''
'''echo 'test for /usr/bin/w trojaned file' >> /tmp/trojan_created_file'''
'''Jetzt wird die Original-Binärdatei ausgeführt'''
'''/usr/bin/w.copy'''
'''EOF'''

===== Rootcheck-Scan auslösen =====

Der Rootcheck-Scan läuft standardmäßig alle 12 Stunden. Um eine sofortige Prüfung zu erzwingen, starte den Wazuh-Agenten neu:

'''sudo systemctl restart wazuh-agent'''

==== Warnungen visualisieren ====

Die erkannten Warnungen können im Wazuh-Dashboard visualisiert werden. Rufe das **Threat Hunting**-Modul auf und füge folgende Filter in der Suchleiste hinzu:

'''location:rootcheck AND rule.id:510 AND data.title:Trojaned version of file detected.'''

Zusätzlich kann im **Filter by type**-Suchfeld der **full_log**-Filter angewendet werden.

← Nächstältere Version		Version vom 11. März 2025, 18:53 Uhr
Zeile 70:		Zeile 70:

	Zusätzlich kann im Filter by type-Suchfeld der full_log-Filter angewendet werden.		Zusätzlich kann im Filter by type-Suchfeld der full_log-Filter angewendet werden.
		+	[[Kategorie:WAZUH]]

@@ Zeile 50: / Zeile 50: @@
 ===== Original-Binärdatei durch bösartigen Code ersetzen =====
 vi /usr/bin/w
-  #!/bin/bash'''
+  #!/bin/bash
   echo "$(date) this is evil" > /tmp/trojan_created_file
   echo 'test for /usr/bin/w trojaned file' >> /tmp/trojan_created_file

@@ Zeile 49: / Zeile 49: @@
 ===== Original-Binärdatei durch bösartigen Code ersetzen =====
-'''sudo tee /usr/bin/w << EOF'''
+vi /usr/bin/w
-'''!/bin/bash'''
+ #!/bin/bash'''
-'''echo "`date` this is evil" > /tmp/trojan_created_file'''
+ echo "$(date) this is evil" > /tmp/trojan_created_file
-'''echo 'test for /usr/bin/w trojaned file' >> /tmp/trojan_created_file'''
+ echo 'test for /usr/bin/w trojaned file' >> /tmp/trojan_created_file
-'''Jetzt wird die Original-Binärdatei ausgeführt'''
+ #Jetzt wird die Original-Binärdatei ausgeführt
-'''/usr/bin/w.copy'''
+ /usr/bin/w.copy
-'''EOF'''
+ EOF
 ===== Rootcheck-Scan auslösen =====

@@ Zeile 46: / Zeile 46: @@
 ===== Kopie der Original-Binärdatei erstellen =====
-'''sudo cp -p /usr/bin/w /usr/bin/w.copy'''
+*sudo cp -p /usr/bin/w /usr/bin/w.copy
 ===== Original-Binärdatei durch bösartigen Code ersetzen =====