Wazuh Verdächtige Binärdateien erkennen

Aus Xinux Wiki
Version vom 30. Januar 2025, 10:46 Uhr von Thomas.will (Diskussion | Beiträge) (Die Seite wurde neu angelegt: „==== Verdächtige Binärdateien erkennen ==== Wazuh verfügt über Anomalie- und Malware-Erkennungsfunktionen, die verdächtige Binärdateien auf einem Endpun…“)
(Unterschied) ← Nächstältere Version | Aktuelle Version (Unterschied) | Nächstjüngere Version → (Unterschied)
Zur Navigation springen Zur Suche springen

Verdächtige Binärdateien erkennen

Wazuh verfügt über Anomalie- und Malware-Erkennungsfunktionen, die verdächtige Binärdateien auf einem Endpunkt erkennen. Binärdateien sind ausführbarer Code, der zur Automatisierung von Aufgaben geschrieben wurde. Bösartige Akteure nutzen sie häufig für Exploits, um unentdeckt zu bleiben.

In diesem Anwendungsfall wird gezeigt, wie das Wazuh-Rootcheck-Modul eine Trojanisierte Systembinärdatei auf einem Ubuntu-Endpunkt erkennt. Dabei wird die legitime Binärdatei durch bösartigen Code ersetzt, um das System dazu zu bringen, diese als legitime Datei auszuführen.

Das Wazuh-Rootcheck-Modul prüft zudem auf versteckte Prozesse, Ports und Dateien.

Infrastruktur

Endpunkt
  • **Beschreibung:** Ubuntu 22.04
  • **Funktion:** Das Wazuh-Rootcheck-Modul erkennt die Ausführung einer verdächtigen Binärdatei auf diesem Endpunkt.

Konfiguration

Folgende Schritte sind auf dem Ubuntu-Endpunkt erforderlich, um das Wazuh-Rootcheck-Modul zu aktivieren und eine Anomalie- und Malware-Erkennung durchzuführen.

Standardmäßig ist das Wazuh-Rootcheck-Modul in der Wazuh-Agenten-Konfigurationsdatei aktiviert. Prüfe den `<rootcheck>`-Block in der Datei `/var/ossec/etc/ossec.conf` des überwachten Endpunkts und stelle sicher, dass folgende Konfiguration gesetzt ist: 

<rootcheck>
    <disabled>no</disabled>
    <check_files>yes</check_files>

    <!-- Zeile zur Erkennung von Trojanern -->
    <check_trojans>yes</check_trojans>

    <check_dev>yes</check_dev>
    <check_sys>yes</check_sys>
    <check_pids>yes</check_pids>
    <check_ports>yes</check_ports>
    <check_if>yes</check_if>

    <!-- Ausführungshäufigkeit von Rootcheck - alle 12 Stunden -->
    <frequency>43200</frequency>
    <rootkit_files>/var/ossec/etc/shared/rootkit_files.txt</rootkit_files>
    <rootkit_trojans>/var/ossec/etc/shared/rootkit_trojans.txt</rootkit_trojans>
    <skip_nfs>yes</skip_nfs>
</rootcheck>

Die Rootcheck-Sektion erklärt die Optionen im Rootcheck-Modul.

Angriffssimulation

Kopie der Original-Binärdatei erstellen

sudo cp -p /usr/bin/w /usr/bin/w.copy

Original-Binärdatei durch bösartigen Code ersetzen

sudo tee /usr/bin/w << EOF !/bin/bash echo "`date` this is evil" > /tmp/trojan_created_file echo 'test for /usr/bin/w trojaned file' >> /tmp/trojan_created_file Jetzt wird die Original-Binärdatei ausgeführt /usr/bin/w.copy EOF

Rootcheck-Scan auslösen

Der Rootcheck-Scan läuft standardmäßig alle 12 Stunden. Um eine sofortige Prüfung zu erzwingen, starte den Wazuh-Agenten neu:

sudo systemctl restart wazuh-agent

Warnungen visualisieren

Die erkannten Warnungen können im Wazuh-Dashboard visualisiert werden. Rufe das **Threat Hunting**-Modul auf und füge folgende Filter in der Suchleiste hinzu:

location:rootcheck AND rule.id:510 AND data.title:Trojaned version of file detected.

Zusätzlich kann im **Filter by type**-Suchfeld der **full_log**-Filter angewendet werden.

Abgerufen von „http://wiki.ixheim.de/index.php?title=Wazuh_Verdächtige_Binärdateien_erkennen&oldid=58766