adampielak/wazuh-lkrg
GitHub: adampielak/wazuh-lkrg
为 Wazuh 提供针对 LKRG 内核运行时防护的自定义解码器和规则,使内核完整性违规与漏洞利用检测事件能在 SIEM 中集中呈现。
Stars: 0 | Forks: 0
# wazuh-lkrg
用于 [LKRG (Linux Kernel Runtime Guard)](https://lkrg.org/) 的自定义 Wazuh 解码器和规则 —— 直接在您的 SIEM 中呈现内核完整性违规、提权尝试和漏洞利用检测事件。
## 什么是 LKRG
LKRG 是一个可加载的内核模块,用于检测运行时的完整性违规和内核级别的漏洞利用企图。它监控:
- 内核代码/数据完整性
- 进程凭证更改(提权)
- SELinux/AppArmor 强制访问控制绕过企图
- 漏洞利用技术检测(ROP、JOP、ret2usr 等)
它可以在 RHEL7 及更高版本的主线内核和发行版内核上运行,无需修补内核。
## 安装
```
# 复制 decoder
cp lkrg_decoders.xml /var/ossec/etc/decoders/
# 复制 rule
cp lkrg_rules.xml /var/ossec/etc/rules/
# 无需重启重新加载 rule
wazuh-reload-rules
# 或
systemctl restart wazuh-manager
```
## 检测内容
| LKRG 事件 | Wazuh 规则 | 描述 |
|---|---|---|
| `LKRG: ALERT` | lkrg_alert | 内核完整性违规 |
| `LKRG: EXPLOIT` | lkrg_exploit | 阻断的漏洞利用企图 |
| `LKRG: TASK` | lkrg_task | 进程凭证篡改 |
| `LKRG: INIT` | lkrg_init | LKRG 模块加载/卸载 |
## 致谢
- Adam 'pi3' Zabrocki — LKRG 作者 ([pi3.com.pl](http://pi3.com.pl))
- [LKRG 项目](https://lkrg.org/)
标签:Linux内核, Wazuh, Web报告查看器, 安全渗透, 规则解码器