ArcenumSystems/Wazuh-Advanced-rules
GitHub: ArcenumSystems/Wazuh-Advanced-rules
面向 Wazuh SIEM 平台的高级检测规则集,提供 80 余条针对内核攻击、AD 滥用、云身份威胁、容器逃逸及隐蔽通信等复杂攻击技术的生产级检测规则,弥补默认规则覆盖不足。
Stars: 0 | Forks: 1
# Arcenum Systems — 高级 Wazuh 检测规则
## 概述
本仓库包含作为 **Arcenum Systems 威胁检测引擎** 一部分而开发的**高级、生产级** Wazuh 检测规则。这些规则超越了标准的 Wazuh 覆盖范围,旨在检测复杂的对手技术,包括内核级攻击、Active Directory 滥用链、云身份利用、隐蔽网络通道和容器逃逸。
这些检测规则根据在企业环境中观察到的真实威胁行为者 TTP 进行调优,并直接映射到 MITRE ATT&CK 子技术。
## 仓库结构
```
arcenum-systems-advanced-rules/
├── rules/
│ ├── linux_kernel_advanced.xml # eBPF, ptrace, fileless, namespace escape, rootkits
│ ├── windows_advanced_evasion.xml # ETW/AMSI bypass, COM hijack, process hollow, ransomware
│ ├── active_directory_attacks.xml # DCSync, Golden/Silver Ticket, Kerberoast, ADCS ESC
│ ├── aws_advanced_threats.xml # Golden SAML, Lambda backdoor, IMDS SSRF, GuardDuty bypass
│ ├── network_advanced_covert.xml # ICMP tunnel, DGA, domain fronting, LLMNR poison
│ └── container_kubernetes.xml # Docker escape, K8s RBAC escalation, etcd access
├── decoders/
│ └── arcenum_advanced_decoders.xml # K8s audit, Docker, eBPF, AWS enriched decoders
├── docs/
│ └── usage.md
└── README.md
```
## 检测覆盖范围 — 80 多条规则
### Linux 内核与高级逃逸 (`200001–200099`)
| 规则 ID | MITRE | 技术 |
|---|---|---|
| 200001 | T1547.006 | 已加载内核模块(rootkit 安装) |
| 200003 | T1014 | 内核钩子 / 模块隐藏 |
| 200010 | T1056.004 | 已加载 eBPF 程序 |
| 200011 | T1056.004 | 已附加 eBPF 内核探针(系统调用拦截) |
| 200020 | T1055.008 | ptrace 内存写入(代码注入) |
| 200021 | T1055 | process_vm_writev 跨进程注入 |
| 200030 | T1574.006 | /etc/ld.so.preload 劫持 |
| 200040 | T1055 | /proc/PID/mem 直接访问 |
| 200050 | T1620 | memfd_create 无文件执行 |
| 200060 | T1611 | Linux 命名空间逃逸 |
| 200070 | T1562.001 | Auditd 已停止 / 规则已清空 |
| 200080 | T1014 | 系统调用表访问(内核钩子) |
### Windows 高级逃逸 (`201001–201120`)
| 规则 ID | MITRE | 技术 |
|---|---|---|
| 201001 | T1562.006 | PowerShell 中的 ETW 修补 |
| 201002 | T1070.001 | 事件日志通道已禁用 |
| 201010 | T1562.001 | 脚本块中的 AMSI 绕过 |
| 201020 | T1546.015 | COM 对象劫持 (HKCU) |
| 201030 | T1055.012 | Process hollowing 序列 |
| 201040 | T1574.001 | System32 DLL 替换 |
| 201050 | T1003.001 | LSASS PPL 绕过工具 |
| 201060 | T1562.001 | Windows Defender 已禁用 |
| 201070 | T1548.002 | UAC 绕过二进制文件执行 |
| 201080 | T1070.006 | 时间戳篡改 (SetFileTime) |
| 201090 | T1564.004 | NTFS 备用数据流 |
| 201100 | T1490 | 卷影副本删除(勒索软件) |
| 201110 | T1546.003 | WMI 永久订阅 |
### Active Directory 攻击 (`202001–202110`)
| 规则 ID | MITRE | 技术 |
|---|---|---|
| 202001 | T1003.006 | DCSync 复制权限 |
| 202010 | T1558.001 | 黄金票据(RC4 TGS) |
| 202020 | T1558.003 | Kerberoasting(批量 RC4 TGS) |
| 202030 | T1558.004 | AS-REP Roasting |
| 202040 | T1550.003 | Pass-the-Ticket(环回 TGT) |
| 202050 | T1207 | DCShadow(非法 DC 注册) |
| 202060 | T1556.001 | Skeleton Key(LSASS 已修补) |
| 202070 | T1069.002 | BloodHound LDAP 侦察 |
| 202080 | T1484.001 | GPO 修改 |
| 202090 | T1649 | AD CS 证书滥用 (ESC) |
| 202100 | T1134.005 | SID History 注入 |
| 202110 | T1222.001 | AdminSDHolder ACL 修改 |
### AWS 高级威胁 (`203001–203090`)
| 规则 ID | MITRE | 技术 |
|---|---|---|
| 203001 | T1606.002 | 黄金 SAML (AssumeRoleWithSAML) |
| 203010 | T1525 | Lambda 后门注入 |
| 203020 | T1552.005 | IMDSv1 SSRF 凭证窃取 |
| 203030 | T1555 | Secrets Manager 批量数据窃取 |
| 203040 | T1562.008 | GuardDuty 已禁用 |
| 203050 | T1021.007 | SSM 横向移动 |
| 203060 | T1485 | KMS 密钥销毁 |
| 203070 | T1078.004 | 跨账户角色链式调用 |
| 203080 | T1578 | CloudFormation 后门 |
| 203090 | T1530 | S3 批量对象数据窃取 |
### 网络隐蔽通道 (`204001–204090`)
| 规则 ID | MITRE | 技术 |
|---|---|---|
| 204001 | T1095 | ICMP 隧道 |
| 204010 | T1090.004 | 通过 CDN 的域前置 |
| 204020 | T1568.002 | DGA 域名信标 |
| 204021 | T1568.002 | DGA NXDOMAIN 循环 |
| 204030 | T1568.001 | 快速通量 DNS (低 TTL) |
| 204040 | T1557.001 | LLMNR/NBT-NS 投毒 |
| 204050 | T1557.002 | ARP 欺骗 / 中间人攻击 |
| 204070 | T1210 | SMB EternalBlue 扫描 |
| 204090 | T1102 | 通过合法 Web 服务进行 C2 通信 |
### 容器与 Kubernetes (`205001–205080`)
| 规则 ID | MITRE | 技术 |
|---|---|---|
| 205001 | T1611 | Docker socket 滥用 |
| 205002 | T1611 | 主机命名空间共享 |
| 205010 | T1611 | 从容器挂载主机文件系统 |
| 205011 | T1611 | cgroup release_agent 逃逸 |
| 205020 | T1609 | kubectl exec shell 进入 pod |
| 205021 | T1078.001 | 已创建 cluster-admin 绑定 |
| 205030 | T1528 | K8s 服务账号令牌窃取 |
| 205040 | T1552.007 | 直接 etcd 端口访问 |
| 205060 | T1496 | 容器中的挖矿程序 |
| 205071 | T1525 | 从裸 IP 镜像仓库拉取镜像 |
| 205080 | T1078.001 | ClusterRole RBAC 提权 |
## 严重性分类
| Wazuh 级别 | 标签 | 响应措施 |
|---|---|---|
| 15 | `arcenum_critical` | 立即处理 — 呼叫 SOC,隔离主机 |
| 13–14 | `arcenum_high` | 紧急处理 — 1 小时内调查 |
| 11–12 | `arcenum_medium` | 工作时间内审查 |
## 部署
```
sudo cp rules/*.xml /var/ossec/etc/rules/
sudo cp decoders/*.xml /var/ossec/etc/decoders/
sudo /var/ossec/bin/wazuh-logtest
sudo systemctl restart wazuh-manager
```
有关完整的部署指南,请参阅 [`docs/usage.md`](docs/usage.md)。
## 关于
由 **Pradhyumna Ghogare** 作为 **Arcenum Systems** 独立网络安全研发计划的一部分构建。这些规则代表了通过实战威胁分析、对手模拟和生产 SOC 经验开发的原创检测研究。
- **网站:** [arcenum-systems.vercel.app](https://arcenum-systems.vercel.app)
- **个人 GitHub:** [github.com/PradhyumnaGhogare](https://github.com/PradhyumnaGhogare)
*为那些以为没人在注视的对手而生。*
**— Pradhyumna Ghogare, Arcenum Systems © 2026**
标签:Active Directory, ADCS, AMSI绕过, AMSI绕过, AWS, Cloudflare, COM劫持, Conpot, DCSync, DGA, Docker, Docker镜像, DPI, ETW绕过, Golden SAML, ICMP隧道, K8s RBAC提升, Kerberoasting, Lambda后门, LLMNR投毒, MITRE ATT&CK, Plaso, Rootkit, SSH蜜罐, SSRF, Wazuh, Web截图, Windows安全, Zeek, 内核攻击, 勒索软件, 协议分析, 域前置, 威胁检测, 威胁检测, 安全运营, 安全防御评估, 容器安全, 扫描框架, 数据展示, 权限提升, 白银票据, 红队, 网络安全, 网络隐蔽通信, 请求拦截, 进程注入, 邮件钓鱼, 隐私保护, 高级持续性威胁, 黄金票据