ArcenumSystems/Arcenum-Systems-Wazuh-Rules
GitHub: ArcenumSystems/Arcenum-Systems-Wazuh-Rules
面向 Wazuh 平台的高级威胁检测规则引擎,覆盖内核攻击、AD 滥用、云身份利用、容器逃逸和隐蔽 C2 六大领域,专为捕获 APT 级攻击者突破防线后的高级战术而设计。
Stars: 0 | Forks: 0
## 这是什么
大多数公开的 Wazuh 规则集仅停留在表层检测——失败的登录、明显的反向 shell、已知的恶意二进制文件。**真正高级的攻击者根本不会触发这些规则。**
Arcenum Systems 威胁检测引擎围绕一个问题构建:*在老练的攻击者已经突破你的第一道防线之后,他们实际会做什么?*
这些规则可检测:
- 绕过用户空间监控的内核级植入物和 eBPF 滥用
- 伪装成合法流量的 Active Directory 攻击链
- 在标准日志中不留痕迹的云身份利用
- 从“安全”工作负载内部发起的容器逃逸
- 旨在混入正常网络噪声的隐蔽 C2 通道
所有规则均映射到 MITRE ATT&CK 子技术,根据 SOC 工作流进行严重性分类,并针对真实世界的攻击者 TTP 进行了测试——而非合成实验室流量。
## 仓库结构
```
arcenum-systems-detection-rules/wazuh/
│
├── decoders/
│ ├── custom_decoder.xml # Arcenum Sentinel + Wolfsense EDR decoders
│ └── arcenum_advanced_decoders.xml # K8s audit, Docker, eBPF, AWS enriched decoders
│
├── rules/
│ ├── core/ # Foundational SOC Detections (v1.x)
│ │ ├── linux_suspicious_activity.xml # Privilege escalation, reverse shells, LOLBins, persistence
│ │ ├── windows_lateral_movement.xml # Credential dumping, PsExec, WMI, PowerShell abuse
│ │ ├── aws_cloudtrail_detections.xml # IAM abuse, CloudTrail tampering, S3 exfil
│ │ └── network_anomalies.xml # Port scans, DNS tunneling, C2 beaconing, Tor
│ │
│ └── advanced/ # Threat Detection Engine (v2.0 — Proprietary)
│ ├── linux_kernel_advanced.xml # eBPF, ptrace, fileless exec, namespace escape, rootkits
│ ├── windows_advanced_evasion.xml # ETW/AMSI bypass, COM hijack, process hollow, ransomware
│ ├── active_directory_attacks.xml # DCSync, Golden/Silver Ticket, Kerberoast, AD CS ESC
│ ├── aws_advanced_threats.xml # Golden SAML, Lambda backdoor, IMDS SSRF, GuardDuty bypass
│ ├── network_advanced_covert.xml # ICMP tunnel, DGA, domain fronting, LLMNR poisoning
│ └── container_kubernetes.xml # Docker escape, K8s RBAC escalation, etcd access
│
└── README.md
```
## 检测覆盖范围
### 🐧 Linux 内核与高级逃逸 — `200001–200099`
检测在标准端点可见性之下运行的内核级攻击。规则基于系统调用模式、procfs 操作和内存子系统滥用(而非进程名或文件路径)进行触发——使其难以被绕过。
| 规则 ID | MITRE | 技术 |
|---------|-------|-----------|
| 200001 | T1547.006 | 内核模块加载 (rootkit 安装) |
| 200003 | T1014 | 内核挂钩 (hooking) / 模块隐藏 |
| 200010 | T1056.004 | eBPF 程序加载 |
| 200011 | T1056.004 | eBPF 内核探针附加 (系统调用拦截) |
| 200020 | T1055.008 | ptrace 内存写入 (代码注入) |
| 200021 | T1055 | process_vm_writev 跨进程注入 |
| 200030 | T1574.006 | /etc/ld.so.preload 劫持 |
| 200040 | T1055 | /proc/PID/mem 直接访问 |
| 200050 | T1620 | memfd_create 无文件执行 |
| 200060 | T1611 | Linux namespace 逃逸 |
| 200070 | T1562.001 | Auditd 停止 / 规则清空 |
| 200080 | T1014 | 系统调用表访问 (内核挂钩) |
**核心规则还涵盖** (`100001–100099`):通过 sudo/pkexec (CVE-2021-4034) 提权、cron/启动项持久化、凭证文件访问、反向 shell 模式、LOLBin 滥用以及 base64 解码链。
### 🪟 Windows 高级逃逸 — `201001–201120`
针对 APT 和勒索软件运营者使用的漏洞利用后战术——这些技术专为绕过 EDR 和 Windows Defender 而设计。检测逻辑以行为序列为锚点,而非依赖特征码。
| 规则 ID | MITRE | 技术 |
|---------|-------|-----------|
| 201001 | T1562.006 | PowerShell 中的 ETW 补丁 |
| 201002 | T1070.001 | 事件日志通道被禁用 |
| 201010 | T1562.001 | 脚本块中的 AMSI 绕过 |
| 201020 | T1546.015 | COM 对象劫持 (HKCU) |
| 201030 | T1055.012 | 进程镂空 (Process hollowing) 序列 |
| 201040 | T1574.001 | System32 DLL 替换 |
| 201050 | T1003.001 | LSASS PPL 绕过工具 |
| 201060 | T1562.001 | Windows Defender 被禁用 |
| 201070 | T1548.002 | UAC 绕过二进制文件执行 |
| 201080 | T1070.006 | 时间戳篡改 (SetFileTime) |
| 201090 | T1564.004 | NTFS 备用数据流 |
| 201100 | T1490 | 卷影副本删除 (勒索软件准备阶段) |
| 201110 | T1546.003 | WMI 永久订阅 |
**核心规则还涵盖** (`101001–101099`):LSASS/SAM/NTDS 凭证转储、PsExec 服务安装、WMI 横向移动、BloodHound AD 侦察、攻击性 PowerShell 框架以及计划任务滥用。
### 🏛️ Active Directory 攻击 — `202001–202110`
最全面的开源 Wazuh AD 攻击链规则集。涵盖了整个 Kerberos 滥用范围、目录服务复制攻击以及证书基础设施利用——包括大多数 SIEM 供应商完全遗漏的 AD CS ESC 技术。
| 规则 ID | MITRE | 技术 |
|---------|-------|-----------|
| 202001 | T1003.006 | DCSync 复制权限滥用 |
| 202010 | T1558.001 | 黄金票据 (RC4 TGS 伪造) |
| 202020 | T1558.003 | Kerberoasting (大量 RC4 TGS 请求) |
| 202030 | T1558.004 | AS-REP Roasting |
| 202040 | T1550.003 | 票据传递 (环回 TGT) |
| 202050 | T1207 | DCShadow (流氓 DC 注册) |
| 202060 | T1556.001 | 骷髅钥匙 (LSASS 被修补) |
| 202070 | T1069.002 | BloodHound LDAP 侦察 |
| 202080 | T1484.001 | GPO 修改滥用 |
| 202090 | T1649 | AD CS 证书滥用 (ESC1–ESC8) |
| 202100 | T1134.005 | SID History 注入 |
| 202110 | T1222.001 | AdminSDHolder ACL 修改 |
### ☁️ AWS 高级威胁 — `203001–203090`
超越 CloudTrail 关键字匹配的云原生攻击检测。规则基于 IAM 调用序列、跨账户模式以及 Scattered Spider 和 Cozy Bear 等威胁行为者使用的特定服务滥用向量进行推理分析。
| 规则 ID | MITRE | 技术 |
|---------|-------|-----------|
| 203001 | T1606.002 | 黄金 SAML (AssumeRoleWithSAML 滥用) |
| 203010 | T1525 | Lambda 后门注入 |
| 203020 | T1552.005 | IMDSv1 SSRF 凭证窃取 |
| 203030 | T1555 | Secrets Manager 批量数据渗出 |
| 203040 | T1562.008 | GuardDuty 被禁用 |
| 203050 | T1021.007 | SSM 横向移动 |
| 203060 | T1485 | KMS 密钥销毁 |
| 203070 | T1078.004 | 跨账户角色链式调用 |
| 203080 | T1578 | CloudFormation 后门堆栈 |
| 203090 | T1530 | S3 批量对象渗出 |
**核心规则还涵盖** (`102001–102099`):root 账户活动、IAM 提权、新访问密钥创建、CloudTrail 禁用、S3 策略修改、未启用 MFA 的控制台登录以及暴力破解指标。
### 🌐 网络隐蔽通道 — `204001–204090`
检测旨在隐藏在合法网络协议中的 C2 流量。检测逻辑侧重于行为异常——有效载荷大小分布、时间模式、协议字段滥用——而非 IP 黑名单。
| 规则 ID | MITRE | 技术 |
|---------|-------|-----------|
| 204001 | T1095 | ICMP 隧道 |
| 204010 | T1090.004 | 通过 CDN 的域前置 |
| 204020 | T1568.002 | DGA 域名信标 |
| 204021 | T1568.002 | DGA NXDOMAIN 循环 |
| 204030 | T1568.001 | 快速通量 DNS (低 TTL 轮换) |
| 204040 | T1557.001 | LLMNR/NBT-NS 投毒 |
| 204050 | T1557.002 | ARP 欺骗 / 中间人攻击 |
| 204070 | T1210 | SMB EternalBlue 扫描 |
| 204090 | T1102 | 通过合法 Web 服务的 C2 |
**核心规则还涵盖** (`103001–103099`):防火墙扫描检测、DNS 隧道指标、C2 信标模式、已知后门端口连接、异常出站数据传输以及 Tor 客户端活动。
### 🐳 容器与 Kubernetes — `205001–205080`
专为云原生环境构建。规则针对容器运行时事件、Kubernetes 审计日志以及指示逃逸尝试或集群沦陷的 RBAC 更改触发——通过内置的 K8s/Docker 解码器进行解码。
| 规则 ID | MITRE | 技术 |
|---------|-------|-----------|
| 205001 | T1611 | 来自容器的 Docker socket 滥用 |
| 205002 | T1611 | 宿主机 namespace 共享 (hostPID/hostNetwork) |
| 205010 | T1611 | 来自容器的宿主机文件系统挂载 |
| 205011 | T1611 | cgroup release_agent 逃逸 |
| 205020 | T1609 | kubectl exec 进入运行中的 pod 执行 shell |
| 205021 | T1078.001 | cluster-admin ClusterRoleBinding 被创建 |
| 205030 | T1528 | K8s service account token 窃取 |
| 205040 | T1552.007 | etcd 端口直连访问 (2379/2380) |
| 205060 | T1496 | 容器中的加密货币挖矿进程 |
| 205071 | T1525 | 从裸 IP 镜像仓库拉取镜像 |
| 205080 | T1078.001 | ClusterRole RBAC 提权 |
## 严重性分类
| Wazuh 级别 | Arcenum 标签 | SLA | 触发含义 |
|-------------|-------------|-----|-----------------|
| 15 | `arcenum_critical` | 立即 — 呼叫 SOC,隔离主机 | 高可信度攻击正在进行 |
| 13–14 | `arcenum_high` | 在 1 小时内进行调查 | 强烈的 TTP 信号,低误报率 |
| 11–12 | `arcenum_medium` | 在工作时间内审查 | 可疑但需要结合上下文判断 |
所有告警均在 XML 中附带内联的 `WHY THIS FIRES` 注释,用于解释攻击者的动机——旨在让 L1/L2 分析师无需查找相关技术即可进行快速分类研判。
## 适用人群
| 角色 | 使用方式 |
|------|----------------|
| **SOC 分析师 (L1/L2)** | 预设的严重性级别 + 内联的 `WHY THIS FIRES` 注释支持快速分类研判——无需查找技术含义 |
| **检测工程师** | 与 MITRE ATT&CK 对齐的规则,随时可以扩展、调优或分叉为自定义检测逻辑 |
| **安全架构师** | 覆盖 Linux、Windows、AD、AWS、网络和 K8s 的 6 大领域——可作为统一基线部署 |
| **红队成员** | 在真实交战之前,针对这些检测规则验证您的 TTP |
## 部署
### 前置条件
- Wazuh Manager **4.x 或更高版本**
- 在 Wazuh Manager 节点上具有 root / sudo 权限
- 已在受监控的端点上部署 Wazuh Agent
### 安装
```
# 1. Clone 仓库
git clone https://github.com/PradhyumnaGhogare/arcenum-systems-detection-rules.git
cd arcenum-systems-detection-rules/wazuh
# 2. 部署规则文件
sudo cp rules/core/*.xml /var/ossec/etc/rules/
sudo cp rules/advanced/*.xml /var/ossec/etc/rules/
# 3. 部署 decoders
sudo cp decoders/*.xml /var/ossec/etc/decoders/
# 4. 重启前验证
sudo /var/ossec/bin/wazuh-logtest
# 5. 应用
sudo systemctl restart wazuh-manager
```
### 验证规则是否已加载
```
# 检查规则加载
sudo /var/ossec/bin/wazuh-logtest -V | grep -i arcenum
# 或者在 Wazuh dashboard 中:
# Rules → Custom Rules → 按组筛选:arcenum_*
```
### 规则 ID 参考
| 范围 | 文件 | 领域 |
|-------|------|--------|
| `100001–100099` | `linux_suspicious_activity.xml` | Linux 核心 |
| `101001–101099` | `windows_lateral_movement.xml` | Windows 核心 |
| `102001–102099` | `aws_cloudtrail_detections.xml` | AWS 核心 |
| `103001–10309` | `network_anomalies.xml` | 网络核心 |
| `200001–200099` | `linux_kernel_advanced.xml` | Linux 高级 |
| `201001–201120` | `windows_advanced_evasion.xml` | Windows 高级 |
| `202001–202110` | `active_directory_attacks.xml` | Active Directory |
| `203001–203090` | `aws_advanced_threats.xml` | AWS 高级 |
| `204001–204090` | `network_advanced_covert.xml` | 网络隐蔽 |
| `205001–205080` | `container_kubernetes.xml` | 容器 / K8s |
## 针对您的环境进行调优
**不要**直接编辑规则文件——这会让升级变得非常痛苦。相反,应在本地规则文件中进行覆盖:
```
100001
10.0.1.50
Tuning: suppressed sudo alert for jump host
```
使用 `
` 和 `` / `` 过滤器来减少误报,而无需修改原始规则集。
## 关于
由 **[Pradhyumna Ghogare](https://github.com/PradhyumnaGhogare)** 构建,是 **Arcenum Systems** 独立网络安全研发计划的一部分。
Arcenum Systems 是一个以 Wazuh 为核心的 SIEM+UEBA 平台,通过定制的 Node.js 后端、React 前端和行为分析层进行了扩展——旨在为精简的安全团队提供无需企业级预算的企业级威胁检测能力。
- 🔬 **Wolfsense EDR:** [github.com/PradhyumnaGhogare/wolfsense-edr](https://github.com/PradhyumnaGhogare/wolfsense-edr)
- 👤 **GitHub:** [github.com/PradhyumnaGhogare](https://github.com/PradhyumnaGhogare)
## 生产环境实时告警
已在 **Wazuh 4.14.5** 上测试并验证——规则在生产环境中触发。
### Linux 可疑活动 — 实时仪表板
### 网络异常 — 实时仪表板
### Windows 横向移动 — 仪表板
## 许可证与署名
© 2024 Pradhyumna Ghogare / Arcenum Systems。MIT 许可证 — 可免费使用和修改,但需保留署名。
所有检测模式、规则逻辑和 MITRE 映射均为原创研究。如果您在自己的环境中使用这些规则或基于它们进行构建,感谢您保留署名。
*专为那些以为没人监视的攻击者而设计。*
**Pradhyumna Ghogare, Arcenum Systems © 2024**
标签:AD攻击链, AMSI绕过, APT防御, Cloudflare, CSV导出, eBPF安全, EDR, IP 地址批量处理, MITRE ATT&CK, Modbus, PE 加载器, PFX证书, SIEM规则, Wazuh, Web截图, Web报告查看器, 云计算, 云身份利用, 内核级威胁, 威胁检测, 子域名变形, 安全运营, 容器安全, 容器逃逸, 扫描框架, 攻击检测, 数据集, 活动目录安全, 端点防护, 红队紫队, 网络信息收集, 网络安全, 脆弱性评估, 蓝军工具, 规则引擎, 隐私保护, 隐蔽C2通信, 高级持续性威胁
# Arcenum Systems — 威胁检测引擎
### 针对现代攻击者的 Wazuh 高级检测规则
*内核 rootkit · Active Directory 滥用链 · 云身份利用 · 容器逃逸 · 隐蔽 C2 通道*
**[Pradhyumna Ghogare](https://github.com/PradhyumnaGhogare)**