PradhyumnaGhogare/Arcenum-Systems-Wazuh-Rules
GitHub: PradhyumnaGhogare/Arcenum-Systems-Wazuh-Rules
针对 Wazuh SIEM 的高级威胁检测规则集,覆盖六大安全领域共 80 余条规则,检测高阶攻击者绕过基础防御后的深层对抗行为。
Stars: 0 | Forks: 0
## 项目简介
大多数公开的 Wazuh 规则集仅停留在表层检测——失败的登录、明显的反弹 shell、已知的恶意二进制文件。**真正高级的对手根本不会触发这些规则。**
Arcenum Systems 威胁检测引擎围绕一个核心问题构建:*老练的攻击者在绕过你的第一层防御后,实际上会做什么?*
这些规则能够检测:
- 绕过用户空间监控的内核级植入物和 eBPF 滥用
- 伪装成合法流量的 Active Directory 攻击链
- 在标准日志中不留痕迹的云身份利用
- 从“安全”工作负载内部发起的容器逃逸
- 旨在混入正常网络噪声的隐蔽 C2 通道
所有规则均映射到 MITRE ATT&CK 子技术,针对 SOC 工作流进行严重性分级,并针对真实世界的对手 TTP 进行了测试——而非人工合成的实验室流量。
## 仓库结构
```
arcenum-systems-detection-rules/wazuh/
│
├── decoders/
│ ├── custom_decoder.xml # Arcenum Sentinel + Wolfsense EDR decoders
│ └── arcenum_advanced_decoders.xml # K8s audit, Docker, eBPF, AWS enriched decoders
│
├── rules/
│ ├── core/ # Foundational SOC Detections (v1.x)
│ │ ├── linux_suspicious_activity.xml # Privilege escalation, reverse shells, LOLBins, persistence
│ │ ├── windows_lateral_movement.xml # Credential dumping, PsExec, WMI, PowerShell abuse
│ │ ├── aws_cloudtrail_detections.xml # IAM abuse, CloudTrail tampering, S3 exfil
│ │ └── network_anomalies.xml # Port scans, DNS tunneling, C2 beaconing, Tor
│ │
│ └── advanced/ # Threat Detection Engine (v2.0 — Proprietary)
│ ├── linux_kernel_advanced.xml # eBPF, ptrace, fileless exec, namespace escape, rootkits
│ ├── windows_advanced_evasion.xml # ETW/AMSI bypass, COM hijack, process hollow, ransomware
│ ├── active_directory_attacks.xml # DCSync, Golden/Silver Ticket, Kerberoast, AD CS ESC
│ ├── aws_advanced_threats.xml # Golden SAML, Lambda backdoor, IMDS SSRF, GuardDuty bypass
│ ├── network_advanced_covert.xml # ICMP tunnel, DGA, domain fronting, LLMNR poisoning
│ └── container_kubernetes.xml # Docker escape, K8s RBAC escalation, etcd access
│
└── README.md
```
## 检测覆盖范围
### 🐧 Linux 内核与高级逃逸 — `200001–200099`
检测在标准终端可见性之下运行的内核级攻击。规则基于系统调用模式、procfs 篡改和内存子系统滥用触发,而非依赖进程名或文件路径——使其难以被绕过。
| 规则 ID | MITRE | 技术 |
|---------|-------|-----------|
| 200001 | T1547.006 | 加载内核模块(安装 rootkit) |
| 200003 | T1014 | 内核挂钩 / 模块隐藏 |
| 200010 | T1056.004 | 加载 eBPF 程序 |
| 200011 | T1056.004 | 附加 eBPF 内核探针(拦截系统调用) |
| 200020 | T1055.008 | ptrace 内存写入(代码注入) |
| 200021 | T1055 | process_vm_writev 跨进程注入 |
| 200030 | T1574.006 | /etc/ld.so.preload 劫持 |
| 200040 | T1055 | 直接访问 /proc/PID/mem |
| 200050 | T1620 | memfd_create 无文件执行 |
| 200060 | T1611 | Linux 命名空间逃逸 |
| 200070 | T1562.001 | Auditd 停止 / 规则清空 |
| 200080 | T1014 | 访问系统调用表(内核挂钩) |
**核心规则还涵盖** (`100001–100099`):通过 sudo/pkexec 提权 (CVE-2021-4034)、cron/启动项持久化、访问凭证文件、反弹 shell 模式、LOLBin 滥用以及 base64 解码链。
### 🪟 Windows 高级逃逸 — `201001–201120`
针对 APT 和勒索软件运营者使用的后渗透操作手法——这些技术专门设计用于绕过 EDR 和 Windows Defender。检测逻辑锚定在行为序列上,而非依赖签名。
| 规则 ID | MITRE | 技术 |
|---------|-------|-----------|
| 201001 | T1562.006 | PowerShell 中的 ETW 补丁 |
| 201002 | T1070.001 | 禁用事件日志通道 |
| 201010 | T1562.001 | 脚本块中的 AMSI 绕过 |
| 201020 | T1546.015 | COM 对象劫持 (HKCU) |
| 201030 | T1055.012 | 进程镂空序列 |
| 201040 | T1574.001 | System32 DLL 替换 |
| 201050 | T1003.001 | LSASS PPL 绕过工具 |
| 201060 | T1562.001 | 禁用 Windows Defender |
| 201070 | T1548.002 | UAC 绕过二进制文件执行 |
| 201080 | T1070.006 | 修改时间戳 |
| 201090 | T1564.004 | NTFS 备用数据流 |
| 201100 | T1490 | 删除卷影副本(勒索软件准备阶段) |
| 201110 | T1546.003 | WMI 永久订阅 |
**核心规则还涵盖** (`101001–101099`):LSASS/SAM/NTDS 凭证转储、PsExec 服务安装、WMI 横向移动、BloodHound AD 侦察、攻击性 PowerShell 框架以及计划任务滥用。
### 🏛️ Active Directory 攻击 — `202001–202110`
最全面的开源 Wazuh AD 攻击链规则集。涵盖完整的 Kerberos 滥用范围、目录服务复制攻击以及证书基础设施利用——包括大多数 SIEM 供应商完全遗漏的 AD CS ESC 技术。
| 规则 ID | MITRE | 技术 |
|---------|-------|-----------|
| 202001 | T1003.006 | DCSync 复制权限滥用 |
| 202010 | T1558.001 | 黄金票据(RC4 TGS 伪造) |
| 202020 | T1558.003 | Kerberoasting(批量 RC4 TGS 请求) |
| 202030 | T1558.004 | AS-REP Roasting |
| 202040 | T1550.003 | 票据传递(环回 TGT) |
| 202050 | T1207 | DCShadow(伪造 DC 注册) |
| 202060 | T1556.001 | Skeleton Key(LSASS 被修补) |
| 202070 | T1069.002 | BloodHound LDAP 侦察 |
| 202080 | T1484.001 | GPO 修改滥用 |
| 202090 | T1649 | AD CS 证书滥用 (ESC1–ESC8) |
| 202100 | T1134.005 | SID History 注入 |
| 202110 | T1222.001 | AdminSDHolder ACL 修改 |
### ☁️ AWS 高级威胁 — `203001–203090`
超越 CloudTrail 关键字匹配的云原生攻击检测。规则基于 IAM 调用序列、跨账户模式以及 Scattered Spider 和 Cozy Bear 等威胁行为者使用的特定服务滥用向量进行推理。
| 规则 ID | MITRE | 技术 |
|---------|-------|-----------|
| 203001 | T1606.002 | 黄金 SAML (AssumeRoleWithSAML 滥用) |
| 203010 | T1525 | Lambda 后门注入 |
| 203020 | T1552.005 | IMDSv1 SSRF 凭证窃取 |
| 203030 | T1555 | Secrets Manager 批量数据渗出 |
| 203040 | T1562.008 | 禁用 GuardDuty |
| 203050 | T1021.007 | SSM 横向移动 |
| 203060 | T1485 | KMS 密钥销毁 |
| 203070 | T1078.004 | 跨账户角色链式调用 |
| 203080 | T1578 | CloudFormation 后门堆栈 |
| 203090 | T1530 | S3 批量对象渗出 |
**核心规则还涵盖** (`102001–102099`):Root 账户活动、IAM 权限提升、创建新访问密钥、禁用 CloudTrail、修改 S3 策略、未使用 MFA 的控制台登录以及暴力破解指标。
### 🌐 网络隐蔽通道 — `204001–204090`
检测旨在隐藏在合法网络协议内的 C2 流量。检测逻辑专注于行为异常——有效载荷大小分布、时间模式、协议字段滥用——而非依赖 IP 黑名单。
| 规则 ID | MITRE | 技术 |
|---------|-------|-----------|
| 204001 | T1095 | ICMP 隧道 |
| 204010 | T1090.004 | 通过 CDN 进行域前置 |
| 204020 | T1568.002 | DGA 域名信标 |
| 204021 | T1568.002 | DGA NXDOMAIN 循环 |
| 204030 | T1568.001 | Fast flux DNS (低 TTL 轮换) |
| 204040 | T1557.001 | LLMNR/NBT-NS 投毒 |
| 204050 | T1557.002 | ARP 欺骗 / 中间人攻击 |
| 204070 | T1210 | SMB EternalBlue 扫描 |
| 204090 | T1102 | 通过合法 Web 服务的 C2 通信 |
**核心规则还涵盖** (`103001–103099`):防火墙扫描检测、DNS 隧道指标、C2 信标模式、已知后门端口连接、异常出站数据传输以及 Tor 客户端活动。
### 🐳 容器与 Kubernetes — `205001–205080`
专为云原生环境构建。规则由容器运行时事件、Kubernetes 审计日志以及指示逃逸尝试或集群沦陷的 RBAC 更改触发——通过内置的 K8s/Docker 解码器进行解码。
| 规则 ID | MITRE | 技术 |
|---------|-------|-----------|
| 205001 | T1611 | 容器内滥用 Docker 套接字 |
| 205002 | T1611 | 共享宿主机命名空间 (hostPID/hostNetwork) |
| 205010 | T1611 | 从容器挂载宿主机文件系统 |
| 205011 | T1611 | cgroup release_agent 逃逸 |
| 205020 | T1609 | kubectl exec Shell 进入运行中的 Pod |
| 205021 | T1078.001 | 创建 cluster-admin ClusterRoleBinding |
| 205030 | T1528 | 窃取 K8s Service Account Token |
| 205040 | T1552.007 | 直接访问 etcd 端口 (2379/2380) |
| 205060 | T1496 | 容器内的挖矿进程 |
| 205071 | T1525 | 从裸 IP 注册表拉取镜像 |
| 205080 | T1078.001 | ClusterRole RBAC 权限提升 |
## 严重性分级
| Wazuh 级别 | Arcenum 标签 | SLA | 触发含义 |
|-------------|-------------|-----|-----------------|
| 15 | `arcenum_critical` | 立即响应 — 呼叫 SOC,隔离主机 | 高可信度的进行中攻击 |
| 13–14 | `arcenum_high` | 1 小时内调查 | 强烈的 TTP 信号,低误报率 |
| 11–12 | `arcenum_medium` | 工作时间内审查 | 可疑行为,需要结合上下文判断 |
所有警报均在 XML 中包含行内 `WHY THIS FIRES` 注释以解释对手动机——专为 L1/L2 分析师设计,无需查找相关技术即可进行分诊。
## 适用人群
| 角色 | 使用方式 |
|------|----------------|
| **SOC 分析师 (L1/L2)** | 预设的严重性级别 + 行内 `WHY THIS FIRES` 注释,可实现快速分诊——无需查找技术含义 |
| **检测工程师** | 符合 MITRE ATT&CK 规范的规则,可随时扩展、调优或派生为自定义检测逻辑 |
| **安全架构师** | 涵盖 Linux、Windows、AD、AWS、网络和 K8s 6 大领域的全面防护——可作为统一基线部署 |
| **红队成员** | 在真实的红蓝对抗之前,根据这些检测规则验证你的 TTPs |
## 部署说明
### 前置条件
- Wazuh Manager **4.x 或更高版本**
- 在 Wazuh Manager 节点上具有 Root / sudo 权限
- 已在受监控的终端上部署 Wazuh Agent
### 安装
```
# 克隆 repository
git clone https://github.com/PradhyumnaGhogare/arcenum-systems-detection-rules.git
cd arcenum-systems-detection-rules/wazuh
# 部署 rule 文件
sudo cp rules/core/*.xml /var/ossec/etc/rules/
sudo cp rules/advanced/*.xml /var/ossec/etc/rules/
# 部署 decoders
sudo cp decoders/*.xml /var/ossec/etc/decoders/
# 重启前验证
sudo /var/ossec/bin/wazuh-logtest
# 应用
sudo systemctl restart wazuh-manager
```
### 验证规则已加载
```
# 检查 rule 加载
sudo /var/ossec/bin/wazuh-logtest -V | grep -i arcenum
# 或者在 Wazuh dashboard 中:
# Rules → Custom Rules → 按 group 筛选:arcenum_*
```
### 规则 ID 参考
| 范围 | 文件 | 领域 |
|-------|------|--------|
| `100001–100099` | `linux_suspicious_activity.xml` | Linux 核心 |
| `101001–101099` | `windows_lateral_movement.xml` | Windows 核心 |
| `102001–102099` | `aws_cloudtrail_detections.xml` | AWS 核心 |
| `103001–103099` | `network_anomalies.xml` | 网络核心 |
| `200001–2009` | `linux_kernel_advanced.xml` | Linux 高级 |
| `201001–201120` | `windows_advanced_evasion.xml` | Windows 高级 |
| `202001–202110` | `active_directory_attacks.xml` | Active Directory |
| `203001–203090` | `aws_advanced_threats.xml` | AWS 高级 |
| `204001–204090` | `network_advanced_covert.xml` | 网络隐蔽 |
| `205001–205080` | `container_kubernetes.xml` | 容器 / K8s |
## 环境调优
**不要**直接编辑规则文件——这会让升级变得非常痛苦。相反,请在本地规则文件中进行覆盖:
```
100001
10.0.1.50
Tuning: suppressed sudo alert for jump host
```
使用 `
` 以及 `` / `` 过滤器来减少误报,而无需修改原始规则集。
## 关于
由 **[Pradhyumna Ghogare](https://github.com/PradhyumnaGhogare)** 构建,是 **Arcenum Systems** 独立网络安全研发计划的一部分。
Arcenum Systems 是一个以 Wazuh 为核心的 SIEM+UEBA 平台,通过定制的 Node.js 后端、React 前端和行为分析层进行了扩展——旨在为精简的安全团队提供无需企业级预算的企业级威胁检测能力。
- 🔬 **Wolfsense EDR:** [github.com/PradhyumnaGhogare/wolfsense-edr](https://github.com/PradhyumnaGhogare/wolfsense-edr)
- 👤 **GitHub:** [github.com/PradhyumnaGhogare](https://github.com/PradhyumnaGhogare)
## 生产环境实时警报
已在 **Wazuh 4.14.5** 上测试并验证——规则在生产环境中触发。
### Linux 可疑活动 — 实时仪表板
### 网络异常 — 实时仪表板
### Windows 横向移动 — 仪表板
## 许可证与归属
© 2024 Pradhyumna Ghogare / Arcenum Systems。MIT 许可证——可免费使用和修改,但需保留署名。
所有检测模式、规则逻辑和 MITRE 映射均为原创研究。如果您在您的环境中使用这些规则或基于它们进行构建,请注明出处。
*为那些以为没人在监视的对手而生。*
**Pradhyumna Ghogare, Arcenum Systems © 2026**
标签:0day挖掘, AD攻击, AMSI绕过, API接口, APT检测, C2通道, Cloudflare, CSV导出, DNS 解析, EDR, IP 地址批量处理, MITRE ATT&CK, PFX证书, Rootkit, Wazuh, Web截图, Web报告查看器, Zeek, 云身份, 内核安全, 命令与控制, 威胁检测, 子域名变形, 子域名突变, 安全运营, 容器安全, 容器逃逸, 扫描框架, 插件系统, 攻击检测, 数据展示, 模拟器, 活动目录安全, 紫队, 红队, 网络信息收集, 网络安全, 网络安全审计, 脆弱性评估, 规则集, 请求拦截, 隐私保护, 高级持续性威胁
# Arcenum Systems — 威胁检测引擎
### 针对现代对手的高级 Wazuh 检测规则
*内核 rootkit · Active Directory 滥用链 · 云身份利用 · 容器逃逸 · 隐蔽 C2 通道*
**[Pradhyumna Ghogare](https://github.com/PradhyumnaGhogare)**