WHowlett/wazuh-ssh-bruteforce-detection

GitHub: WHowlett/wazuh-ssh-bruteforce-detection

基于Wazuh SIEM的自定义规则集，实现对SSH暴力破解攻击的分层检测与MITRE ATT&CK映射。

Stars: 0 | Forks: 0

# 🔐 Wazuh SSH 暴力破解检测（检测工程项目） ## 📌 概述本项目演示了如何通过自定义检测工程技术，使用 Wazuh SIEM 检测 SSH 暴力破解攻击。实验中，模拟攻击由 Kali Linux 系统使用 Hydra 发起，目标为一台 Linux 服务器。我们创建了检测规则来识别早期预警指标和已确认的暴力破解活动，从而为身份验证攻击提供分层的可见性。 ## 🧪 实验环境该实验室包含三个系统： * Kali Linux（攻击者） * Linux 服务器（目标） * Wazuh SIEM（监控与检测）所有系统均连接在一个私有虚拟网络中。 ![实验设置](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/3cb17a4666002005.png) ## 🌐 网络连通性验证系统间的连通性已验证，以确保整个环境中的正常通信。在执行任何攻击或监控活动之前，此步骤至关重要。 ![连通性测试](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/07e98b2d92002019.png) ## 🔐 SSH 服务验证已确认目标系统上的 SSH 服务处于活动运行状态。这确保了系统在攻击模拟期间是可访问且可被作为目标的。 ![SSH 状态](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/ece3f4a6fb002030.png) ## 📉 初始登录失败活动在系统日志中生成并验证了初始的登录失败尝试。这证实了在应用检测规则之前，身份验证失败已被正确记录。 ![初始登录失败](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/0ef4d6c396002040.png) ## 🔑 密码字典准备创建了一个自定义密码列表，以使用常见的弱密码模拟真实的暴力破解尝试。 ![密码列表](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/aa735b8c97002050.png) ## 💥 暴力破解攻击模拟（Hydra）使用 Hydra 并利用准备好的字典对 SSH 服务执行暴力破解攻击。这模拟了攻击者试图获取未经授权访问权限的行为。 ``` hydra -l securityadmin -P passwords.txt ssh://192.168.100.20 ``` ![Hydra 攻击](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/57470f73b6002113.png) ## 📊 增加的登录失败活动攻击发生后，在系统日志中观察到了多次登录失败尝试，确认该攻击产生了大量的身份验证失败记录。 ![登录失败日志](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/f8fdb217b6002124.png) ## 🛡️ Wazuh 检测（基础规则） Wazuh 使用内置规则成功检测到了身份验证失败事件。这些事件可在 SIEM 仪表板中查看。 ![Wazuh 事件](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/50741e68dc002205.png) ## 🔍 告警详情分析对告警的详细检查显示了来自单一源 IP 的多次登录失败尝试的关联性，表明存在可疑活动。 ![告警详情](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/b80935d9b2002214.png) ## ⚙️ 自定义暴力破解检测规则创建了一条自定义规则，通过在定义的时间范围内关联多次登录失败尝试来检测暴力破解行为。 ![自定义规则](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/507f825304002225.png) ## ⚠️ 早期预警检测规则创建了额外的规则作为早期预警系统，通过在升级之前检测较少数量的失败尝试来发挥作用。 ![警告规则](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/043d918af8002238.png) ## 🔁 重启 Wazuh 服务重启 Wazuh manager 以应用新创建的检测规则。 ![Wazuh 重启](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/6fa3ec8e14002249.png) ## 💥 最终攻击模拟（分层检测）执行了第二次暴力破解攻击以验证这两条检测规则。这证实了分层检测的能力。 ![最终攻击](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/4c03e9b4fa002258.png) ## 🚨 分层检测结果早期预警和高严重级别告警均被成功触发，证明了检测工程实施的有效性。 ![最终告警](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/cd2ab8fef4002307.png) ## 🎯 MITRE ATT&CK 映射此活动主要映射到： * **T1110 – Brute Force** 攻击者通过反复尝试多种密码组合来获取访问权限。尽管在此模拟过程中没有发生成功的身份验证，但持续的暴力破解活动可能会通过以下途径导致失陷： * **T1078 – Valid Accounts（潜在升级）** 如果发现了有效的凭证，攻击者可能会获得对系统的合法访问权限。这突出了早期检测的重要性，以防止从失败的尝试升级为完全失陷。 ## 🚨 如果攻击者成功了会怎样？如果暴力破解攻击成功识别出有效凭证，攻击将从失败的登录尝试转变为主动的系统失陷。在这种情况下，检测重点必须从失败模式转移到： * 成功登录异常（意外登录） * 来自异常 IP 地址或地理位置的登录 * 权限提升活动 * 横向移动或持久化技术未来的检测增强功能可能包括： * 针对多次失败后成功通过 SSH 登录的告警 * 检测异常的登录时间或行为 * 监控身份验证后的活动这证明了不仅在早期检测攻击很重要，为失陷后的检测场景做准备也同样重要。 ## 📊 结论本项目演示了如何应用检测工程技术，使用 Wazuh SIEM 来识别暴力破解攻击。通过实施早期预警和高置信度检测规则，显著提高了对攻击模式的可见性。这种分层方法通过允许防御者在完全失陷发生之前检测并响应可疑行为，从而增强了安全监控。此外，了解攻击如何在初始访问之后继续发展，可以提供更强大的防御策略。 ## 🔧 未来改进 * 实施自动响应（IP 封禁） * 添加攻击者 IP 的地理位置富化 * 检测成功登录的异常情况 * 集成告警通知（电子邮件、Slack、SIEM 通知） * 将检测范围扩展到其他攻击技术 ## 🌐 作品集在我的完整作品集中查看此项目： 👉 [https://your-portfolio-link-here](https://www.ihowlett.com/projects/brute-force-detection) ## 📌 简历要点在 Wazuh SIEM 中实施分层检测逻辑以识别 SSH 暴力破解攻击，通过自定义规则开发和攻击模拟，将身份验证失败事件关联为早期预警和高严重级别告警。

标签：AMSI绕过, CCTV/网络接口发现, Cloudflare, Hydra, MITRE ATT&CK, SIEM规则编写, SSH暴力破解, Wazuh SIEM, 关联规则, 内存分配, 威胁检测, 安全实验室, 安全检测工程, 异常行为检测, 暴力破解防御, 模拟攻击, 管理员页面发现, 网络安全, 蓝队建设, 身份验证攻击, 隐私保护