V3nG4mxV1p3r/Wazuh-BYOVD-Guardian

# Wazuth-BYOVD-Guardian 🛡️ 一个生产级检测工程项目，旨在通过定制化的 Wazuh 规则与 Windows 服务控制管理器（SCM）遥测数据，检测并缓解 **BYOVD（自带易受攻击驱动程序）** 攻击向量。 --- ## 🛑 威胁：什么是 BYOVD？ 高级持续性威胁（APT）与当代勒索软件变种越来越多地利用 **BYOVD** 技术。攻击者不再部署自定义内核漏洞，而是投放一个经过合法签名但已知存在漏洞的驱动程序（例如 `gdrv.sys` 或 `mhyprot2.sys`）。 通过利用这些有缺陷的驱动程序，攻击者获得 **Ring 0（内核层）** 权限，从而能够直接修改内核结构、禁用端点检测与响应（EDR）代理，并在不触发标准用户层警报的情况下完全静默安全日志记录机制。 --- ## 🏗️ 检测策略与架构 标准检测机制通常关注进程创建遥测（例如监控 `sc.exe` 的命令行）。然而，高级恶意软件可以通过底层 Windows API 直接注册内核服务，从而完全绕过命令行日志记录。 **Wazuh-BYOVD-Guardian** 通过直接挂钩由服务控制管理器映射的 **Windows 系统事件 ID 7045（新建 Windows 服务）** 来解决这一盲点。无论执行方式如何，这都能确保高保真检测。 ### 精心设计的规则逻辑（`local_rules.xml`） 检测逻辑将遥测数据精简为核心行为指标，明确针对非标准驱动程序注册，同时避免 SIEM 映射引擎层中常见的前缀翻译陷阱。 ``` 61138 kernel mode driver Critical Threat - BYOVD (Bring Your Own Vulnerable Driver) Attack Detected! Suspicious Kernel Driver Installed. T1543.003 T1068 ``` --- ## 🔬 概念验证与模拟 **1. 攻击执行** 攻击向量通过将已知的内核级驱动程序投放至临时空间，并创建持久的内核模式服务上下文进行模拟。 ``` # 执行路径: C:\ai_attack_test\BYOVD_Detection\byovd_simulation.ps1 sc.exe create MaliciousDriver binPath= "C:\windows\temp\gdrv.sys" type= kernel ``` **以下是模拟脚本成功执行并显示服务注册的结果：** --- ## 🎯 遥测验证（Wazuh 仪表板） 当内核级组件映射到服务控制管理器数据库后，自定义规则会触发 13 级严重告警，并准确关联战术框架。 **高保真告警触发** 下方截图展示了自定义规则引擎成功匹配遥测签名： **细粒度证据分析** 对 JSON 负载的深度检查揭示了精确的审计映射，涉及目标镜像工件与行为分类参数： --- ## 🧹 实验环境清理 要撤销模拟实验基础设施中的环境变更，请执行以下命令清除虚拟注册表项与服务架构块： ``` sc.exe delete MaliciousDriver ``` --- ## 📌 给 SOC 团队的关键要点 * **监控 SCM 而非仅监控进程**：仅关注 `sc.exe` 或 `powershell.exe` 等二进制开关是不够的。应原生地针对服务修改本身进行检测。 * **精确过滤**：在 `` 元素内通过正则表达式匹配原始字符串索引，能在高流量事件摄取管道中显著降低 CPU 开销。

标签：AI合规, AMSI绕过, BYOVD, Conpot, EDR绕过, PFX证书, Wazuh, Web报告查看器, Windows安全, 事件ID7045, 云计算, 内核驱动, 协议分析, 威胁检测, 攻击检测, 服务控制管理器, 权限提升, 网络协议, 网络安全, 规则引擎, 隐私保护, 高交互蜜罐