pervis007/cybersecurity-ransomware-detection

# 🛡️ 勒索软件检测 — YARA + Wazuh 针对**复杂、人工操作的勒索软件**的检测工程。本仓库将一套 **YARA 规则**与 **Wazuh** 集成（文件完整性监控 + 主动响应）相结合，旨在勒索软件动静最大的时刻——破坏恢复、加密爆发以及勒索信——捕捉到它们，并提供了一个**安全的验证测试套件**，以及对精英勒索软件运作方式的完整**攻击链分析**。 ## 🧨 威胁：复杂的勒索软件攻击 现代勒索软件是**人工操作的双重勒索**——攻击者潜入系统、潜伏数天、**窃取数据**、删除备份，然后加密所有内容并索要双倍赎金。完整的杀伤链（初始访问 → 防御规避 → 凭据窃取 → 横向移动 → 数据外泄 → 卷影副本删除 → 大规模加密）已映射到 MITRE ATT&CK 以及本仓库中的检测规则，相关文档记录如下： ### ➡️ [docs/ATTACK-CHAIN.md](docs/ATTACK-CHAIN.md) ## 🧬 本仓库包含的内容 ``` yara/ransomware_rules.yar # YARA detection signatures (ransom notes, shadow-copy # deletion, crypto APIs, packed PEs, defense evasion) wazuh/active-response/yara.sh # Wazuh active response: YARA-scan files on FIM change wazuh/decoders/local_decoder.xml # Decoder that parses yara.sh output into fields wazuh/rules/local_rules.xml # Custom Wazuh rules to alert/escalate on YARA matches + FIM bursts wazuh/ossec-config-snippet.conf # FIM + active-response + log-ingest config snippets wazuh/apply_ossec_conf.py # Idempotent helper to merge the ossec.conf blocks simulation/simulate_detection.sh # SAFE, benign harness to validate the detections docs/ATTACK-CHAIN.md # Threat-intel walkthrough of a sophisticated ransomware attack docs/LIVE-VALIDATION.md # Proof it works: deployed live, real level-14 alerts + evidence ``` ## 📸 触发证明（实时） 部署在真实的 Wazuh v4.12.0 环境中——良性的模拟测试在仪表板中生成了**两个 14 级严重告警**。 **事件视图 —— 双重检测（规则 `108002`，14 级）：**  **威胁狩猎仪表板 —— 告警数量 + MITRE ATT&CK（为影响而加密数据、削弱防御、数据破坏、文件删除）：**  **原始证明：** 在 Wazuh 中索引到的告警 —— [`docs/live-validation/indexer-ransomware-alerts.json`](docs/live-validation/indexer-ransomware-alerts.json)。完整的方法、告警 JSON、主动响应日志以及可复现的查询位于 **[docs/LIVE-VALIDATION.md](docs/LIVE-VALIDATION.md)** 中。 **📄 完整报告：** [勒索软件威胁与检测评估 (PDF)](reports/Ransomware-Threat-Detection-Assessment.pdf) —— 包含威胁概况、检测策略、实时验证证据、覆盖范围评估以及安全加固。 ## 🎯 检测策略 复杂的攻击者在入侵的大部分时间里都会保持安静，但有**三个时刻是不可避免且具备高保真度的**——本项目正是针对这三个时刻： | 信号 | ATT&CK | 捕获方式 | |---|---|---| | **破坏恢复** —— 删除卷影副本 / 备份 | T1490 | YARA `Ransomware_ShadowCopy_Backup_Tampering` → Wazuh 规则 **100211 (14 级)** | | **加密爆发** —— 数秒内大量文件被修改 | T1486 | Wazuh FIM 频率规则 **100220** | | **勒索信** —— 勒索文本被写入磁盘 | T1486 | YARA `Ransomware_Ransom_Note` → Wazuh 规则 **100210** | 此外，还有针对加密 API 滥用、加壳/加密释放器以及加密前防御规避命令（禁用 AV/防火墙）的辅助规则。 ## 🚀 部署 **1. 将 YARA 规则 + 主动响应脚本存放在 Agent 上：** ``` sudo mkdir -p /var/ossec/etc/rules/yara sudo cp yara/ransomware_rules.yar /var/ossec/etc/rules/yara/ sudo cp wazuh/active-response/yara.sh /var/ossec/active-response/bin/ sudo chmod 750 /var/ossec/active-response/bin/yara.sh sudo chown root:wazuh /var/ossec/active-response/bin/yara.sh ``` （在 Agent 上安装 YARA + `jq`：`sudo apt install yara jq`。） **2. 添加 FIM + 主动响应配置**，内容取自 `wazuh/ossec-config-snippet.conf`（包含 Agent 的 `` 以及 Manager 的 ``/``）。 **3. 添加自定义规则**，将 `wazuh/rules/local_rules.xml` 中的内容添加到 Manager 的 `/var/ossec/etc/rules/local_rules.xml` 中，然后执行： ``` sudo systemctl restart wazuh-manager # manager sudo systemctl restart wazuh-agent # agent ``` ## ✅ 验证（安全） 包含的测试套件会在隔离的 `./detection-lab/` 文件夹中投放**无害的**指标文件——**没有加密，没有破坏性命令，不执行任何操作**——因此你可以确认规则是否会触发： ``` cd simulation bash simulate_detection.sh yara -r ../yara/ransomware_rules.yar ./detection-lab ``` 你应该能看到 `Ransomware_Ransom_Note`、`Ransomware_Encrypted_File_Extensions` 和 `Ransomware_ShadowCopy_Backup_Tampering` 的匹配项。如果 Wazuh Agent 的 FIM 监控了该路径，相同的事件将引发 **100210 / 100211** 告警。 ## 🧰 展示技能 检测工程 · YARA 规则编写 · Wazuh（FIM、主动响应、自定义规则） · MITRE ATT&CK 映射 · 勒索软件威胁情报 · 安全的对手模拟 / 检测验证。 *这是我[网络安全作品集](https://pervis007.github.io)的一部分 —— 与 [Wazuh SIEM 实验室](https://github.com/pervis007/cybersecurity-wazuh-siem)相配套。*

标签：Wazuh, YARA, 云资产可视化, 勒索软件检测, 后端开发, 威胁情报, 安全响应, 安全工程, 应用安全, 开发者工具, 逆向工具