fee-191/wazuh-cex-rules

# wazuh-cex-rules 针对加密货币交易所 (CEX) 环境的 Custom Wazuh detection rules —— 基于行业内大型黑客事件分析设计。 [security-template](https://github.com/fee-191/security-template)（针对代码的 Semgrep rules）和 [cex-incident-research](https://github.com/fee-191/cex-incident-research)（事件分析）的姊妹项目。 ## 概述 | | | |---|---| | Rules | 11 条检测规则 | | MITRE ATT&CK | 10 项技术 | | 涵盖事件 | Bybit · Mixin · Ronin · Upbit · KuCoin · WazirX | | 严重程度范围 | 10–15 (High) | ## 已分析的事件 | 事件 | 年份 | 损失 | 检测模式 | |----|-----|-----------|------------------| | Bybit | 2025 | $1.5B | 非工作时间云登录 + S3 JS 写入 | | Mixin | 2023 | $200M | GCP 凭据泄露 + 不安全的 Python Exec | | Ronin | 2022 | $625M | 异常的 validator 签名频率 | | WazirX | 2024 | $235M | Multisig 托管篡改 | | Upbit | 2019 | $50M | 大额提现速度异常 | | KuCoin | 2020 | $281M | Hot wallet 耗尽模式 | ## 安装 ``` # 将 rule file 复制到 Wazuh Manager cp rules/cex-threat-detection.xml /var/ossec/etc/rules/ # 验证 /var/ossec/bin/ossec-analysisd -t # 重启 Wazuh Manager systemctl restart wazuh-manager ``` ## 规则类别 ### 1. 凭据与会话窃取 (100001–100002) 检测云凭据泄露和非工作时间登录 —— 对应 Bybit 2025（AWS session token）和 Mixin 2023（GCP credentials）的攻击模式。 ### 2. 供应链 — S3 篡改 (100010–100011) 当 JavaScript 文件被写入生产环境 S3 bucket 时发出警报 —— 在 JS injection 发生时即刻检测 Bybit 攻击模式。 ### 3. Hot Wallet 耗尽 (100020–100021) 针对大额提现的速度检查 —— 对应 Upbit 2019 和 KuCoin 2020 的攻击模式。 ### 4. IAM 枚举与滥用 (100030–100031) 检测攻击者在获得 initial access 后进行的侦察和权限提升。 ### 5. Validator / Multisig 异常 (100040) 签名频率异常 —— 检测 Ronin 2022 和 WazirX 2024 的攻击模式。 ### 6. 钓鱼 / 恶意执行 (100050–100051) 检测特权工作站上的虚假招聘信息以及从下载路径执行的不安全 Python —— Lazarus Group 的 TTP。 ## 相关文档 - [各黑客事件详细分析 →](https://github.com/fee-191/cex-incident-research) - [针对代码安全的 Semgrep rules →](https://github.com/fee-191/security-template) - [Wazuh 规则语法文档 →](https://documentation.wazuh.com/current/user-manual/ruleset/ruleset-xml-syntax/rules.html)

标签：AMSI绕过, Wazuh, 加密货币交易所, 威胁检测, 文档安全, 检测规则, 漏洞利用检测, 网络资产发现