sec17br/lolbins-blue-team
GitHub: sec17br/lolbins-blue-team
面向蓝队的 LOLBins 检测参考文档,整合 GTFOBins 与 LOLBAS 知识并提供可直接部署的 Wazuh 检测规则和 Sigma 规则。
Stars: 0 | Forks: 0
# LOLBins 蓝队指南
防御性安全团队关于 Linux 和 Windows 环境中 Living Off The Land (LotL) 技术的参考文档,重点关注通过 Wazuh 进行检测。
## 背景
经验丰富的攻击者会避免在被攻陷的系统中安装外部工具。相反,他们会滥用操作系统中已有的合法二进制文件来执行代码、传输文件、提升权限和窃取数据。这种被称为 Living Off The Land 的方法增加了杀毒软件和基于哈希值的解决方案的检测难度,因为所使用的二进制文件都经过数字签名,并被系统视为可信文件。
本项目交叉参考了两个攻击性参考存储库:
- GTFOBins (https://gtfobins.org) — 可被滥用的 Unix/Linux 二进制文件
- LOLBAS (https://lolbas-project.github.io) — 可被滥用的 Windows 二进制文件、脚本和库
最终的结果是一份面向蓝队的文档:针对每一个二进制文件,我们将在实践中解释攻击是如何运作的、需要寻找哪些迹象、如何在 Wazuh 中配置规则,以及如何减少误报。
## 指导原则
理解攻击是进行有效检测的前提。在缺乏对技术理解的情况下创建的规则往往会引发大量噪音或导致覆盖不足。因此,在提出任何检测控制措施之前,本项目的每个条目都会通过真实示例来描述其攻击性行为。
## 结构
```
lolbins-blue-team/
├── docs/
│ ├── methodology.md # Como funcionam LOLBins, contextos de abuso e modelo de detecção
│ ├── wazuh-setup.md # Configuração de auditd, Sysmon e importação de regras
│ └── mitre-mapping.md # Tabela cruzada com MITRE ATT&CK
├── linux/
│ ├── execution/ # Interpretadores e executores de código arbitrário
│ ├── file-operations/ # Leitura, escrita e manipulação de arquivos
│ ├── network/ # Download, upload, shells reversos, tunelamento
│ ├── privesc/ # Escalada de privilégios via sudo, SUID e capabilities
│ └── data-exfil/ # Exfiltração de dados por canais alternativos
├── windows/
│ ├── execution/ # Execução de código via binários nativos do Windows
│ ├── download/ # Transferência de arquivos de entrada
│ ├── awl-bypass/ # Bypass de Application Whitelist (AppLocker, WDAC)
│ ├── dump/ # Extração de credenciais e memória de processos
│ └── uac-bypass/ # Elevação de privilégios sem prompt de UAC
├── wazuh-rules/
│ ├── linux/ # Regras XML para eventos auditd e syslog
│ └── windows/ # Regras XML para Sysmon e Windows Event Log
└── sigma/ # Regras Sigma para portabilidade entre SIEMs
```
## 如何使用 Wazuh 规则
将 XML 文件复制到 Wazuh Manager 的规则目录中并重新加载:
```
cp wazuh-rules/linux/*.xml /var/ossec/etc/rules/
cp wazuh-rules/windows/*.xml /var/ossec/etc/rules/
systemctl restart wazuh-manager
```
有关 auditd (Linux) 和 Sysmon (Windows) 的完整配置,请参阅 docs/wazuh-setup.md。
## 当前覆盖范围
### Linux
| 二进制文件 | 已覆盖类别 |
|---------|---------------------|
| curl | 下载、上传、数据窃取、反弹 shell |
| wget | 即将推出 |
| python3 | 即将推出 |
| bash | 即将推出 |
| nc/ncat | 即将推出 |
### Windows
| 二进制文件 | 已覆盖类别 |
|---------|---------------------|
| certutil.exe | 下载、编码/解码、备用数据流 (Alternate Data Streams) |
| rundll32.exe | 即将推出 |
| mshta.exe | 即将推出 |
| msbuild.exe | 即将推出 |
| powershell.exe | 即将推出 |
## 主要参考
- GTFOBins: https://gtfobins.org
- LOLBAS Project: https://lolbas-project.github.io
- MITRE ATT&CK: https://attack.mitre.org
- Wazuh Documentation: https://documentation.wazuh.com
- Sigma Rules: https://github.com/SigmaHQ/sigma
- InternalAllTheThings: https://swisskyrepo.github.io/InternalAllTheThings
本材料专供防御性安全团队使用。复现这些攻击示例仅出于教学和检测目的。
标签:HTTP工具, Living Off The Land, Wazuh, Web报告查看器, 知识库安全, 防御加固