abhinavkishor9/wazuh-threat-hunting-lab05-registry-persistence-detection

GitHub: abhinavkishor9/wazuh-threat-hunting-lab05-registry-persistence-detection

基于 Wazuh 和 Sysmon 的威胁狩猎实验,演示 Windows 注册表 Run Key 持久化攻击的创建、检测、调查与清除全流程。

Stars: 0 | Forks: 0

# wazuh-threat-hunting-lab05-registry-persistence-detection ## 概述 本实验演示了如何利用 Windows 注册表 Run Keys 实现持久化,以及 Sysmon 和 Wazuh 如何检测与此技术相关的注册表修改。 本次实验的目标是模拟注册表 Run Key 持久化、验证 Sysmon 日志记录、在 Wazuh Threat Hunting 中调查该事件,并在验证完成后清理注册表项。 ## 实验目标 - 验证 Sysmon 服务 - 验证 Wazuh agent - 创建注册表 Run Key - 确认生成 Sysmon Event ID 13 - 在 Wazuh Threat Hunting 中检测该事件 - 查看注册表修改详情 - 删除注册表项 ## 环境 - Windows 11 - Sysmon - Wazuh Agent - Wazuh Manager - Wazuh Dashboard ## 攻击技术 MITRE ATT&CK **T1547.001 — Registry Run Keys / Startup Folder** 攻击者利用注册表 Run Keys 在用户每次登录时自动启动恶意程序。 ## 检测工作流 1. 验证 Sysmon 是否正在运行。 2. 验证 Wazuh Agent 是否已连接。 3. 创建注册表 Run Key。 4. Sysmon 记录 Event ID 13。 5. Wazuh 接收该事件。 6. 在 Threat Hunting 中调查该事件。 7. 验证注册表值。 8. 移除持久化机制。 ## 使用的命令 验证 Sysmon ``` Get-Service Sysmon64 ``` 验证 Wazuh ``` Get-Service WazuhSvc ``` 创建注册表 Run Key ``` reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v WazuhLab /t REG_SZ /d "notepad.exe" /f ``` 验证注册表项 ``` reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Run ``` 检查 Sysmon Event ID 13 ``` Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" -FilterXPath "*[System[(EventID=13)]]" -MaxEvents 20 ``` 清理 ``` reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v WazuhLab /f ``` ## 检测结果 - 注册表 Run Key 创建成功 - Sysmon 生成了 Event ID 13 - Wazuh 成功接收该事件 - 规则映射至注册表 Run Key 持久化 - 注册表修改在 Threat Hunting 中可见 - 持久化已成功移除 ## 实践技能 - Windows 注册表分析 - 持久化检测 - Sysmon 事件分析 - Wazuh Threat Hunting - IOC 调查 - MITRE ATT&CK 映射 - 注册表取证 ## MITRE ATT&CK 映射 | 技术 | 描述 | |------------|-------------| | T1547.001 | Registry Run Keys / Startup Folder | ## 结果 成功模拟了注册表 Run Key 持久化,并使用 Sysmon 和 Wazuh 验证了端到端的检测过程。
标签:AI合规, Sysmon, URL发现, Wazuh, Windows注册表, 安全实验, 安全检测