abhinavkishor9/wazuh-threat-hunting-lab05-registry-persistence-detection
GitHub: abhinavkishor9/wazuh-threat-hunting-lab05-registry-persistence-detection
基于 Wazuh 和 Sysmon 的威胁狩猎实验,演示 Windows 注册表 Run Key 持久化攻击的创建、检测、调查与清除全流程。
Stars: 0 | Forks: 0
# wazuh-threat-hunting-lab05-registry-persistence-detection
## 概述
本实验演示了如何利用 Windows 注册表 Run Keys 实现持久化,以及 Sysmon 和 Wazuh 如何检测与此技术相关的注册表修改。
本次实验的目标是模拟注册表 Run Key 持久化、验证 Sysmon 日志记录、在 Wazuh Threat Hunting 中调查该事件,并在验证完成后清理注册表项。
## 实验目标
- 验证 Sysmon 服务
- 验证 Wazuh agent
- 创建注册表 Run Key
- 确认生成 Sysmon Event ID 13
- 在 Wazuh Threat Hunting 中检测该事件
- 查看注册表修改详情
- 删除注册表项
## 环境
- Windows 11
- Sysmon
- Wazuh Agent
- Wazuh Manager
- Wazuh Dashboard
## 攻击技术
MITRE ATT&CK
**T1547.001 — Registry Run Keys / Startup Folder**
攻击者利用注册表 Run Keys 在用户每次登录时自动启动恶意程序。
## 检测工作流
1. 验证 Sysmon 是否正在运行。
2. 验证 Wazuh Agent 是否已连接。
3. 创建注册表 Run Key。
4. Sysmon 记录 Event ID 13。
5. Wazuh 接收该事件。
6. 在 Threat Hunting 中调查该事件。
7. 验证注册表值。
8. 移除持久化机制。
## 使用的命令
验证 Sysmon
```
Get-Service Sysmon64
```
验证 Wazuh
```
Get-Service WazuhSvc
```
创建注册表 Run Key
```
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v WazuhLab /t REG_SZ /d "notepad.exe" /f
```
验证注册表项
```
reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Run
```
检查 Sysmon Event ID 13
```
Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" -FilterXPath "*[System[(EventID=13)]]" -MaxEvents 20
```
清理
```
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v WazuhLab /f
```
## 检测结果
- 注册表 Run Key 创建成功
- Sysmon 生成了 Event ID 13
- Wazuh 成功接收该事件
- 规则映射至注册表 Run Key 持久化
- 注册表修改在 Threat Hunting 中可见
- 持久化已成功移除
## 实践技能
- Windows 注册表分析
- 持久化检测
- Sysmon 事件分析
- Wazuh Threat Hunting
- IOC 调查
- MITRE ATT&CK 映射
- 注册表取证
## MITRE ATT&CK 映射
| 技术 | 描述 |
|------------|-------------|
| T1547.001 | Registry Run Keys / Startup Folder |
## 结果
成功模拟了注册表 Run Key 持久化,并使用 Sysmon 和 Wazuh 验证了端到端的检测过程。
标签:AI合规, Sysmon, URL发现, Wazuh, Windows注册表, 安全实验, 安全检测