karthikgk1001/Offsec-SigmaRule

GitHub: karthikgk1001/Offsec-SigmaRule

将进攻性安全研究(如WSL EDR绕过)转化为高保真Sigma检测规则的开源威胁检测项目,每条规则均经过Sysmon验证并贡献至SigmaHQ。

Stars: 0 | Forks: 0

# 🔍 威胁检测研究 ### 进攻性 TTPs → 高保真检测 | SigmaHQ 贡献者 本仓库记录了将进攻性安全研究转化为可操作的检测逻辑。每个项目都包含攻击方法、Sigma 规则、SIEM 转换以及验证证据。 ## 🎯 项目:基于 WSL 的 EDR 绕过检测 ### 🔴 进攻性背景 **技术**:攻击者滥用 Windows Subsystem for Linux (WSL),在 Windows 用户态 EDR hook 之外执行 Linux 原生 payload。 **原理**:WSL2 运行在轻量级实用工具 VM 中。许多 EDR agent 仅 hook Win32 API,导致对 WSL 内部执行的 Linux 二进制文件缺乏充分监控。 **实际应用**:Red Team 利用此技术来部署 C2 框架(Sliver, Havoc),运行 LOLBins(chisel, nmap),或通过 Linux 管道进行数据外发。 **MITRE ATT&CK**: - [T1202: 间接命令执行](https://attack.mitre.org/techniques/T1202/) - [T1059.004: Unix Shell](https://attack.mitre.org/techniques/T1059/004/) ### 🔵 防御性实现 **规则**:`proc_creation_wsl_suspicious_exec.yml` **状态**:✅ 已提交至 [SigmaHQ/sigma](https://github.com/SigmaHQ/sigma) **日志来源**:Windows Sysmon Event ID 1 (Process Creation) **检测逻辑**: ``` detection: selection_img: Image|endswith: '\wsl.exe' OriginalFileName: 'wsl.exe' selection_cli_exec: CommandLine|contains: - '-e ' - '--exec ' - 'bash -c' - 'sh -c' selection_cli_paths: CommandLine|contains: - '\AppData\Local\Temp\' - '\Users\Public\' - '/tmp/' - '/dev/shm/' condition: all of selection_* ``` ### 🧪 验证与证据 - ✅ `sigma check` 通过:0 个错误,0 个问题 - ✅ 模拟执行:`wsl.exe -e bash -c "echo test > /tmp/output.txt"` - ✅ 捕获到 Sysmon Event ID 1,且包含匹配的 `Image`、`CommandLine` 和路径指示器 📸 **可视化证据**: ![Sysmon Event ID 1 - WSL Detection Trigger](https://static.pigsec.cn/wp-content/uploads/repos/cas/05/056ea8570ae7aaf380e8cbccb5c032f1f86802ce76f3a516ae1a6710d7655087.png) *说明:Sysmon 记录了带有可疑 CLI 参数(`-e`、`bash -c`、`/tmp/`)的 wsl.exe 进程创建,触发了所有 Sigma 规则条件。* 📄 **完整测试报告**:[`evidence/test_report.md`](evidence/test_report.md) ### 📚 参考资料 - [SigmaHQ 规范](https://github.com/SigmaHQ/sigma-specification) - [Elastic Security: WSL Living Off The Land](https://www.elastic.co/security-labs/wsl-living-off-the-land) - [MITRE ATT&CK: T1202](https://attack.mitre.org/techniques/T1202/) - [Sysmon 文档](https://learn.microsoft.com/en-us/sysinternals/downloads/sysmon) **作者**:Karthik G
标签:Sigma规则, WSL安全, 威胁情报, 子域枚举, 开发者工具, 数据展示, 目标导入, 红队