karthikgk1001/Offsec-SigmaRule
GitHub: karthikgk1001/Offsec-SigmaRule
将进攻性安全研究(如WSL EDR绕过)转化为高保真Sigma检测规则的开源威胁检测项目,每条规则均经过Sysmon验证并贡献至SigmaHQ。
Stars: 0 | Forks: 0
# 🔍 威胁检测研究
### 进攻性 TTPs → 高保真检测 | SigmaHQ 贡献者
本仓库记录了将进攻性安全研究转化为可操作的检测逻辑。每个项目都包含攻击方法、Sigma 规则、SIEM 转换以及验证证据。
## 🎯 项目:基于 WSL 的 EDR 绕过检测
### 🔴 进攻性背景
**技术**:攻击者滥用 Windows Subsystem for Linux (WSL),在 Windows 用户态 EDR hook 之外执行 Linux 原生 payload。
**原理**:WSL2 运行在轻量级实用工具 VM 中。许多 EDR agent 仅 hook Win32 API,导致对 WSL 内部执行的 Linux 二进制文件缺乏充分监控。
**实际应用**:Red Team 利用此技术来部署 C2 框架(Sliver, Havoc),运行 LOLBins(chisel, nmap),或通过 Linux 管道进行数据外发。
**MITRE ATT&CK**:
- [T1202: 间接命令执行](https://attack.mitre.org/techniques/T1202/)
- [T1059.004: Unix Shell](https://attack.mitre.org/techniques/T1059/004/)
### 🔵 防御性实现
**规则**:`proc_creation_wsl_suspicious_exec.yml`
**状态**:✅ 已提交至 [SigmaHQ/sigma](https://github.com/SigmaHQ/sigma)
**日志来源**:Windows Sysmon Event ID 1 (Process Creation)
**检测逻辑**:
```
detection:
selection_img:
Image|endswith: '\wsl.exe'
OriginalFileName: 'wsl.exe'
selection_cli_exec:
CommandLine|contains:
- '-e '
- '--exec '
- 'bash -c'
- 'sh -c'
selection_cli_paths:
CommandLine|contains:
- '\AppData\Local\Temp\'
- '\Users\Public\'
- '/tmp/'
- '/dev/shm/'
condition: all of selection_*
```
### 🧪 验证与证据
- ✅ `sigma check` 通过:0 个错误,0 个问题
- ✅ 模拟执行:`wsl.exe -e bash -c "echo test > /tmp/output.txt"`
- ✅ 捕获到 Sysmon Event ID 1,且包含匹配的 `Image`、`CommandLine` 和路径指示器
📸 **可视化证据**:

*说明:Sysmon 记录了带有可疑 CLI 参数(`-e`、`bash -c`、`/tmp/`)的 wsl.exe 进程创建,触发了所有 Sigma 规则条件。*
📄 **完整测试报告**:[`evidence/test_report.md`](evidence/test_report.md)
### 📚 参考资料
- [SigmaHQ 规范](https://github.com/SigmaHQ/sigma-specification)
- [Elastic Security: WSL Living Off The Land](https://www.elastic.co/security-labs/wsl-living-off-the-land)
- [MITRE ATT&CK: T1202](https://attack.mitre.org/techniques/T1202/)
- [Sysmon 文档](https://learn.microsoft.com/en-us/sysinternals/downloads/sysmon)
**作者**:Karthik G
标签:Sigma规则, WSL安全, 威胁情报, 子域枚举, 开发者工具, 数据展示, 目标导入, 红队