abhinavkishor9/wazuh-sysmon-rundll32-lolbin-detection

GitHub: abhinavkishor9/wazuh-sysmon-rundll32-lolbin-detection

一个基于Wazuh和Sysmon的威胁狩猎实验项目,用于检测和分析Rundll32(LOLBin)被滥用以进行防御规避的行为。

Stars: 0 | Forks: 0

# wazuh-sysmon-rundll32-lolbin-detection ## 目标 本实验演示如何使用 Sysmon Event ID 1 和 Wazuh Threat Hunting 来检测和调查 **Rundll32.exe** 的执行情况。 Rundll32 是一个合法的 Windows 实用程序,用于执行由 DLL 文件导出的函数。由于它是受信任的 Microsoft 二进制文件,攻击者经常滥用它来执行恶意代码,同时混入正常的系统活动中。 目标是安全地生成 Rundll32 活动,收集遥测数据,并从 SOC 分析师的视角调查该事件 ## MITRE ATT&CK 技术: **T1218.011 – Rundll32** 战术: **防御规避** ## 实验环境 - Windows 11 - Sysmon - Wazuh Agent - Wazuh Manager - PowerShell ## 场景 用户使用以下命令启动 **rundll32.exe** 以打开 Windows 控制面板: ``` rundll32.exe shell32.dll,Control_RunDLL ``` Sysmon 记录进程创建事件。 Wazuh 接入该事件。 SOC 分析师进行调查: - 进程创建 - 父进程 - 命令行 - 执行的 DLL - 用户上下文 - 进程哈希 ## 使用的命令 验证 Sysmon ``` Get-Service Sysmon64 ``` 验证 Wazuh Agent ``` Get-Service WazuhSvc ``` 执行 Rundll32 ``` rundll32.exe shell32.dll,Control_RunDLL ``` 验证 Sysmon 事件 ``` Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" ` -FilterXPath "*[System[(EventID=1)]]" ` -MaxEvents 50 | Where-Object {$_.Message -match "rundll32.exe"} ``` 显示完整事件 ``` Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" ` -FilterXPath "*[System[(EventID=1)]]" ` -MaxEvents 50 | Where-Object {$_.Message -match "rundll32.exe"} | Select-Object -First 1 | Format-List ``` ## Wazuh Threat Hunting 示例搜索: ``` data.win.eventdata.image:*rundll32.exe* ``` 或 ``` data.win.eventdata.commandLine:*Control_RunDLL* ``` 或 ``` rundll32.exe ``` ## 调查工作流 1. 验证 Sysmon 服务 2. 验证 Wazuh Agent 3. 执行 Rundll32 4. 确认 Event ID 1 5. 在 Wazuh 中追踪事件 6. 审查文档详情 7. 分析 JSON 字段 8. 记录发现 ## 检测重点 Event ID **1 – 进程创建** 感兴趣的字段 - Image - ParentImage - CommandLine - User - ProcessGuid - Hashes 检测指标 - rundll32.exe - shell32.dll - Control_RunDLL ## MITRE 映射 | 战术 | 技术 | |---------|-----------| | 防御规避 | T1218.011 – Rundll32 | ## 学习成果 ✔ 进程创建分析 ✔ LOLBin 检测 ✔ 父子进程调查 ✔ 命令行分析 ✔ Wazuh Threat Hunting ✔ MITRE ATT&CK 映射 ✔ Windows 原生二进制文件调查
标签:AI合规, Sysmon, Wazuh, 安全实验