abhinavkishor9/wazuh-sysmon-rundll32-lolbin-detection
GitHub: abhinavkishor9/wazuh-sysmon-rundll32-lolbin-detection
一个基于Wazuh和Sysmon的威胁狩猎实验项目,用于检测和分析Rundll32(LOLBin)被滥用以进行防御规避的行为。
Stars: 0 | Forks: 0
# wazuh-sysmon-rundll32-lolbin-detection
## 目标
本实验演示如何使用 Sysmon Event ID 1 和 Wazuh Threat Hunting 来检测和调查 **Rundll32.exe** 的执行情况。
Rundll32 是一个合法的 Windows 实用程序,用于执行由 DLL 文件导出的函数。由于它是受信任的 Microsoft 二进制文件,攻击者经常滥用它来执行恶意代码,同时混入正常的系统活动中。
目标是安全地生成 Rundll32 活动,收集遥测数据,并从 SOC 分析师的视角调查该事件
## MITRE ATT&CK
技术:
**T1218.011 – Rundll32**
战术:
**防御规避**
## 实验环境
- Windows 11
- Sysmon
- Wazuh Agent
- Wazuh Manager
- PowerShell
## 场景
用户使用以下命令启动 **rundll32.exe** 以打开 Windows 控制面板:
```
rundll32.exe shell32.dll,Control_RunDLL
```
Sysmon 记录进程创建事件。
Wazuh 接入该事件。
SOC 分析师进行调查:
- 进程创建
- 父进程
- 命令行
- 执行的 DLL
- 用户上下文
- 进程哈希
## 使用的命令
验证 Sysmon
```
Get-Service Sysmon64
```
验证 Wazuh Agent
```
Get-Service WazuhSvc
```
执行 Rundll32
```
rundll32.exe shell32.dll,Control_RunDLL
```
验证 Sysmon 事件
```
Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" `
-FilterXPath "*[System[(EventID=1)]]" `
-MaxEvents 50 |
Where-Object {$_.Message -match "rundll32.exe"}
```
显示完整事件
```
Get-WinEvent -LogName "Microsoft-Windows-Sysmon/Operational" `
-FilterXPath "*[System[(EventID=1)]]" `
-MaxEvents 50 |
Where-Object {$_.Message -match "rundll32.exe"} |
Select-Object -First 1 |
Format-List
```
## Wazuh Threat Hunting
示例搜索:
```
data.win.eventdata.image:*rundll32.exe*
```
或
```
data.win.eventdata.commandLine:*Control_RunDLL*
```
或
```
rundll32.exe
```
## 调查工作流
1. 验证 Sysmon 服务
2. 验证 Wazuh Agent
3. 执行 Rundll32
4. 确认 Event ID 1
5. 在 Wazuh 中追踪事件
6. 审查文档详情
7. 分析 JSON 字段
8. 记录发现
## 检测重点
Event ID
**1 – 进程创建**
感兴趣的字段
- Image
- ParentImage
- CommandLine
- User
- ProcessGuid
- Hashes
检测指标
- rundll32.exe
- shell32.dll
- Control_RunDLL
## MITRE 映射
| 战术 | 技术 |
|---------|-----------|
| 防御规避 | T1218.011 – Rundll32 |
## 学习成果
✔ 进程创建分析
✔ LOLBin 检测
✔ 父子进程调查
✔ 命令行分析
✔ Wazuh Threat Hunting
✔ MITRE ATT&CK 映射
✔ Windows 原生二进制文件调查
标签:AI合规, Sysmon, Wazuh, 安全实验