ZeiadAlfahham/wazuh-rdp-bruteforce-detection

GitHub: ZeiadAlfahham/wazuh-rdp-bruteforce-detection

该项目是一个家庭SOC实验室,演示了在隔离环境中模拟RDP暴力破解攻击并使用Wazuh进行身份验证事件检测的完整攻防工作流程。

Stars: 0 | Forks: 0

# 使用 Wazuh 进行 RDP 暴力破解检测 这是一个实操作的家庭 SOC 实验室,模拟针对 Windows 10 终端的 RDP 暴力破解攻击,并在 Wazuh 中验证由此产生的失败和成功身份验证事件。 ## 项目概述 本项目演示了一个完整的攻击与检测工作流程: ``` Kali Linux (Attacker) | | RDP brute-force + authenticated access v Windows 10 (Victim) | | Windows event logs via Wazuh Agent v Ubuntu 24.04 (Wazuh Server) | v Wazuh Dashboard -> Detection and investigation ``` 目标是在受控环境中重现真实的凭证攻击,验证攻击者的访问权限,并确认 SIEM 捕获了失败的尝试以及最终成功的远程登录。 ## 实验室拓扑 | 机器 | 角色 | IP 地址 | |---|---|---| | Kali Linux | 攻击者 | `10.37.1.115/24` | | Ubuntu 24.04 | Wazuh Server | `10.37.1.116/24` | | Windows 10 | 受害者 / 受监控终端 | `10.37.1.113/24` | 所有机器均在 VirtualBox 中运行,处于名为 `SOClab`(`10.37.1.0/24`)的隔离内部网络中。Windows 终端使用 Wazuh agent 进行日志收集,并使用 Sysmon 提供额外的终端遥测数据。 ## 使用的工具 ### Wazuh 作为中央 SIEM 和检测平台,用于收集终端日志、应用检测规则以及调查身份验证活动。 ### Hydra 在 Kali Linux 上使用,利用受控的用户名和密码字典模拟 RDP 凭证暴力破解攻击。 ### xfreerdp 用于通过建立经过身份验证的 RDP 会话连至 Windows 终端,来验证恢复的实验室凭证。 ### Sysmon 安装在 Windows 终端上,为更广泛的 SOC 实验室环境提供额外的系统遥测数据。 ## 方法论 1. **准备目标** — 在 Windows 10 上启用远程桌面,允许 RDP 通过防火墙,并确认端口 `3389` 正在监听。 2. **模拟攻击** — 从 Kali Linux 对 Windows RDP 服务发起受控的 Hydra 暴力破解攻击。 3. **验证访问** — 使用恢复的实验室凭证配合 `xfreerdp` 建立远程桌面会话。 4. **调查遥测数据** — 在 Wazuh 中审查失败和成功的身份验证事件,并验证相应的警报。 ## 攻击与检测演练 ### 1. Windows 10 上的 RDP 设置 ![Windows 10 终端上的 RDP 设置](https://raw.githubusercontent.com/ZeiadAlfahham/wazuh-rdp-bruteforce-detection/main/screenshots/01-rdp-setup.png) Windows 终端被配置为实验室目标。启用了远程桌面,激活了防火墙规则,验证了 `TermService` 服务,并确认了与端口 `3389` 的连通性。 ### 2. RDP 暴力破解模拟 ![针对 RDP 的 Hydra 暴力破解攻击](https://raw.githubusercontent.com/ZeiadAlfahham/wazuh-rdp-bruteforce-detection/main/screenshots/02-hydra-bruteforce.png) 在 Kali Linux 上针对 Windows 10 RDP 服务运行 Hydra,并使用了受控的字典。该攻击产生了重复的身份验证失败,并最终识别出有效的**仅限实验室**凭证对。公开截图中已隐去密码。 示例命令: ``` hydra -L users.txt -P passwords.txt -t 1 -W 3 rdp://10.37.1.113 ``` ### 3. 经过身份验证的 RDP 访问 ![早期的 xfreerdp 连接尝试](https://raw.githubusercontent.com/ZeiadAlfahham/wazuh-rdp-bruteforce-detection/main/screenshots/03-xfreerdp-attempts.png) 在测试实验室连接时,最初的 `xfreerdp` 尝试产生了预期的证书和连接警告。 ![成功的远程桌面会话](https://raw.githubusercontent.com/ZeiadAlfahham/wazuh-rdp-bruteforce-detection/main/screenshots/04-xfreerdp-successful-session.png) 成功的 RDP 会话确认了对 Windows 10 终端的交互式访问。使用 `hostname` 和 `ipconfig` 等命令验证了受陷的实验室主机,并完成了攻击链。 ### 4. 检测验证:失败的身份验证 ![显示失败身份验证活动的 Wazuh dashboard](https://raw.githubusercontent.com/ZeiadAlfahham/wazuh-rdp-bruteforce-detection/main/screenshots/05-wazuh-failed-auth-dashboard.png) Wazuh dashboard 显示了在暴力破解模拟期间产生的 **100 个失败的身份验证事件**。 ![显示单个失败登录的 Wazuh 事件列表](https://raw.githubusercontent.com/ZeiadAlfahham/wazuh-rdp-bruteforce-detection/main/screenshots/06-wazuh-failed-auth-events.png) 在 Wazuh 规则 `60122`(等级 5)下记录了单个 `Logon Failure - Unknown user or bad password` 警报,为重复的凭证猜测提供了直接的事件级证据。 ### 5. 检测验证:成功的身份验证 ![显示成功身份验证活动的 Wazuh dashboard](https://raw.githubusercontent.com/ZeiadAlfahham/wazuh-rdp-bruteforce-detection/main/screenshots/07-wazuh-successful-auth-dashboard.png) Dashboard 还捕获了与后续访问尝试相关联的成功身份验证活动。 ![显示成功远程登录的 Wazuh 事件列表](https://raw.githubusercontent.com/ZeiadAlfahham/wazuh-rdp-bruteforce-detection/main/screenshots/08-wazuh-successful-auth-events.png) 事件列表包含了规则 `60118` 下的标准 `Windows Workstation Logon Success` 警报,以及规则 `92657` 下更高严重程度的 `Successful Remote Logon Detected` 警报,这表明存在与实验室攻击链一致的、可疑的远程访问行为。 ## 结果 | 阶段 | 结果 | |---|---| | 在目标上启用 RDP | 已在端口 `3389` 上确认 | | 暴力破解模拟 | 识别出有效的实验室凭证 | | 远程访问 | 建立了经过身份验证的 RDP 会话 | | 失败的身份验证检测 | 捕获了 100 次失败登录 | | 成功的身份验证检测 | 捕获了成功和可疑的远程登录事件 | 该项目验证了端到端的检测 pipeline: ``` Windows Event Logs -> Wazuh Agent -> Wazuh Manager -> Dashboard -> Investigation ``` ## 关键要点 - 构建并运行了一个小型的隔离 SOC 实验室环境。 - 从攻击者 VM 模拟了 RDP 凭证攻击。 - 验证了凭证泄露后成功的远程访问。 - 在 Wazuh 中调查了失败和成功的身份验证遥测数据。 - 将攻击活动与特定的 SIEM 警报和规则 ID 关联起来。 - 练习记录攻击与检测工作流程,以便重复执行和审查。 ## 安全说明 - 所有测试均针对个人控制的虚拟机在隔离的实验室网络中进行。 - 没有针对任何生产系统或第三方服务。 - 实验室凭证和密码在公开代码库中被特意隐去。 - 该项目出于教育和防御性网络安全目的进行记录。 ## 代码库结构 ``` wazuh-rdp-bruteforce-detection/ ├── README.md ├── .gitignore └── screenshots/ ├── 01-rdp-setup.png ├── 02-hydra-bruteforce.png ├── 03-xfreerdp-attempts.png ├── 04-xfreerdp-successful-session.png ├── 05-wazuh-failed-auth-dashboard.png ├── 06-wazuh-failed-auth-events.png ├── 07-wazuh-successful-auth-dashboard.png └── 08-wazuh-successful-auth-events.png ``` ## 免责声明 本项目完全在隔离的家庭实验室环境中进行,仅出于教育和防御性网络安全目的。模拟中使用的所有系统和账户均由个人控制,并为测试进行了专门配置。
标签:PoC, RDP, Wazuh, 安全实验环境, 安全运营中心, 暴力破解, 网络映射