abhinavkishor9/wazuh-threat-hunting-lab15-registry-run-key-persistence-detection
GitHub: abhinavkishor9/wazuh-threat-hunting-lab15-registry-run-key-persistence-detection
基于 Sysmon 和 Wazuh 平台演示 Windows 注册表 Run Key 持久化检测与威胁狩猎调查的安全实验项目。
Stars: 0 | Forks: 0
# wazuh-threat-hunting-lab15-registry-run-key-persistence-detection
## 概述
本实验演示了攻击者如何通过修改 Registry Run Key 在 Windows 上建立持久性。
该活动使用 Sysmon Event ID 13(Registry Value Set)进行监控,由 Wazuh Agent 收集,并在 Wazuh Dashboard Threat Hunting 模块中进行调查。
目的是了解从 SOC 分析师的角度来看,基于注册表的持久性是如何呈现的。
## 实验目标
- 了解 Registry Run Key 持久性
- 生成 Sysmon Event ID 13
- 在 Wazuh 中观察注册表修改
- 调查事件详情
- 分析 JSON 字段
- 清除持久性条目
## 实验环境
| 组件 | 值 |
|-----------|-------|
| 主机操作系统 | Windows 11 |
| SIEM | Wazuh 4.x |
| Agent | Wazuh Agent |
| 监控 | Sysmon |
| Event ID | 13 |
| 技术 | Registry Run Key 持久性 |
## MITRE ATT&CK 映射
| 战术 | 技术 |
|---------|-----------|
| 持久性 | T1547.001 – Registry Run Keys / 启动文件夹 |
## 执行步骤
### 步骤 1
验证 Sysmon 和 Wazuh 服务。
### 步骤 2
创建一个 Registry Run Key。
```
New-ItemProperty `
-Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Run" `
-Name "SOCLab" `
-Value "notepad.exe" `
-PropertyType String `
-Force
```
### 步骤 3
验证注册表条目。
```
Get-ItemProperty "HKCU:\Software\Microsoft\Windows\CurrentVersion\Run"
```
### 步骤 4
确认 Sysmon Event ID 13。
```
Get-WinEvent `
-LogName "Microsoft-Windows-Sysmon/Operational" `
-FilterXPath "*[System[(EventID=13)]]"
```
### 步骤 5
打开 Wazuh Dashboard。
Threat Hunting
↓
筛选
```
data.win.system.eventID:13
```
### 步骤 6
调查:
- 进程名
- 注册表路径
- 事件类型
- 用户
- 镜像
- 时间戳
### 步骤 7
查看 JSON 事件。
### 步骤 8
移除 Registry Run Key。
```
Remove-ItemProperty `
-Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Run" `
-Name "SOCLab"
```
## 检测工作流
注册表修改
↓
Sysmon Event ID 13
↓
Wazuh Agent
↓
Wazuh Manager
↓
Indexer
↓
Threat Hunting
↓
SOC 调查
## 掌握的技能
- Windows 持久性
- 注册表分析
- Sysmon Event ID 13
- Wazuh Threat Hunting
- 事件调查
- SOC 工作流
- MITRE ATT&CK 映射
## 总结
Registry Run Keys 是攻击者常用的持久性机制,用于在用户登录期间自动执行程序。本实验演示了 Sysmon 如何捕获注册表修改、Wazuh 如何摄取事件,以及 SOC 分析师如何使用 Threat Hunting 调查基于注册表的持久性。
标签:AI合规, Sysmon, Wazuh, 安全实验, 注册表持久化检测