Loginsoft-LLC/Linux-Exploit-Detection

# Linux漏洞检测 通过运行时安全使用 Falco/Osquery/Yara/Rego/Sigma 进行基于 Linux 的漏洞 (CVE) 利用检测 这是一个实验性项目，旨在评估在 Linux 环境（主机/容器/云）中使用以下方式检测漏洞利用 (CVE) 的可行方法 - 基于 [`ebpf`](https://ebpf.io/) - [Falco 运行时安全](https://falco.org/) - 分析 + 基于内存 - [Osquery](https://www.osquery.io/) + [Yara](http://virustotal.github.io/yara/) - 基于策略 - [Rego + OPA](https://www.openpolicyagent.org/docs/latest/policy-language/)/ [Aquasec-Tracee](https://github.com/aquasecurity/tracee) - 基于日志 - [Sigma](https://github.com/SigmaHQ/sigma) 我们能够通过分析系统调用，利用 `ebpf` 或 `kprobe` 检测手段检测到大多数漏洞利用。`Falco` 和 `Rego` 方法在主机和容器化环境中均能准确工作。然而，上述所有方法都存在一些局限性，敬请关注——博客文章即将发布。 ### 相应文件夹中提供以下 CVE 的检测规则 - [CVE-2022-36804](Atlassian-Bitbucket/CVE-2022-36804) - Atlassian-Bitbucket - [CVE-2022-26134](Atlassian-Confluence/CVE-2022-26134) - Atlassian-Confluence - [CVE-2021-26084](Atlassian-Confluence/CVE-2021-26084) - Atlassian-Confluence - [CVE-2021-26085](Atlassian-Confluence/CVE-2021-26085) - Atlassian-Confluence - [CVE-2022-26138](Atlassian-Confluence/CVE-2022-26138) - Atlassian-Confluence - [CVE-2023-22515](Atlassian-Confluence/CVE-2023-22515) - Atlassian-Confluence - [CVE-2022-24112](Apache-APISIX/CVE-2022-24112) - Apache-APISIX - [CVE-2023-0669](GoAnywhere-MFT/CVE-2023-0669) - GoAnywhere-MFT - [CVE-2023-27350](PaperCut/CVE-2023-27350/Falco/falco-cve-2023-27350.yaml) - PaperCut - [CVE-2023-27351](PaperCut/CVE-2023-27351/Falco/falco-cve-2023-27351.yaml) - PaperCut - [CVE-2023-33246](RocketMQ/CVE-2023-33246) - RocketMQ - [CVE-2022-29464](WSO2/CVE-2022-29464/Falco/falco-cve-2022-29464.yaml) - WSO2 - [CVE-2023-32007](Apache-Spark/CVE-2023-32007) - Apache-Spark - [CVE-2022-46169](Cacti/CVE-2022-46169) - Cacti - [CVE-2022-24706](CouchDB/CVE-2022-24706) - CouchDB - [CVE-2021-22205](Gitlab/CVE-2021-22205) - Gitlab - [CVE-2022-44268](ImageMagic/CVE-2022-44268) - ImageMagic - [CVE-2023-28432](Minio/CVE-2023-28432) - MinIO - [CVE-2023-32315](Openfire/CVE-2023-32315) - Openfire - [CVE-2020-14883](Oracle-Weblogic/CVE-2020-14883) - Oracle-Weblogic - [CVE-2021-2109](Oracle-Weblogic/CVE-2021-2109) - Oracle-Weblogic - [CVE-2023-21839](Oracle-Weblogic/CVE-2023-21839) - Oracle-Weblogic - [CVE-2022-0543](Redis/CVE-2022-0543) - Redis - [CVE-2022-35914](Teclib-GLPI/CVE-2022-35914) - Teclib-GLPI - [CVE-2022-26352](dotCMS/CVE-2022-26352) - dotCMS - [CVE-2023-38646](Metabase/CVE-2023-38646) - Metabase - [CVE-2023-25826](OpenTSDB/CVE-2023-25826) - OpenTSDB - [CVE-2020-35476](OpenTSDB/CVE-2020-35476) - OpenTSDB - [CVE-2023-38633](librsvg/%20CVE-2023-38633) - librsvg 更多内容即将推出... 所有这些检测规则都在主机和容器化环境中进行了测试，在这些环境中复现了漏洞利用并捕获了所需事件。仓库中的规则可能会导致性能开销，我们建议在生产环境中使用之前先进行测试。

标签：AMSI绕过, CISA项目, Claude, CVE-2022-26134, CVE-2023-22515, CVE检测, Docker镜像, Falco, Groq API, Nmap结果分析, OPA, Osquery, Rego, SecList, Syscall分析, Tracee, Web截图, Web报告查看器, Yara, 内存取证, 威胁检测, 容器安全, 敏感词过滤, 无线安全, 漏洞利用防护, 策略引擎, 结构化提示词, 网络信息收集, 网络安全审计, 网络安全挑战, 靶场