Wenn Wazuh standardmäßig installiert und eingerichtet wurde, bekommt man direkt jede Menge Informationen – damit man nun die Übersicht behält und die wichtigen Ereignisse nicht untergehen, muss man erst mal das „Grundrauschen“ minimieren.
Es kommen direkt sehr viele Fehlermeldungen vom Typ 60107 (Fehlgeschlagene Privileg Escalation für Chrome.exe, Slack.exe, MSEdge.exe) – diese Filter ich mit dem folgenden Eintrag unter Dashboard > Wazuh > Management > Rules > Suchen nach lcal_rules.xml und öffnen:
<group name="overwrites">
<rule id="60107" level="0" overwrite="yes">
<if_sid>60104</if_sid>
<field name="win.system.eventID">^577$|^4673$</field>
<options>no_full_log</options>
<description>Failed attempt to perform a privileged operation.</description>
</rule>
</group>
Weitere Warnungen die ich mittlerweile erhalte sind:
rule.id: 510 data.file: /usr/sbin/apachectl data.title: Trojaned version of file detected. rule.description: Host-based anomaly detection event (rootcheck). full_log: Trojaned version of file '/usr/sbin/apachectl' detected. Signature used: 'bash|^/bin/sh|file\.h|proc\.h|/dev/[^n]|^/bin/.*sh' (Generic).
Sowie diese hier:
Technique: T1105
Tactics: Command and Control
Description: Executable file dropped in folder commonly used by malware.
Level: 15
Rule ID: 92204
data.win.eventdata.image: C:\\WINDOWS\\system32\\cleanmgr.exe
data.win.eventdata.targetFilename: C:\\Users\\PETERL~1\\AppData\\Local\\Temp\\3D33E152-2D91-442B-B38C-2AAF55F4DE17\\DismHost.exe
data.win.system.message:
"File created: RuleName: - UtcTime: 2022-06-26 08:30:47.079 ProcessGuid: {5666873f-192f-62b8-ad0c-000000002300} ProcessId: 18084 Image: C:\WINDOWS\system32\cleanmgr.exe TargetFilename: C:\Users\PETERL~1\AppData\Local\Temp\3D33E152-2D91-442B-B38C-2AAF55F4DE17\DismHost.exe CreationUtcTime: 2022-06-26 08:30:47.079 User: AzureAD\xxxxxx"Dazu habe ich dann in der local_rules.xml die folgenden Punkte in der oben genannten Gruppe Overwrites aufgenommen:
<rule id="92204" level="0">
<if_sid>92204</if_sid>
<field name="data.win.eventdata.image" type="pcre2">C:\\\\WINDOWS\\\\system32\\\\cleanmgr\.exe</field>
<description>Known file</description>
</rule>
<rule id=„510" level="0">
<if_sid>510</if_sid>
<field name="data.file">/usr/sbin/apachectl</field>
<description>Known file</description>
</rule>Update 26.06.22:
Erweiterung der folgenden Meldung:
rule.id: 550
full_log: File '/etc/cups/subscriptions.conf' modified Mode: scheduled Changed attributes: mtime,inode,md5,sha1,sha256 Old modification time was: '16562xxxxx', now it is '165xxxxx' Old inode was: '697xxxxx', now it is '697xxxxx' Old md5sum was: '8296afcb6f460815xxxxx' New md5sum is : '243ddf8e5489d012xxxxxx' Old sha1sum was: 'aa8ab65120a5fb5e4xxxxx' New sha1sum is : '538c4e5dd5eba88ea3f022xxxxxx' Old sha256sum was: '0f73259b469417aeb1b0d4f61fc411b88f71exxxxx' New sha256sum is : 'f36499cf748e19c8c4a8c177df635ebfb2b5xxxxx'
Wieder wie zuvor in die Gruppe overwrites:
<rule id="100550" level="0">
<if_sid>550</if_sid>
<field name="syscheck.path">//etc/cups/subscriptions.conf</field>
<description>Known file</description>
</rule>Update 27.6.22:
Weiterhin noch eine Meldung rausgenommen, welche von Intel Treiber kommt und vom Wazuh-Manager neustart (muss noch angepasst werden!):
<rule id="92002" level="0">
<if_sid>92002</if_sid>
<field name="data.win.eventdata.parentCommandLine">C:\\WINDOWS\\System32\\Wscript.exe //B //NoLogo \"C:\\Program Files\\Intel\\SUR\\QUEENCREEK\\x64\\task.vbs\"</field>
<description>Known file</description>
</rule>
<rule id="533" level="0">
<if_sid>533</if_sid>
<field name="agent.name">soc.leibling.de</field name>
<field name="location">netstat listening ports</field>
<description>Restart Wazuh Server Deamon</description>
</rule>Weitere Infos:
