Detección de túneles SSH con wazuh

rokitoh Elastic, Kibana, SIEM, UNIX - *BSD - GNU/Linux, wazuh

En este post vamos a seguir configurando nuestro entorno SIRP en el cual ya hablamos en la entrada: https://red-orbita.com/?p=8726

En este caso vamos a crear una regla para detectar túneles utilizando SSH. Para ello, primero tenemos que configurar en el cliente que liste todos los procesos que están corriendo en /var/ossec/etc/ossec.conf

  <localfile>
    <log_format>command</log_format>
    <command>ps -eo user,pid,cmd</command>
    <frequency>60</frequency>
  </localfile>

Reiniciamos el servicio 

/etc/init.d/wazuh-agent restart

Ahora nos vamos a wazuh manager y agregamos las siguientes reglas en /var/ossec/etc/rules/local_rules.xml

<group name="ossec,">
<rule id="100050" level="0">
  <if_sid>530</if_sid>
  <match>^ossec: output: 'ps -eo user,pid,cmd'</match>
  <description>List of running process.</description>
  <group>process_monitor,</group>
</rule>

<rule id="100052" level="7">
  <if_sid>100050</if_sid>
  <match>ssh -R|ssh -L|ssh -N| ssh -D|ssh -X|ssh -Y|ssh -v|ssh -J|ssh -f</match>
  <description>SSH listening for incoming connections.</description>
  <group>process_monitor,</group>
</rule>

</group>

Reiniciamos el servicio de wazuh manager

/etc/init.d/wazuh-manager restart

Ahora nos vamos al servidor donde se encuentra elastalert y generamos la siguiente regla

es_host: 10.10.4.160
es_port: 9200
name: SSH tunneling detection.
type: frequency
index: wazuh-alerts-3.x-*
num_events: 2
timeframe:
    hours: 1
filter:
- term:
    rule.id: "100052"
alert: hivealerter
hive_connection:
  hive_host: http://ip_thehive
  hive_port: 9000
  hive_apikey: <Paste API key for elastalert user here>

hive_alert_config:
  title: '{rule[name]}'
  type: 'external'
  source: 'elastalert'
  description: '{match[full_log]}'
  severity: 2
  tags: ['{rule[name]}', '{match[agent][name]}', 'Tunneling']
  tlp: 3
  status: 'New'
  follow: True

hive_observable_data_mapping:
    - ip: "{match[src_ip]}

Reiniciamos el servicio

systemctl status elastalert

Nos vamos al cliente y levantamos un tunnel mediante ssh

ssh -L 0.0.0.0:2222:servidor:443 user@127.0.0.1

Nos vamos a Kibana y buscamos por rule.id: 100052

Ahora nos vamos a thehive y comprobamos que se haya generado una alerta

:wq!

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *