Embedded Files
Lab ini dirancang untuk menguji deteksi dan respons ancaman menggunakan Wazuh. Saya menginstal Wazuh Agent di client untuk memantau perubahan file dengan File Integrity Monitoring (FIM) dan menjalankan simulasi serangan menggunakan Atomic Red Team berdasarkan framework MITRE ATT&CK. Untuk mendeteksi malware, saya mengintegrasikan API VirusTotal, yang memungkinkan Wazuh memindai file mencurigakan dengan membandingkannya terhadap database ancaman global. Jika file terdeteksi sebagai berbahaya, skrip Active Response secara otomatis menghapusnya dari direktori yang dipantau. Semua aktivitas, termasuk perubahan file, deteksi malware, dan respons otomatis, tercatat secara lengkap dalam Wazuh Event, memungkinkan analisis mendalam terhadap ancaman keamanan.
Atomic Red Team
Atomic Red Team
Atomic Red Team adalah framework open-source yang digunakan untuk melakukan simulasi teknik serangan siber berdasarkan MITRE ATT&CK.
Pada OS Agent, saya menjalankan simulasi serangan menggunakan Atomic Red Team untuk teknik T1003.008 (LSASS Memory) dan T1003.007 (Proc Filesystem), yang termasuk dalam kategori Credential Dumping pada framework MITRE ATT&CK.
T1003.008 - OS Credential Dumping: LSASS Memory
Teknik ini biasanya digunakan untuk mencuri kredensial dengan mengekstrak memori LSASS (Local Security Authority Subsystem Service) di Windows. Namun, pada Linux (Ubuntu), LSASS tidak ada. Sebagai gantinya, serangan ini bisa disimulasikan dengan dumping proses yang berisi informasi kredensial.
T1003.007 - OS Credential Dumping: /proc Filesystem
Teknik ini menargetkan filesystem /proc di Linux untuk mengekstrak kredensial dari proses yang berjalan.
*** Saya memilih secara random ^^ ***
File Integrity Monitoring
File Integrity Monitoring
Wazuh Agent
Wazuh Agent
Pada OS Agent, ditambahkan direktori yang akan dilakukan pengecekan (percobaan) pada `Desktop` dengan mengkonfigurasi `/var/ossec/etc/ossec.conf`
Membuat script active response di `/var/ossec/active-response/bin/remove-threat.sh`
Mengubah file ownership dan permissions
sudo chmod 750 /var/ossec/active-response/bin/remove-threat.sh
sudo chown root:wazuh /var/ossec/active-response/bin/remove-threat.sh
Wazuh Server
Wazuh Server
Langkah-langkah ini dibuat untuk memberi tahu adanya perubahan pada direktori endpoint dan mengaktifkan intergrasi VirusTotal. Ini termasuk mengaktifkan dan memicu skrip Active Response setiap kali file mencurigakan terdeteksi.
Membuat aturan (rules) pada file `/var/ossec/etc/rules/local_rules.xml` untuk memberi peringatan (alert) tentang perubahan pada direktori `Desktop` yang terdeteksi oleh FIM Scan.
Mulai dari sini, saya akan melakukan percobaan dengan membuat sebuah file pada Desktop seperti gambar dibawah ini:
Integrasi dengan VirusTotal API
Integrasi dengan VirusTotal API
pov FIM wazuh.mp4Saran: Mode Fullscreen
Percobaan menggunakan sample malware dari malwareBazaar.
Google Sites
Report abuse