Etiquetas

WAZUH - CDB

🧠🛡️Detección y Respuesta Automática de Malware en Wazuh mediante Listas CDB y FIM

En esta práctica se implementa un sistema completo de detección y respuesta automática de malware en Wazuh, utilizando listas CDB manuales y el módulo FIM (File Integrity Monitoring). El objetivo es demostrar cómo construir un flujo de seguridad capaz de detectar archivos maliciosos mediante su hash y actuar automáticamente para eliminarlos.

El proceso comienza con la configuración de FIM en el agente, permitiendo la monitorización en tiempo real de un directorio específico y el cálculo automático de hashes de los archivos detectados.
Posteriormente, en el Wazuh Manager, se crea una lista CDB que contiene el hash SHA256 del archivo de prueba EICAR, utilizado como indicador de compromiso seguro.

A continuación, se desarrolla una regla personalizada (100300) que correlaciona los hashes generados por FIM con los valores almacenados en la lista CDB. Cuando se produce una coincidencia, Wazuh genera una alerta indicando la detección de un archivo malicioso.

Como siguiente paso, se configura Active Response, implementando un script personalizado que elimina automáticamente el archivo detectado en el sistema afectado.
Finalmente, se valida todo el flujo descargando el archivo EICAR en el directorio monitorizado, comprobando cómo Wazuh detecta, alerta y ejecuta la respuesta activa.

Esta práctica representa un pipeline completo de detección basada en indicadores + respuesta automatizada, alineado con entornos SOC modernos.

🧰 Tecnologías empleadas

Wazuh

Wazuh actúa como plataforma SIEM/XDR, encargada de:

  • Monitorizar actividad en el sistema
  • Correlacionar eventos con indicadores
  • Generar alertas
  • Ejecutar respuestas automáticas

Su arquitectura permite integrar detección y respuesta en un mismo flujo.

FIM (File Integrity Monitoring)

FIM monitoriza cambios en archivos en tiempo real, permitiendo:

  • Detectar creación de nuevos archivos
  • Calcular hashes automáticamente
  • Generar eventos de seguridad

Es clave para detectar actividad sospechosa en endpoints.

CDB (Constant Database)

Las listas CDB permiten almacenar indicadores (como hashes) de forma eficiente:

  • Búsqueda extremadamente rápida
  • Bajo consumo de recursos
  • Ideal para listas de malware conocidas

Se utilizan como base para la correlación en Wazuh.

Active Response

Active Response permite automatizar acciones frente a amenazas:

  • Eliminación de archivos maliciosos
  • Bloqueo de IPs
  • Aislamiento de sistemas

Convierte la detección en una respuesta inmediata.

Archivo EICAR

EICAR es un archivo de prueba seguro utilizado para validar sistemas de detección sin riesgo real.
Simula un comportamiento malicioso sin ser un malware real.

🎯 Objetivos de la práctica

  • Configurar FIM para monitorización en tiempo real.
  • Detectar archivos mediante hash SHA256.
  • Crear y utilizar listas CDB en Wazuh.
  • Correlacionar eventos FIM con indicadores de malware.
  • Desarrollar reglas personalizadas de detección.
  • Implementar Active Response automatizado.
  • Validar el flujo completo con un archivo de prueba.
  • Comprender el modelo detección + respuesta en un SIEM.

🧩 Aspectos clave de la práctica

🔐 Detección basada en hashes

El uso de hashes permite identificar archivos conocidos como maliciosos de forma precisa:

  • No depende del nombre del archivo
  • No depende del comportamiento
  • Se basa en coincidencias exactas

Esto reduce falsos positivos y acelera la detección.

🔍 Monitorización en tiempo real con FIM

FIM detecta eventos en el sistema de archivos:

  • Creación de archivos
  • Modificaciones
  • Eliminaciones

Al detectar un nuevo archivo, calcula su hash y lo envía al manager para su análisis.

⚙️ Uso de listas CDB como base de inteligencia

Las listas CDB actúan como base de datos de indicadores:

  • Contienen hashes conocidos
  • Permiten búsquedas instantáneas
  • Escalan fácilmente

Son una forma eficiente de implementar threat intelligence local.

🧠 Correlación mediante reglas personalizadas

La regla 100300 permite:

  • Comparar el hash detectado con la lista CDB
  • Identificar coincidencias
  • Generar alertas con severidad

Esto transforma un evento técnico en una alerta de seguridad.

⚡ Automatización con Active Response

Una vez detectado el archivo malicioso:

  • Se ejecuta un script automáticamente
  • El archivo es eliminado del sistema
  • Se reduce el tiempo de exposición

Este paso es clave para pasar de detección a mitigación.

🧪 Validación controlada con EICAR

Para validar el sistema:

  • Se descarga el archivo EICAR
  • FIM detecta el archivo
  • Se calcula su hash
  • Coincide con la lista CDB
  • Se genera la alerta
  • Active Response elimina el archivo

Esto confirma el funcionamiento del sistema sin riesgos.

🔄 Flujo completo de seguridad

Esta práctica implementa un pipeline completo:

Detección → Correlación → Alerta → Respuesta automática

Este modelo es la base de muchos sistemas SOC modernos.

🔍 ¿Por qué es importante esta práctica?

Esta práctica demuestra cómo construir un sistema de seguridad proactivo y automatizado. Permite comprender:

  • Cómo detectar malware de forma precisa
  • Cómo integrar inteligencia basada en hashes
  • Cómo automatizar respuestas sin intervención humana
  • Cómo reducir el tiempo de exposición a amenazas
  • Cómo implementar controles reales en endpoints

Es un caso realista de defensa en profundidad.

✅ Resultados esperados

  • FIM monitorizando correctamente el directorio
  • Lista CDB cargada y operativa
  • Regla personalizada funcionando
  • Detección correcta del archivo EICAR
  • Generación de alerta en Wazuh
  • Active Response ejecutándose automáticamente
  • Eliminación del archivo malicioso
  • Comprensión completa del flujo:
    Hash → Correlación → Detección → Respuesta

🔗 Enlaces de interés

      DOCUMENTACIÓN - WAZUH    

⚙️ Estructura de red

🧠🛡️Malware Detection and Automated Response in Wazuh Using CDB Lists and FIM

In this practice, a complete system for malware detection and automated response in Wazuh is implemented using manual CDB lists and the File Integrity Monitoring (FIM) module. The objective is to demonstrate how to build a workflow capable of detecting malicious files based on their hash and automatically responding by removing them.

The process begins by configuring FIM on the agent, enabling real-time monitoring of a specific directory and automatic hash calculation for detected files.
Next, on the Wazuh Manager, a CDB list is created containing the SHA256 hash of the EICAR test file, which serves as a safe indicator of compromise.

A custom rule (100300) is then developed to correlate hashes generated by FIM with the values stored in the CDB list. When a match is found, Wazuh generates an alert indicating the detection of a malicious file.

As a next step, Active Response is configured by implementing a custom script that automatically removes the detected file from the affected system.
Finally, the entire workflow is validated by downloading the EICAR file into the monitored directory, confirming how Wazuh detects the file, triggers the alert, and executes the response automatically.

This practice represents a complete pipeline of indicator-based detection and automated response, aligned with modern SOC environments.

🧰 Technologies Used

Wazuh

Wazuh acts as a SIEM/XDR platform responsible for:

  • Monitoring system activity
  • Correlating events with indicators
  • Generating alerts
  • Executing automated responses

Its architecture enables seamless integration between detection and response.

FIM (File Integrity Monitoring)

FIM monitors file activity in real time, allowing:

  • Detection of new file creation
  • Automatic hash calculation
  • Generation of security events

It is a key component for endpoint-level threat detection.

CDB (Constant Database)

CDB lists provide an efficient way to store indicators such as hashes:

  • Extremely fast lookup performance
  • Low resource consumption
  • Scalable for large datasets

They are ideal for implementing local threat intelligence.

Active Response

Active Response enables automated actions such as:

  • Removing malicious files
  • Blocking access
  • Isolating systems

It transforms detection into immediate mitigation.

EICAR Test File

EICAR is a safe test file used to validate malware detection systems without introducing real threats.
It simulates malicious behavior in a controlled and harmless way.

🎯 Objectives of the Practice

  • Configure FIM for real-time monitoring.
  • Detect files using SHA256 hashing.
  • Create and use CDB lists in Wazuh.
  • Correlate FIM events with malware indicators.
  • Develop custom detection rules.
  • Implement automated Active Response.
  • Validate the full workflow using a safe test file.
  • Understand the detection + response model in a SIEM.

🧩 Key Aspects of the Practice

🔐 Hash-Based Detection

Hash-based detection allows precise identification of known malicious files:

  • Independent of file name
  • Independent of behavior
  • Based on exact matches

This reduces false positives and accelerates detection.

🔍 Real-Time Monitoring with FIM

FIM detects file system events such as:

  • File creation
  • Modification
  • Deletion

When a file is created, its hash is calculated and sent to the manager for analysis.

⚙️ CDB Lists as Intelligence Base

CDB lists act as a database of known indicators:

  • Store malicious hashes
  • Enable instant lookup
  • Scale efficiently

They provide a lightweight threat intelligence mechanism.

🧠 Correlation via Custom Rules

Custom rule 100300:

  • Compares detected file hashes against the CDB list
  • Identifies matches
  • Generates alerts with appropriate severity

This transforms raw events into actionable detections.

⚡ Automation with Active Response

Once a malicious file is detected:

  • A script is executed automatically
  • The file is removed from the system
  • Exposure time is minimized

This step is critical for moving from detection to mitigation.

🧪 Safe Validation Using EICAR

To safely validate the system:

  • The EICAR file is introduced
  • FIM detects the file
  • The hash is calculated
  • A match is found in the CDB list
  • An alert is triggered
  • Active Response removes the file

This confirms the system works without real risk.

🔄 Complete Security Workflow

This practice implements a full pipeline:

Detection → Correlation → Alert → Automated Response

This model is foundational in modern SOC environments.

🔍 Why This Practice Is Important

This practice demonstrates how to build a proactive and automated security system. It helps understand:

  • How to detect malware accurately
  • How to integrate hash-based intelligence
  • How to automate response actions
  • How to reduce threat exposure time
  • How to implement real endpoint protection

It reflects a realistic defense-in-depth strategy.

✅ Expected Results

  • FIM actively monitoring the directory
  • CDB list loaded and operational
  • Custom rule functioning correctly
  • Successful detection of the EICAR file
  • Alert generated in Wazuh
  • Active Response executed automatically
  • Malicious file removed
  • Full understanding of the workflow:
    Hash → Correlation → Detection → Response
Enviar entrada por correo electrónico
Labels:

Comentarios

Publicar un comentario

Entradas populares