🔍 Øvelse 35 – Detekter Shellshock-angreb med Wazuh

ℹ️ Information

I denne øvelse arbejder du videre med logbaseret detektion af webangreb.

Du vil anvende Wazuh til at identificere et Shellshock-angreb, som er en form for command injection, hvor en angriber forsøger at eksekvere kommandoer via HTTP-headere.

Formålet er at forstå:

• hvordan forskellige typer webangreb kan detekteres i logdata
• hvordan Wazuh anvender eksisterende regler til at identificere angreb
• hvordan angreb kan opdages uden direkte adgang til applikationen

log → analyse → detection → alarm

👉 Øvelsen bygger videre på øvelse 34 (SQL-injection), men introducerer en ny angrebstype.

En tilsvarende øvelse findes i Wazuhs officielle dokumentation Wazuh - detecting shellshock

Hvis du ikke er bekendt med command injection, anbefales følgende introduktion: Hackersplain - Command injection

📋 Forudsætninger

Øvelsen udføres på to maskiner i proxmox miljøet, tilsvarende forrige øvelse:

• Overvåget host

  • Ubuntu
  • Apache2 installeret
  • Wazuh-agent installeret og forbundet til Wazuh-server
  • Apache access-log overvåges (som i øvelse 34)

• Angribende host

  • En Linux-maskine (fx Kali)
  • Bruges til at simulere angreb

---

🧭 Instruktioner

1️⃣ Kontroller opsætningen (på overvåget host)

Hvis du allerede har gennemført øvelse 34, er opsætningen klar.

Ellers skal følgende være konfigureret:

1. Installer Apache: apt install apache2

2. Sørg for at Apache access-log overvåges i /var/ossec/etc/ossec.conf:

<localfile>
  <log_format>apache</log_format>
  <location>/var/log/apache2/access.log</location>
</localfile>

1. Genstart Wazuh-agenten: systemctl restart wazuh-agent

💡 Denne konfiguration gør, at Wazuh kan analysere webtrafik og anvende regler på logdata.

---

2️⃣ Simulér et Shellshock-angreb (angribende host)

Udfør følgende kommando (erstat <OVERVÅGET_HOST_IP>):

curl -H "User-Agent: () { :; }; /bin/cat /etc/passwd" http://<OVERVÅGET_HOST_IP>

Kommandoen simulerer et klassisk Shellshock-angreb ved at indsætte shell-kommandoer i HTTP User-Agent headeren.

💡 Overvej: Hvilket mønster i denne request kan indikere et angreb?

---

3️⃣ Analyse i Wazuh Dashboard

1. Log ind i Wazuh Dashboard

2. Gå til Threat hunting → Events

3. Søg efter relevante hændelser, fx:

   • rule.description:Shellshock attack detected
   • eller generelt rule.groups:web

4. Identificér en detection relateret til Shellshock

5. Undersøg hændelsens detaljer:

   • Hvilken logfil blev anvendt?
   • Hvilken regel blev udløst?
   • Hvilket input blev detekteret?

👉 Dette er et eksempel på signaturbaseret detektion baseret på HTTP-headerdata. 👉 Bemærk at detektionen sker udelukkende ud fra webserverens logs.

---

🤔 Refleksion

• Hvordan fungerer command injection-angreb i praksis?
• Hvordan kan Wazuh detektere Shellshock-forsøg uden ekstra konfiguration?
• Hvad er forskellen på denne type angreb og SQL-injection?
• Hvordan bør en organisation reagere på denne type hændelse?
• Hvad ser Wazuh ikke i dette scenarie?

---

📊 CIS Controls – Relevans

CIS Control	Titel	Relevans
8	Audit Log Management	Wazuh analyserer webserverens logs
17	Incident Response Management	Hændelsen kan bruges til respons

---

🔗 Links

• Wazuh - detect shellshock attack
• Hackersplain - what is command injection

---

Last update: 2026-04-07 05:32:13