Skip to content

Opgave 35 – 🧨 Detekter forsøg på Shellshock-angreb med Wazuh

🎯 Formål

I denne øvelse skal du lære, hvordan Wazuh kan bruges til at detektere forsøg på Shellshock-angreb – en form for command injection, hvor angriberen forsøger at afvikle shell-kommandoer via fx HTTP-headere.

Du har i forrige opgave (34) arbejdet med at detektere SQL-injection. Denne øvelse bygger videre på det og viser, hvordan Wazuh også kan fange andre typer angreb “out of the box” – uden yderligere konfiguration.

💡 Er du usikker på, hvad et command injection-angreb er? Så kan du læse en introduktion her:
👉 Command Execution – Hacksplaining

📖 En tilsvarende opgave findes også i den officielle Wazuh-dokumentation:
🔗 Detecting a Shellshock attack

🧰 Forudsætninger

  • Wazuh-agenten skal være installeret og kørende på den overvågede host.
  • Apache2-webserveren skal være installeret og logovervågning konfigureret (fra Opgave 34).
  • Du har adgang til en anden maskine, som kan agere angriber.

🛠️ Trin for trin – Sådan gør du

1. ⚙️ Tjek opsætningen

Har du allerede gennemført Opgave 34? Så er du klar!
Ellers skal du først: - Installere Apache: sudo apt install apache2 - Tilføje overvågning af Apache-loggen i /var/ossec/etc/ossec.conf under <ossec_config>:

<localfile>
  <log_format>apache</log_format>
  <location>/var/log/apache2/access.log</location>
</localfile>
- Og genstarte Wazuh-agenten: sudo systemctl restart wazuh-agent

2. 🧨 Udfør Shellshock-angrebet (test)

Køres fra den angribende host.

Udfør følgende kommando – den sender et forsøg på at læse /etc/passwd gennem User-Agent-headeren:

sudo curl -H "User-Agent: () { :; }; /bin/cat /etc/passwd" http://<OVERVÅGET_HOST_IP>

🔍 Dette simulerer et klassisk Shellshock-angreb – og Wazuh burde fange det!

3. 📊 Undersøg angrebet i Wazuh Dashboard

  1. Gå til Threat hunting → Events i Wazuh Dashboard
  2. Søg med følgende filter:
rule.description:Shellshock attack detected
  1. Du bør nu se en hændelse som dette:
    Shellshock attack detected

🤔 Refleksionsspørgsmål

  • Hvordan virker command injection-angreb i praksis?
  • Hvordan detekterer Wazuh disse forsøg – og hvordan ville du handle i et real-world scenarie?
  • Hvilke andre angreb kunne tænkes at blive forsøgt via HTTP-headeren?

🧩 CIS Controls – Kobling

Denne øvelse understøtter følgende CIS Controls (v8):

CIS Control Titel Relevans
8 – Audit Log Management Overvågning og analyse af logs Wazuh analyserer webserverens access-logs og matcher kendte angrebsmønstre
17 – Incident Response Management Håndtering af sikkerhedshændelser Shellshock-forsøget frembringer en hændelse, som kan bruges som grundlag for reaktion eller varsling
16 – Application Software Security Sikkerhed i webapplikationer Detekteringen kan afsløre sårbarhed i inputvalidering via HTTP-header, som ofte overses

💡 Øvelsen demonstrerer, hvordan et logbaseret SIEM-system kan fungere som en aktiv del af applikationssikkerhed og hændelseshåndtering i praksis.