HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - NGUYỄN ĐỨC THƯỞNG NGHIÊN CỨU PHÁT HIỆN TIẾN TRÌNH BẤT THƯỜNG TRÊN MÁY TRẠM SỬ DỤNG RULE SIGMA Chuyên ngành: HỆ THỐNG THƠNG TIN Mã số: 8.48.01.04 TĨM TẮT LUẬN VĂN THẠC SĨ HÀ NỘI - NĂM 2022 Luận văn hoàn thành tại: HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG Người hướng dẫn khoa học: TS ĐỖ XUÂN CHỢ (Ghi rõ học hàm, học vị) Phản biện 1: PSG TS PHẠM VĂN CƯỜNG Phản biện 2: PGS TS NGUYỄN ĐỨC DŨNG Luận văn bảo vệ trước Hội đồng chấm luận văn thạc sĩ Học viện Công nghệ Bưu Viễn thơng Vào lúc: 00 ngày 15 tháng 01 năm 2022 Có thể tìm hiểu luận văn tại: - Thư viện Học viện Công nghệ Bưu Viễn thơng MỞ ĐẦU Lý chọn đề tài: Thế giới chạy đua Cuộc cách mạng 4.0, dựa tảng cơng nghệ cốt lõi, có tính đột phá như: trí tuệ nhân tạo (AI), Internet vạn vật (IoT), máy tính lượng tử (Quantum Computer), liệu lớn, liệu nhanh (Big Data) tạo bước nhảy vọt hiệu sản xuất, tính chất ứng dụng phát triển kinh tế - xã hội, làm thay đổi diện mạo nhiều quốc gia, dân tộc mang lại thành tựu vượt bậc cho nhân loại Tuy nhiên song hành với lợi ích to lớn khơng thể phủ nhận đó, cộng đồng quốc tế phải đối mặt ngày lớn với thách thức an ninh phi truyền thống từ không gian mạng, thách thức vụ công mạng xuất thường xuyên hơn, loại mã độc ngày nguy hiểm tinh vi Vì cơng tác đảm bảo an ninh, an tồn hệ thống thông tin phải quan tâm đặt lên hàng đầu Ngày kỹ thuật tội phạm mạng ngày cao tinh vi Vì tổ chức, doanh nghiệp cần giải pháp có khả phát phản hồi điểm cuối (Endpoint detection & Response- EDR) Ngoài ra, theo thống kê xu cơng mạng thông qua người dùng cuối (Enduser) hệ thống mạng kẻ công sử dụng nhiều lợi dụng vào điểm yếu người dùng Chính vậy, vấn đề phát cơng thông qua người dùng cuối cần thiết Do đó, học viên lựa chọn đề tài “Nghiên cứu phát tiến trình bất thường máy trạm sử dụng Rule Sigma” Tổng quan vấn đề nghiên cứu: Hiện nghiên cứu lý thuyết liên quan đến phát tiến trình bất thường máy người dùng hạn chế Tuy nhiên, liên quan đến vấn đề phát mã độc máy trạm (Workstation) sản phẩm phần mềm Anti Virus xuất số sản phẩm hỗ trợ Phát Phản hồi Điểm cuối (Endpoint detection & Response- EDR) Theo đó, có số giải pháp sản phẩm EDR sau: Sản phẩm Veramine Endpoint Detection and Respone (VEDR) có khả thu thập liệu điểm cuối cách chi tiết, không dư thừa đáng tin cậy, phát công tinh vi, phức tạp tảng chuỗi thuật tốn, machine learning rule-based, phân tích liệu thu thập đưa cảnh báo dấu hiệu xâm nhập Sản phẩm EDR Apex One Trend Micro có khả tự động phát ngăn chặn nhiều mối đe dọa điểm cuối có thể, mà khơng cần can thiệp thủ công từ người dùng Apex One tiến hành phát ngăn chặn việc khai thác lỗ hổng hệ điều hành trước mối đe dọa xâm nhập vào điểm cuối với vá ảo cập nhật liên tục trí thơng minh nhân tạo từ Trend Micro’s Zero Day Initiative Tương tự Apex One Trend Micro, sản phẩm Palo Alto Networks Traps Palo Alto ngăn chặn mối đe dọa endpoint, phối hợp với bảo mật cloud network để ngăn chặn công mạng Traps ngăn chặn việc khởi chạy tệp thực thi độc hại, tệp DLLs tệp Office nhiều phương pháp ngăn ngừa, giảm bề mặt cơng tăng tính xác việc ngăn chặn phần mềm độc hại Luận văn nghiên cứu số công cụ để xây dựng, thử nghiệm hệ thống là: mã độc (malware), tiến trình (process), cơng cụ ghi nhật ký (log) máy tính cụ thể máy trạm (Sysmon), công cụ đẩy log từ máy trạm máy quản trị (server), cơng cụ phân tích hiển thị log sever, quy tắc cho phép mô tả tìm kiếm liệu nhật ký (Rule Sigma) Từ xây dựng thử nghiệm hệ thống hồn chỉnh phát tiến trình bất thường máy trạm sử dụng Rule Sigma Mục đích nghiên cứu: Mục tiêu luận văn xây dựng, thử nghiệm đánh giá hệ thống phát tiến trình bất thường máy trạm sử dụng Rule Sigma, hệ thống giám sát tiến trình bất thường máy trạm gửi thông tin cảnh báo bất thường cho người quản trị hệ thống kịp thời xử lý Đối tượng phạm vi nghiên cứu: Luận văn nghiên cứu hệ thống mạng doanh nghiệp, hệ thống đảm bảo an ninh, an toàn, hệ thống phát tiến trình bất thường máy trạm hệ thống mạng Phương pháp nghiên cứu: - Phương pháp nghiên cứu lý thuyết: Nghiên cứu tổng quan mơ hình phát tiến trình bất thường nay, nghiên cứu hệ thống phát tiến trình bất thường sử dụng Rule Sigma - Phương pháp thực nghiệm: + Xây dựng môi trường thử nghiệm hệ thống (hệ thống mạng) + Cài đặt thành phần, công cụ cho hệ thống + Thực nghiệm đánh giá kết CHƯƠNG 1: TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN BẤT THƯỜNG TRÊN MÁY TRẠM 1.1 Tổng quan hệ thống Endpoint Detection & Response (EDR) 1.1.1 Khái niệm hệ thống EDR EDR - Endpoint Detection & Response – có nghĩa hệ thống phát phản hồi mối nguy hại điểm cuối Đây công cụ bảo mật dành cho không gian mạng Ngoài việc phát phần mềm độc hại tiên tiến, hệ thống EDR liên tục theo dõi, thu thập, ghi lại lưu trữ tất hoạt động kỹ thuật số mà hệ thống thực 1.1.2 EDR hoạt động nào? Endpoint Detection and Response (EDR) vượt xa khả phần mềm bảo mật internet truyền thống cách chủ động trước mối đe doạ Sử dụng agent để theo dõi hành vi hệ thống với heuristic tiên tiến EDR thường tích hợp với Machine Learning trí tuệ nhân tạo AI đào tạo để phát bất thường mơ hình việc lây nhiễm phần mềm độc hại 1.1.3 Ưu điểm EDR Cải thiện phòng thủ khả phản hồi: hệ thống xóa mối đe dọa, EDR chuyển sang chế độ điều tra Dựa chuỗi kiện ghi lại, EDR trình bày cách thức cơng diễn máy tính tổ chức/doanh nghiệp, lưu ý thay đổi hệ thống bắt đầu học & nghiên cứu cơng Phát điểm yếu chưa biết: EDR giống kính hiển vi để soi ngóc ngách kiểm tra lây nhiễm ngăn ngừa lây nhiễm Đặt giới hạn truy cập: nhân viên làm việc vơ tình gây nguy hiểm với máy tính tổ chức/doanh nghiệp nên phần mềm EDR có thêm chức đặt giới hạn khiến nhân viên tránh xa trang web có lịch sử lây nhiễm phần mềm độc hại EDR giúp cho tổ chức doanh nghiệp tiết kiệm nhân lực công sức tiền bạc q trình điều tra, tăng tốc độ phân tích để nhanh chóng xác định nguyên nhân gốc rủi ro cố 1.1.4 So sánh EDR với Internet Security Sự khác biệt bảo mật EDR phần mềm bảo mật internet (EDR Security & Internet Security) giống khác biệt xe tăng quân đội xe bọc thép: hai bảo vệ nội dung tình bị cơng, có xe tăng công Bảng 1.1: So sánh EDR với Internet Security EDR Internet Security Phát mã độc dựa Nhận diện mã độc chủ yếu Signatures công nghệ nhận diện thông dựa Signature Files minh Phát tất loại mã Chỉ phát dòng mã độc, bao gồm mã độc mới, APTs, mã độc biết độc Fileless Thực quy trình: phát hiện, Bảo vệ máy tính ngăn chặn, khắc phục Chứa đầy đủ thơng tin mã độc Chỉ có thơng tin riêng lẻ xâu chuỗi, phục vụ điều tra truy file mã độc vết Liên tục giám sát tất tiến Hoạt động thụ động, phát trình để phát sớm nguy lây nhiễm mã độc xuất mã độc 1.2 Một số hệ thống EDR 1.2.1 Giải pháp EDR Apexone Trend Micro ApexOne ™ phát đáp ứng mối đe dọa hoàn toàn tự động bốn phân lớp xâm nhập lây nhiễm gồm có: xâm nhập (Entry-point), tiền thực thi (Preexecuction), thực thi (Runtime) ngồi (Exit-point) Hình 1.1: Hình minh họa vòng đời mối đe dọa Entry point: Trend Micro ứng dụng nhiều công nghệ khác để chống lại xâm nhập mã độc cơng từ bên ngồi Tiền thực thi (Pre-execution): ApexOne giúp bảo vệ hệ thống trước mã độc/mối đe dọa thực thi Bảo vệ giai đoạn thực thi (Run-time): Giai đoạn phát hành vi nguy hiễm mã độc giai đoạn thực thi quan trọng, cho dù phát mã độc trước thực thi có số mã độc phát lúc khởi chạy chẳng hạn công fileless attack mã độc thơng qua powershell Bảo vệ điểm thốt: ApexOne ngăn chặn kết nối tới site nguy hiểm kết nối C&C từ chương trình Nó ngăn chặn các lây nhiễm có sử dụng Host Intrusion Prevention ApexOne ngăn chặn liệu không phép gửi thiết bị ngoại vi kết nối vào máy trạm Phát hiện, điều tra đáp ứng lại với kiện nguy hiểm – EDR Trend Micro ứng dụng giải pháp bảo vệ đầu cuối ApexOne sử dụng công nghệ XGEN giúp bảo vệ cho doanh nghiệp khỏi nguy hiểm tiềm tàng Một phát kiện mối đe dọa, nghi vấn thường kèm là: Nguyên nhân kiện? (Root cause), có máy trạm bị nhiễm, có liên quan tới kiện phát máy khác khơng Các tính ApexOne Endpoint Sensor Tích hợp trực tiếp với phát hiện: Các điều tra tiềm kiếm mối đe dọa thực cách liền lạc với phát Trend Micro thông qua console Lưu trữ kiện hiệu quả: Endpoint Sensor ghi nhận lưu trữ thông tin hành vi máy trạm, kết nối hành vi người dùng Các metadata gửi cho ApexOne server phép quét dấu hiệu công (Indicator of Attack – IoC) Quét dấu hiệu IoC từ server: ApexOne server lưu thông tin metadata cần thiết người dùng Nó cho phép điều tra nhiều tiêu chí tìm kiếm qt liệu mà không cần truy vấn đến máy trạm Khi muốn điều tra nguyên nhân cốt lõi, thực trực tiếp máy trạm Tìm kiếm linh hoạt: Bộ điều tra (investigator) dò quét dựa nhiều tham số Các tham số điều tra kết nối cụ thể, mã độc xác định, trường registry, hành vi dựa tài khoản người dùng, tiến trình chạy Nó hỗ trợ tìm kiếm dựa OpenIOC Yara rule Phân tích root cause: Bộ điều tra dị tìm sâu vào tiến trình tương tác mơ tả xác chuỗi cơng để phân tích làm mối đe dọa xâm nhập vào thống, thay đổi, lây nhiễm sang máy khác cách phân tích kỹ vào hành vi, tiến trình, đối tượng liên quan Khả đáp ứng (Immediate response) cung cấp cho nhà quản trị khả phản ứng tức thời ngắt tiến trình, cách ly người dùng, cập nhật sách, qt thơng số khác 1.2.2 Giải pháp Veramine Endpoint Detection and Response Veramine Platform thu thập hiệu tất kiện liên quan đến bảo mật thông qua cảm biến (sensor) thông minh, gửi kiện tới máy chủ dùng điện toán đám mây Veramine đến máy chủ riêng khách hàng Máy chủ hiển thị kiện dạng thô qua giao diện web trực quan cho phép khách hàng tìm kiếm dễ dàng tất liệu thu thập giúp việc xử lý cố chủ động điều tra hiệu Một người phân tích bảo mật nhận thấy hành vi bất thường dễ dàng chấm dứt tạm dừng tiến trình riêng lẻ, lập tiến trình máy tính khỏi hệ thống mạng, chấm dứt kết nối vô hiệu hóa tài khoản người dùng, ngăn chặn chương trình thực thi khơng tải Cảm biến hỗ trợ việc điều tra nhớ cách tải lên máy chủ nội dung nhớ tiến trình cụ thể tồn máy tính Hình 1.7: Mơ hình tổng quan VEDR Sản phẩm Veramine thu thập thông tin sau đây: + Sự kiện khởi tạo kết thúc tiến trình + Sự kiện mở tiến trình, tạo luồng thực thi (thread) + Các tiến trình tải + Sự kiện thay đổi cấu trúc quyền hạn (privilege token) tiến trình + Phiên người dùng đăng nhập, đăng xuất, thay đổi + Thay đổi thông tin metadata file + Thay đổi thiếp lập bảo mật hệ thống + Các thông tin registry + Kết nối mạng + Tạo, xóa, thay đổi dịch vụ + Các giao thức phiên SMB, RDP, SSH, FTP, HTTP + Việc vi phạm sách + Các thơng tin máy (OS, version, network interface, hardware, dns, drivers) VEDR phát tự động mối đe dọa: Các luồng liệu từ cảm biến phân tích liên tục máy chủ Veramine cách sử dụng nhiều thuật toán dựa quy tắc máy học để xác định hành vi bất thường khả nghi Khả quan sát hiển thị tồn diện vào h ành vi đầu cuối có liên quan đến bảo mật cho phép công cụ phát phía máy chủ tìm nhiều mối đe dọa an ninh mạng, bao gồm công phức tạp khó phát hiện, chẳng hạn khơng sử dụng tệp mà công cụ nhớ VEDR giúp điều tra tìm kiếm dễ dàng thơng tin công: Luồng liệu cảm biến chắn hữu ích cho việc phát Tuy nhiên, thông tin thu thập được trình bày giao diện web khách hàng với thơng tin hữu ích chắt lọc, kết nối bổ sung Giao diện web cho phép người dùng thực tìm kiếm đặc biệt để tìm câu trả lời giúp tạo điều kiện tăng sức mạnh cho điều tra khả phản ứng với xâm nhập cho phép tìm kiếm mối đe dọa có hiệu Một số khách hàng đề cập đến khả "giống trình duyệt tiến trình SysInternals web chạy máy tính" VEDR đẩy nhanh q trình phản hồi: Nền tảng Veramine cung cấp tính điều khiển phản hồi phép phản hồi cố nhanh chóng hiệu từ bảng điều khiển trung tâm Những người giám sát phân tích gửi hành động phản ứng tới cảm biến Veramine để tương tác với tiến trình, tệp chạy, người dùng máy tính 1.2.3 Giải pháp Cortex XDR Palo Alto Cortex XDR, sản phẩm Palo Alto Networks giúp ngăn chặn, phát phản hồi quy mô doanh nghiệp chạy liệu điểm cuối, mạng đám mây tích hợp – cảnh báo nhiễu tập trung vào mối đe dọa thực Ngăn chặn, phát hiện, điều tra ứng phó với mối đe dọa: Cortex XDR ™ xác định danh mục để ngăn chặn, phát phản hồi quy mơ doanh nghiệp tích hợp liệu điểm cuối, mạng đám mây để ngăn chặn công tinh vi Chặn hầu hết công điểm cuối: Cortex XDR agent bảo vệ điểm cuối khỏi phần mềm độc hại, khai thác fileless với phân tích ngành tốt (industry-best), dựa AI cục hành vi Các tổ chức ngăn chặn mối đe dọa chưa thấy với tác nhân (agent) phân phối đám mây để bảo vệ, phát phản hồi điểm cuối Mơ-đun Device Control tích hợp quản lý chi tiết quyền truy cập USB để tránh liệu phân phối phần mềm độc hại từ thiết bị độc hại Agent chia sẻ biện pháp bảo vệ dịch vụ bảo mật mạng đám mây từ Palo Alto Networks để cung cấp bảo mật vững quán toàn doanh nghiệp Phát mối đe dọa lút (Stealthy) với Machine Learning Analytics: Cortex XDR xác định mối đe dọa lẩn tránh (evasive threat) với độ xác chưa có cách liên tục profiling hành vi người dùng điểm cuối với phân tích Các mơ hình học máy phân tích liệu từ Palo Alto Networks nguồn bên thứ ba để khám phá công lút nhắm vào thiết bị quản lý không quản lý Điều tra ứng phó với tốc độ cực nhanh: Cortex XDR tăng tốc điều tra cách cung cấp tranh hoàn chỉnh mối đe dọa tự động tìm ngun nhân gốc rễ Nhóm cảnh báo thơng minh cảnh báo trùng lặp đơn giản hóa việc phân loại giảm yêu cầu kinh nghiệm cần thiết giai đoạn hoạt động bảo mật Tích hợp chặt chẽ với điểm thực thi cho phép nhà phân tích phản ứng nhanh với mối đe dọa Các tính Cortex XDR: + Bảo vệ tài sản bạn với Bảo vệ điểm cuối tốt ngành: Ngăn chặn mối đe dọa thu thập liệu để phát phản hồi với cloud native agent + Quản lý an toàn thiết bị USB: Bảo vệ thiết bị đầu cuối bạn khỏi phần mềm độc hại liệu với Device Control + Có tầm nhìn đầy đủ dựa liệu tốt: Phá vỡ silo bảo mật cách tích hợp tất liệu + Khám phá mối đe dọa với Threat Detection dựa ML + Điều tra nhanh tám lần: Tự động tiết lộ nguyên nhân gốc rễ cảnh báo + Truy lùng mối đe dọa với cơng cụ tìm kiếm mạnh mẽ: Khám phá phần mềm độc hại ẩn, công nhắm mục tiêu mối đe dọa nội + Phối hợp phản hồi qua điểm cuối, mạng điểm thực thi đám mây: Ngăn chặn mối đe dọa với khắc phục nhanh chóng xác + Tìm cơng với Unit 42 Threat Hunters: Tăng cường nhóm bảo mật bạn với dịch vụ Cortex XDR Managed Threat Hunting + Tích hợp chặt chẽ với Điều phối, Tự động hóa Phản hồi (SOAR): Chuẩn hóa tự động hóa quy trình phản hồi ngăn xếp sản phẩm bảo mật bạn + Thống quản lý, báo cáo, xử lý phản hồi bảng điều khiển trực quan: Tối đa hóa suất với trải nghiệm tảng liền mạch + Dễ triển khai với Cloud Delivery: Bắt đầu vài phút 1.3 Kết luận chương Kết thúc chương 1, luận văn nghiên cứu, giới thiệu tổng quan hệ thống EDR bao gồm: khái niệm hệ thống EDR, mơ hình hoạt động ưu điểm hệ thống EDR, so sánh EDR Internet Security; tìm hiểu, nghiên cứu số hệ thống EDR gồm: EDR ApexOne Trend Micro, Veramine Endpoint Detection and Response Veramine, Cortex XDR Palo Alto Trong chương tiếp theo, luận văn nghiên cứu phương pháp phát tiến trình bất thường sử dụng Rule Sigma CHƯƠNG 2: NGHIÊN CỨU PHƯƠNG PHÁP PHÁT HIỆN TIẾN TRÌNH BẤT THƯỜNG SỬ DỤNG RULE SIGMA Tất mã độc xâm nhập vào máy người dùng thực hành vi không hợp pháp hợp pháp khơng theo ý muốn người dùng máy tính, có hành vi tương tác với hệ thống sử dụng tài nguyên hệ thống Do để phát mã độc cần thực việc theo dõi tài nguyên hệ thống, theo dõi thay đổi bất thường diễn sử dụng máy tính 2.1 Tổng quan mã độc 2.1.1 Khái niệm mã độc Mã độc (Malware): khái niệm chung dùng để phần mềm độc hại viết với mục đích lây lan phát tán (hoặc khơng lây lan, phát tán) hệ thống máy tính Internet, nhằm thực hành vi bất hợp pháp nhằm vào người dùng cá nhân, quan, tổ chức Thực hành vi chuộc lợi cá nhân, kinh tế, trị đơn giản để thỏa mãn mục đích người viết 2.1.2 Phân loại đặc tính mã độc Tuỳ thuộc vào chế, hình thức lây nhiễm phương pháp phá hoại mà người ta phân biệt mã độc thành nhiều loại khác Dưới phân loại mã độc theo hành vi nguy hiểm mà thường xuyên thực hiện: 10 2.2 Giới thiệu tiến trình Hoạt động quan trọng máy tính thực chương trình Để phục vụ hoạt động này, hệ điều hành cần tạo mơi trường cho chương trình thực quản lý chương trình Một chương trình trình thực gọi tiến trình 2.2.1 Tiến trình Tiến trình chương trình trình thực Đa số máy tính cho phép thực nhiều chương trình khác lúc Ví dụ, ta vừa chạy trình duyệt vừa soạn thảo văn nhận thư điện tử Một tiến trình thường bao gồm thành phần sau - Các lệnh, tức thị cho CPU thực - Phần liệu chứa biến toàn cục - Ngăn xếp (stack) tiến trình: chứa liệu tạm thời, ví dụ gọi hàm, tham số cần thiết để khôi phục lại trạng thái trước gọi hàm lưu vào ngăn xếp, tham số cần truyền cho hàm gọi thêm vào ngăn xếp Ngồi ngăn xếp cịn chứa biến cục hàm phương thức - Thông tin hoạt động thời tiến trình: bao gồm nội dung trỏ lệnh (program counter) chứa lệnh tiến trình, nội dung ghi khác CPU - Heap: vùng nhớ cấp phát động trình thực tiến trình, chẳng hạn tiến trình thực hàm malloc() ngơn ngữ C hay new C++ Tập hợp tất thành phần tiến trình thời điểm gọi ảnh tiến trình Tiến trình sinh chương trình tải vào nhớ để thực 2.2.2 Các trạng thái tiến trình Là thực thể động, tiến trình thuộc trạng thái khác Có nhiều cách phân biệt trạng thái tiến trình Theo cách đơn giản nhất, tiến trình thuộc hai trạng thái: chạy khơng chạy Chạy lệnh tiến trình CPU thực không chạy trường hợp ngược lại Cách sử dụng hai trạng thái tiến trình đơn giản không đủ để phản ánh đầy đủ thơng tin trạng thái tiến trình Trên thực tế, hệ điều hành thường phân biệt năm trạng thái khác tiến trình: khởi tạo, sẵn sàng, chạy, chờ đợi, kết thúc Ý nghĩa cụ thể năm trạng thái sau: - Trạng thái khởi tạo: tiến trình tạo Hệ điều hành tạo thơng tin tiến trình nhiên tiến trình chưa thêm vào danh sách tiến trình phép thực Thơng thường, tiến trình trạng thái chưa nằm nhớ - Trạng thái sẵn sàng: tiến trình chờ cấp CPU để thực lệnh - Trạng thái chạy: lệnh tiến trình CPU thực Với máy tính có CPU CPU có lõi, thời điểm có tiến trình nằm trạng thái chạy - Trạng thái chờ đợi: tiến trình chờ đợi kiện xảy ra, ví dụ chờ tín hiệu từ tiến trình khác chờ kết thúc trình vào/ra Trạng thái chờ đợi gọi trạng thái bị phong tỏa (blocked) - Trạng thái kết thúc: tiến trình khơng cịn nằm danh sách tiến trình thực chưa bị xóa Tiến trình thuộc trạng thái sau thực xong bị tiến trình khác kết thúc 11 Hình 2.1: Các trạng thái tiến trình 2.2.3 Thơng tin mơ tả tiến trình Để quản lý tiến trình, hệ điều hành cần có thơng tin tiến trình Thơng tin tiến trình lưu cấu trúc liệu gọi khối quản lý tiến trình, viết tắt PCB (Process Control Block) (lưu ý tên gọi khối thay đổi tùy hệ điều hành cụ thể) Thơng tin tiến trình chứa PCB phụ thuộc vào hệ điều hành cụ thể Thông thường, PCB bao gồm thông tin sau: - Process ID (PID): số nguyên xác định định danh tiến trình - State: trạng thái tiến trình (là trạng thái phần trên) - Pointer: trỏ lưu địa tiến trình cha - Priority: độ ưu tiên tiến trình, giúp cho vi xử lý xác định thứ tự thực - Program Counter: trỏ lưu địa dẫn giúp cho tiến trình thực thi (là phép tính tương tự) - CPU Registers: ghi tiến trình cần sử dụng để thực thi - I/O Information: Thông tin thiết bị đọc - ghi mà tiến trình cần sử dụng - Accounting Information: chứa thông tin việc sử dụng CPU thời gian sử dụng, định danh 2.3 Giới thiệu System Monitor (Sysmon) 2.3.1 Sysmon Sysmon cơng cụ Microsoft dùng để kiểm tra hoạt động Windows: tiến trình, kết nối mạng, file… đưa vào windows event log Thông tin ghi lại bao gồm trình khởi tạo tiến trình, kết nối mạng thay đổi file hệ thống Từ kỹ sư bảo mật thu thập thơng tin từ event log sau đẩy hệ thống SIEM để tiến hình phân tích, xác định hành vi phần mềm độc hại hệ thống công nghệ thông tin 2.3.2 Tính Sysmon Một số khả Sysmon: - Ghi nhật ký trình tạo tiến trình với đầy đủ dịng lệnh cho tiến trình tiến trình cha - Ghi lại giá trị băm tập tin hình ảnh khởi tạo tiến trình với giá trị mặc định SHA1, ngồi cịn có giá trị khác MD5, SHA256 IMPHASH - Nhiều hàm băm sử dụng lúc - Lưu trữ giá trị GUID trình tạo kiện phép tổng hợp, phân tích tương quan kiện hệ điều hành Windows sử dụng lại PID - Giá trị Session GUID kiện phép tổng hợp, phân tích tương quan kiện phiên đăng nhập 12 - Nhật ký trình tải, trình điều khiển hệ thống, thư viện với chữ ký giá trị băm tập tin - Lưu nhật ký mở, đọc ổ đĩa - Lưu nhật ký kết nối mạng, bao gồm thơng tin tiến trình kết nối, địa IP, cổng, địa kết nối - Phát thay đổi thời gian tạo tập tin để thu thông tin liên quan tới kiện thay đổi tập tin Thay đổi thời gian tạo tập tin kỹ thuật hay mã độc sử dụng - Tự động tải lại cấu hình có thay đổi registry - Cơ chế lọc giúp loại trừ kiện cách linh hoạt - Theo dõi, giám sát hệ thống từ trình khởi động để nắm bắt toàn hoạt động tiến trình hệ thống Windows 2.3.3 Sử dụng Sysmon Hiện tại, Microsoft phát hành Sysmon phiên 13, người dùng tải từ trang chủ hệ thống microsoft thông qua địa chỉ: https://docs.microsoft.com/vivn/sysinternals/ Các tiện ích cơng cụ Sysinternals tạo từ năm 1996 Mark Russinovich bao gồm tiện ích, cơng cụ liên quan tới việc giám sát Windows Ngay sau cài đặt, Sysmon thu thập tồn thơng tin kiện liên quan tới tiến trình hoạt động hệ thống từ hệ thống bắt đầu khởi động lưu trữ vào hệ thống Đối với hệ điều hành Windows Vista cao hơn, kiện lưu trữ đường dẫn “Applications and Services Logs/Microsoft /Windows/Sysmon/Operational” Các tiến trình thu thập Sysmon Event Viewer: - Event ID 1: Process creation cung cấp thông tin mở rộng process tạo - Event ID 2: A process changed a file creation time đăng ký thời gian tạo tệp sửa đổi process kiện giúp theo dõi thời gian tạo thực tập tin Kẻ công thay đổi thời gian tạo tập tin để làm cho trơng giống cài đặt với hệ điều hành Lưu ý nhiều quy trình thay đổi hợp pháp thời gian tạo tệp, không thiết hoạt động độc hại - Event ID 3: Network connection kiện kết nối mạng ghi lại kết nối TCP / UDP máy Nó bị tắt theo mặc định Mỗi kết nối liên kết với quy trình thơng qua trường ProcessID ProcessGUID Sự kiện chứa tên máy chủ nguồn đích địa IP, số port trạng thái IPv6 - Event ID 4: Sysmon service state changed kiện thay đổi trạng thái dịch vụ Sysmon (đã bắt đầu dừng) - Event ID 5: Process terminated trình báo cáo kiện q trình kết thúc Nó cung cấp UtcTime, ProcessGuid ProcessID quy trình - Event ID 6: Driver loaded cung cấp thông tin driver tải hệ thống - Event ID 7: Image loaded nhật ký kiện tải hình ảnh module tải process cụ thể Sự kiện nên cấu hình cẩn thận giám sát tất kiện tải hình ảnh tạo số lượng lớn kiện - Event ID 8: CreateRemoteThread kiện CreatRemoteThread phát tiến trình tạo luồng tiến trình khác Kỹ thuật sử dụng phần mềm độc hại để tiêm mã ẩn quy trình khác Sự kiện q trình nguồn đích Nó cung 13 cấp thơng tin mã chạy luồng mới: StartAddress, StartModule StartFunction Lưu ý trường StartModule StartFunction suy ra, chúng trống địa bắt đầu nằm ngồi module tải hàm xuất biết - Event ID 9: RawAccessRead kiện RawAccessRead phát trình tiến hành hoạt động đọc từ ổ đĩa cách sử dụng ký hiệu “\\.\”, Kỹ thuật thường sử dụng phần mềm độc hại để lọc liệu tệp bị khóa để đọc, để tránh cơng cụ kiểm tra truy cập tệp Sự kiện trình nguồn thiết bị đích - Event ID 10: ProcessAccess trình truy cập báo cáo kiện quy trình mở quy trình khác, hoạt động thường theo sau truy vấn thông tin đọc ghi không gian địa quy trình đích Điều cho phép phát công cụ hack đọc nội dung nhớ quy trình Local Security Agency (Lsass.exe) đánh cắp thông tin đăng nhập để sử dụng cơng Pass-the-Hash Việc kích hoạt tạo số lượng ghi nhật ký đáng kể có tiện ích chẩn đốn hoạt động liên tục mở quy trình để truy vấn trạng thái chúng, thường nên thực với lọc loại bỏ truy cập dự kiến - Event ID 11: FileCreate hoạt động tạo tập tin ghi lại tập tin tạo ghi đè Sự kiện theo dõi vị trí tự khởi động thư mục Startup, thư mục tải xuống tạm thời nơi phổ biến khiến phần mềm độc hại bị loại bỏ trình lây nhiễm ban đầu - Event ID 12: RegistryEvent (Object create and delete) khóa đăng ký giá trị khởi tạo xóa operations map theo loại kiện này, hữu ích cho việc theo dõi thay đổi vị trí tự khởi động Sổ đăng ký phần mềm thay đổi độc hại - Event ID 13: RegistryEvent (Value Set) xác định sửa đổi giá trị Registry Sự kiện ghi lại giá trị ghi cho giá trị Registry loại DWORD QWORD - Event ID 14: RegistryEvent (Key and Value Rename) Registry key đổi tên operations map thành loại kiện này, ghi lại tên khóa giá trị đổi tên - Event ID 15: FileCreateStreamHash kiện ghi lại tạo dịng tệp tạo kiện ghi lại hàm băm nội dung tệp mà luồng gán nội dung luồng đặt tên - Event ID 17: PipeEvent (Pipe Created) kiện tạo đường ống tạo Phần mềm độc hại thường sử dụng đường ống đặt tên để liên lạc trình - Event ID 18: PipeEvent (Pipe Connected) kiện ghi lại kết nối đường ống thực máy khách máy chủ - Event ID 19: WmiEvent (WmiEventFilter activity detected) lọc kiện WMI đăng ký, phương thức phần mềm độc hại sử dụng để thực thi, kiện ghi lại không gian tên WMI, tên lọc biểu thức lọc - Event ID 20: WmiEvent (WmiEventConsumer activity detected) kiện ghi lại đăng ký người tiêu dùng WMI, ghi lại tên người dùng, nhật ký đích đến - Event ID 21: WmiEvent (WmiEventConsumerToFilter activity detected) người tiêu dùng liên kết với lọc, kiện ghi lại tên người tiêu dùng đường dẫn lọc 14 - Event ID 22: DNSEvent (DNS query) kiện tạo trình thực truy vấn DNS, cho dù kết thành công hay thất bại, lưu trữ hay không Sự kiện thêm từ Windows 8.1 khơng có sẵn Windows trở trước - Event ID 255: Error kiện tạo xảy lỗi Sysmon Chúng xảy hệ thống chịu tải nặng thực số nhiệm vụ định có lỗi dịch vụ Sysmon Với kiện Windows, Sysmon thực thu thập đầu đủ thông tin sau: - Thời gian tạo kiện - ProcessGuid: dùng để liên kết, tương quan kiện - Image: tập tin khởi tạo tiến trình - FileVersion: phiên tập tin - Thơng tin liên quan tới tập tin khởi tạo tiến trình (Company, Product, Desciption…) - CommandLine: dòng lệnh khởi tạo tập tin - CurrentDirectory: thư mục lưu trữ tập tin - User: thơng tin tài khoản tạo tiến trình - LogonGuid: thông tin phiên đăng nhập - LogonID: định danh phiên đăng nhập - Hashes: mã hash tập tin - ParentProcessGuild: thơng tin Guid tiến trình cha dùng để liên kết, tương quan kiện Với việc sử dụng Sysmon, chuyên gia an ninh mạng sử dụng cơng cụ để kiểm tốn, theo dõi, giám sát hệ thống để phát hành vi bất thường tiến trình, tìm kiếm tiến trình bất thường chạy Windows, phát kết nối bất thường đến địa IP nghi ngờ, phát thay đổi tập tin truy vấn DNS độc hại 2.4 Tổng quan Splunk 2.4.1 Giải pháp Splunk Splunk phần mềm giám sát mạng dựa sức mạnh việc phân tích Log Splunk thực cơng việc tìm kiếm, giám sát phân tích liệu lớn sinh từ ứng dụng, hệ thống thiết bị hạ tầng mạng Nó thao tác tốt với nhiều loại dịnh dạng liệu khác (Syslog, csv, apache-log, access_combined…) Splunk xây dựng dựa tảng Lucene and MongoDB 2.4.2 Các tính Splunk Định dạng Log: Hỗ trợ tất loại log hệ thống, thiết bị hạ tầng mạng, phần mềm, Firewall, IDS/IPS, Log Event, Register máy trạm … Các hình thức thu thập liệu: Splunk thực việc thu thập log từ nhiều nguồn khác Từ file thư mục (kể file nén) server, qua kết nối UDP, TCP từ Splunk Server khác mơ hình Splunk phân tán, từ Event Logs, Registry Windows …Splunk kết hợp tốt với công cụ thu thập log khác Cập nhật liệu: Splunk cập nhật liệu liên tục có thay đổi thời gian thực Giúp cho việc phát cảnh báo thời gian thực 15 Đánh mục liệu: Splunk đánh mục liệu với khối lượng liệu lớn khoảng thời gian ngắn Giúp việc tìm kiếm diễn nhanh chóng thuận tiện Tìm kiếm thơng tin: Splunk làm việc tốt với liệu lớn cập nhật liên tục Nó cung cấp chế tìm kiếm với “Splunk Language” thơng minh bao gồm từ khóa, hàm cấu trúc tìm kiếm giúp người sử dụng truy xuất thứ, theo nhiều tiêu chí từ tập liệu lớn Những nhà quản trị mạng cao cấp chuyên nghiệp thường gọi Splunk với tên “Splunk toàn năng” hay “Splunk as Google for Log files” để nói lên sức mạnh Splunk Giám sát cảnh báo: Splunk cung cấp cho người dùng chế cảnh báo dựa việc tìm kiếm thơng tin người sử dụng đặt Khắc phục cố: Splunk cung câp chế tự động khắc phục với vấn đề xảy việc tự động chạy file Script mà người dùng tự tạo Hiển thị thông tin: Splunk cung cấp chế hiển thị trực quan giúp người sử dụng dễ dàng hình dung tình trạng hệ thống, đưa đánh giá hệ thống Splunk từ động kết xuất báo cáo với nhiều loại định dạng cách chuyên nghiệp 2.4.3 Kiến trúc Splunk Mức thấp kiến trúc Splunk mô tả phương thức nhập liệu khác hỗ trợ Splunk Những phương thức nhập cấu hình để gửi liệu phân loại Splunk Trước liệu đến phân loại Splunk, phân tích cú pháp thao tác, có nghĩa làm liệu thực cần Một liệu lập mục Splunk, tiến hành vào cụ thể để phân tích liệu Splunk hỗ trợ hai loại triển khai: triển khai độc lập triển khai phân tán Tùy thuộc vào loại triển khai, tìm kiếm tương ứng thực Cơng cụ Splunk có thành phần bổ sung khác quản lý liệu, báo cáo lên kế hoạch, cảnh báo Tồn cơng cụ Splunk tiếp xúc với người dùng thông qua Splunk CLI, Splunk Web Interface, Splunk SDK, hỗ trợ hầu hết ngơn ngữ Các triển khai Splunk Enterprise bao gồm từ việc triển khai máy chủ đơn (có số vài gigabyte liệu ngày truy cập vài người dùng tìm kiếm, phân tích hình dung liệu) tới triển khai lớn doanh nghiệp nhiều trung tâm liệu, lập mục hàng trăm terabytes liệu tìm kiếm thực hàng trăm người dùng 2.4.4 Đánh giá Splunk Splunk mạnh khả phân tích cảnh báo nhiên lại khơng mạnh không đảm bảo việc thu thập truyền tải log Cụ thể chưa có chế bảo mật đường truyền, không phù hợp với hệ thống địi hỏi bảo mật cao Chưa có chế giúp tự động phát cơng hay vấn đề từ bên ngồi Nhưng điều phụ thuộc vào kinh nghiệm sử dụng vốn hiểu biết người quản trị Để triển khai hệ thống sử dụng Splunk hiệu cần có hệ thống riêng, trở ngại khơng nhỏ với hệ thống có quy mơ trung bình nhỏ 16 2.5 Tổng quan Rule Sigma phương pháp phát tiến trình bất thường sử dụng Rule Sigma 2.5.1 Giới thiệu Sigma Sigma dự án mã nguồn mở (công bố github địa chỉ: https://github.com/SigmaHQ/sigma) Florian Roth Thomas Patzke phát triển, chứa dấu hiệu mơ tả kiện liên quan liệu giám sát Quy tắc linh hoạt áp dụng cho tất loại liệu Mục đích Sigma cung cấp quy tắc có cấu trúc, nơi nhà nghiên cứu phân tích mơ tả, chia sẻ phương pháp phát bất thường với cộng đồng rộng lớn Từ quy tắc Sigma, ta dùng công cụ chuyển đổi Sigmac (nằm thư mục /tools/ ), Sigmac chuyển đổi quy tắc Sigma thành truy vấn đầu vào mục tiêu Trên sở đó, Sigma xây dựng quy tắc cách thu thập mối đe dọa dựa việc tích hợp nhận dạng dựa MITRE ATT&CK framework Trong luận văn này, thấy việc sử dụng phương pháp xây dựng quy tắc Sigma phù hợp hữu ích, giúp tơi rút ngắn thời gian xây dựng thu thập, từ phân tích đánh giá tiến trình bất thường thông qua event log gửi từ máy người dùng 2.5.2 Các thành phần Sigma Bảng 2.3: Các thành phần Rule Sigma Thành phần Kiểu liệu Title String Một tiêu đề ngắn gọn cho quy tắc Tiêu đề phải chứa quy tắc phải phát Description String Mô tả ngắn gọn quy tắc hoạt động độc hại phát Array Tham chiếu đến nguồn suy ra/bắt nguồn (derived) từ quy tắc Đây báo blog, báo kỹ thuật, thuyết trình, chí đăng twitter References Mô tả Khai báo trạng thái luật Status any Log Source record Phần mô tả liệu log dùng cho phát Nó mơ tả nguồn log, tảng, ứng dụng loại yêu cầu Detection record Một tập hợp số định danh tìm kiếm (search-identifier) đại diện cho tìm kiếm liệu log Condition any Condition phần phức tạp đặc điểm kỹ thuật thay đổi theo thời gian yêu cầu phát sinh Fields array Danh sách trường log quan tâm phân tích thêm kiện hiển thị cho nhà phân tích Level any Trường level chứa bốn giá trị chuỗi Nó mô tả mức độ quan trọng quy tắc kích hoạt Trong kiện cấp thấp trung bình có tính chất giàu thơng tin? (have an informative character), kiện có cấp độ cao quan trọng nhà phân tích bảo mật đánh giá Tags array Một quy tắc phân loại theo thẻ tag 17 2.5.3 Tạo quy tắc Sigma sử dụng quy tắc Sigma Quy tắc Sigma tạo sử dụng theo bước sau đây: Bước 1: Tải Rule Sigma trang web: https://github.com/SigmaHQ/sigma, có tài liệu, quy tắc mẫu trình biên dịch Sigmac để chuyển quy tắc Sigma thành truy vấn cho hệ thống giám sát SIEM Bước 2: Tạo tệp YAML Viết quy tắc Sigma (Rule Sigma) cách tạo tệp YAML, sử dụng trình chỉnh sửa YAML dùng NotePad, sau tạo tệp cung cấp thông số quy tắc Sigma vào bảng Bảng 2.4: Bảng thông số quy tắc Sigma title: id: status: description: author: references: logsource: category: product: service: definition: detection: condition: fields: falsepositives: level: tags: Bước 3: Cung cấp giá trị cho thuộc tính bắt buộc cách thu thập thông tin từ nguồn phát bất thường, mã độc Bước 4: Dịch quy tắc sang truy vấn tìm kiếm Để chuyển đổi quy tắc Sigma thành truy vấn tìm kiếm cho SIEM tảng ghi nhật ký bạn, luận văn công cụ em sử dụng Splunk, bạn sử dụng cơng cụ Sigmac có thư mục \tools\ Sigmac cho phép bạn chuyển đổi quy tắc cụ thể cho mục tiêu Splunk, QRadar chí PowerShell, Sigmac sử dụng ánh xạ trường để chuyển đổi trường sử dụng quy tắc thành trường thực tế có sẵn cho mục tiêu mong muốn Trong chương sau, luận văn xây dựng số kịch phát bất thường sử dụng Rule Sigma 2.5.4 Phương pháp phát tiến trình bất thường sử dụng Rule Sigma Kiến trúc quy tắc Sigma: Bảng mô tả kiến trúc quy tắc Sigma Bảng 2.6: Kiến trúc quy tắc sigma Field name title: type: length: min: Data type str 18 max: 256 description: references: type: contents: status: type: of: - type: value: stable - type: value: testing - type: value: experimental logsource: type: optional: category: product: service: definition: detection: type: required: condition: type: of: - type: - type: contents: fields: type: contents: level: type: of: - type: value: low - type: value: medium - type: value: high - type: value: critical tags: type: contents: str arr str any str str str rec str str str str rec any str arr str arr str any str str str str arr str Phương pháp phát tiến trình bất thường sử dụng Rule sigma: Để phát mã độc dựa hành vi bất thường chúng Rule sigma, tập trung xây dựng hồ sơ hành vi chúng từ tiến hành so sánh phân tích hồ sơ hành vi Nguyên tắc phát mã độc kỹ thuật Rule sigma chúng tơi thể thuật tốn đây: Bảng 2.7: Thuật toán 1: detection_operator Hàm detection_operator(): selections = {} Với cặp (key, value) trường detection: 19 Nếu key ‘condition field’: result = Kiểm tra selection_operator True hay False Đưa result vào dictionary selections[key] = result Nếu khơng thì: Lấy condition Với cặp (key, value) selections: Nếu key có condition: Key thay condition giá trị selection Trả condition Hàm select_operator có nhiệm vụ kiểm tra selection True hay False trả kết để đối chiếu với điều kiện Nội dung bên lựa chọn chuỗi điều kiện theo quy tắc if dictionaries - condition AND, If the list - condition OR Bảng 2.8: Thuật toán 2: selection_operator Hàm selection_operator(): Nếu selection kiểu lists: list_selection = [] Với phần tử element selection: result = selection_operator (element) Thêm result vào list_selection Trả kết kiểm tra or_operator(result) Nếu selection kiểu dictionaries: list_selection = [] Với phần tử element selection: Nếu key ‘condition field’: continue Nếu value kiểu list: result = kết trả check_many(key, value) Thêm result vào list_selection Nếu khơng thì: result = kết trả check_single(key, value) Thêm result vào list_selection Trả kết kiểm tra and_operator(result ) Hàm thực thi trường hợp khóa key có danh sách nhiều giá trị khác nhau, để kiểm tra cần lấy giá trị bên kiểm tra với giá trị trường thông báo log, hàm check_many lấy giá trị nhập vào hàm check_single để chờ kết trả về, nói trường hợp khóa có nhiều giá trị, hàm or_operator thực kiểm tra với điều kiện OR Bảng 2.9: Thuật toán 3: selection_operator Hàm check_many(key, values) List_value_check = [] Với giá trị value list values: result = kết trả check_single(key, value) Thêm result vào List_value_check Trả kết kiểm tra or_operator(result) Hàm check_single tham chiếu đến giá trị luật với giá trị tham chiếu có khóa trường thơng báo, khóa có cách để so sánh giá trị từ 20 thông báo log contains, endswith, startswith nothing Việc kiểm tra trả kết thực hàm simple_operator Bảng 2.10: Thuật toán 4: simple_operator function Hàm check_single(key, value) elements = danh sách số trả sau split key với ký tự “|” field = element[0] Nếu elements == 1: Trả kết simple_operator(message[field], value, “=”) condition = elements[1] Trả kết simple_operator(message[field], value, condition) Hàm simple_operator(left, right, operator) Nếu operator “=”: Nếu operator kiểu String: Nếu xuất ký tự "*" phần bắt đầu kết thúc: simple_operator(left, right[1:-1], "contains") Nếu xuất ký tự "*" phần kết thúc: simple_operator(left, right[1:], "startswith") Nếu xuất ký tự "*" phần bắt đầu: simple_operator(left, right[1:], "endswith") Nếu left None: Trả False Nếu operator “endswith”: Trả left, endswith, right Nếu operator “startswith”: Trả left, startswith, right Nếu operator “contains”: Right in Left 2.5.5 Ưu điểm, nhược điểm Rule Sigma Ưu điểm Rule Sigma: - Độ xác phát mã độc cao, luật Sigma xây dựng dựa hành vi mã độc không dựa vào signature mã độc; - Phát nhiều loại mã độc luật Sigma xây dựng dựa nhóm hành vi mã độc; - Rule Sigma xây dựng cho nhiều tảng khác nhau: Windows, Linux, Cloud, … chuyển đổi sang câu truy vấn hầu hết phần mềm giám sát SIEM như: Qradar, ELK, Splunk,… - Rule Sigma dự án nguồn mở cộng đồng xây dựng Rule Sigma ngày phát triển, cập nhật kịp thời hành vi nhóm mã độc Nhược điểm Rule Sigma: - Hệ thống phát bất thường sử dụng Rule Sigma phát mã độc cập nhật hành vi nó, loại mã độc chưa cập nhật hành vi vào Sigma không phát được; - Cách viết luật Sigma tương đối phức tạp, đòi hỏi người viết luật Sigma có trình độ cao cơng nghệ thơng tin, bảo mật, an ninh mạng 2.6 Kết luận chương Kết thúc chương 2, luận văn trình bày tổng quan mã độc, giới thiệu tiến trình, cơng cụ thu thập tiến trình Sysmon hệ điều hành Windows, giải pháp giám sát mạng Splunk, tìm hiểu Rule Sigma phương pháp phát tiến trình bất thường máy người dùng sử dụng Rule Sigma Trong chương luận văn tập trung xây dựng, thử nghiệm hệ thống phát tiến trình bất thường máy người dùng 21 CHƯƠNG 3: THỰC NGHIỆM VÀ ĐÁNH GIÁ 3.1 Cài đặt hệ thống thử nghiệm phát bất thường Hệ thống phát tiến trình bất thường máy người dùng xây dựng mơi trường ảo hóa phần mềm VirtualBox Oracle bao gồm: 01 máy chủ cài đặt hệ điều hành Centos 7; 01 máy người dùng cài đặt hệ điều hành Windows 10 3.1.1 Cài đặt máy chủ Splunk (ip 192.168.1.57) - Cài đặt Rule Sigma Centos - Cài đặt Splunk Enterprise Centos 3.1.2 Cài đặt máy người dùng - Cài đặt cấu hình Sysmon - Cài đặt cấu hình SplunkForwarder 3.2 Thực nghiệm hệ thống phát bất thường 3.2.1 Kịch (phát mã độc LokiBot Trojan) Mã độc sử dụng để thử nghiệm kịch LokiBot Trojan, mã độc sử dụng phần mềm độc hại Trojan để lấy cắp thông tin nhạy cảm tên người dùng, mật khẩu, ví tiền điện tử thông tin đăng nhập khác, thông tin mã độc bảng Bảng 3.3: Thông tin mã độc LokiBot Trojan Tập tin mã độc PO_ IE5812 JNS4791 - 1809016.bin Hash f9e8d9a81ce701c324ede091e76aa7a3 Định dạng tập tin PO_ IE5812 JNS4791 - 1809016.exe Địa tải mã độc https://app.any.run/tasks/df44e5cb-5a4f-4d56-9602-a3a67989d9ec Ta tiến hành thực sau: Bước 1: Trên máy người dùng ta tải thực thi mã độc LokiBot Trojan Bước 2: Trên máy chủ Splunk, ta tải quy tắc Sigma phát mã độc LokiBot Trojan (được tạo Alexandr Yampolskyi, SOC Prime) Ta sử dụng công cụ Sigmac (hoặc công cụ https://uncoder.io/) để chuyển đổi quy tắc Sigma thành câu truy vấn Splunk theo hình Hình 3.4: Sigmac chuyển quy tắc Sigma LokiBot thành truy vấn 22 Bước 3: Sau có câu truy vấn, ta tiến hành tìm kiếm máy chủ Splunk, kết phát event log mã độc LokiBot Trojan hình đây: Hình 3.6: Phát event log mã độc LokiBot Trojan Ta xem chi tiết Event log để biết thêm thông tin liên quan đến mã độc LokiBot Trojan (các thông tin ngày khởi tạo log, image, đường dẫn file chạy mã độc,…): Hình 3.7: Thơng tin chi tiết Event log mã độc LokiBot Trojan Bước 4: Như kịch 1, người quản trị máy chủ phát event log bất thường mã độc LokiBot Trojan máy người dùng cách sử dụng quy tắc Sigma 3.2.2 Kịch (phát mã độc Ryuk Ransomware) Mã độc sử dụng để thử nghiệm kịch thứ Ryuk Ransomware, mã độc tống tiền, lây nhiễm vào máy tính kiểm sốt hệ thống kiểm sốt máy 23 tính u cầu nạn nhân phải trả tiền để khơi phục lại điều khiển với hệ thống, thông tin mã độc bảng Bảng 3.5: Thông tin mã độc Ryuk Ransomware Tập tin mã độc data.zip Hash 8555b213260ba5eda4bf37652cecb431 Định dạng tập tin data.exe Địa tải mã độc https://app.any.run/tasks/941cfa9a-6701-42b9-a410-74418fe214c8/ Ta tiến hành thực sau: Bước 1: Trên máy người dùng ta tải thực thi mã độc Ryuk Ransomware Bước 2: Trên máy chủ Splunk, ta tải quy tắc Sigma phát mã độc Ryuk Ransomware (được tạo Alexandr Yampolskyi, SOC Prime) Tương tự kịch 1, ta sử dụng công cụ Sigmac để chuyển đổi quy tắc (hoặc dùng công cụ https://uncoder.io/) ta câu truy vấn cho Splunk: (source="WinEventLog:Microsoft-Windows-Sysmon/Operational" source="WinEventLog:*" EventCode="1" ((Hashes: "8555b213260ba5eda4bf37652cecb431") OR (CommandLine="*REG ADD \"HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\" /v \"svchos\" /t REG_SZ /d \"C:\\Users\\admin\\AppData\\Local\*"))) Bước 3: Sau có câu truy vấn, ta tiến hành tìm kiếm máy chủ Splunk, kết phát event log mã độc Ryuk Ransomware hình đây: Hình 3.8: Phát event log mã độc Ryuk Ransomware Trên máy người dùng mã độc mã hóa tất file (mã hóa RYK) văn người dùng có thơng tin liên hệ với nhóm tạo mã độc để khơi phục lại hệ thống 24 Ta xem chi tiết Event log để biết thêm thông tin liên quan đến mã độc Ryuk Ransomware (các thông tin ngày khởi tạo log, image, đường dẫn file chạy mã độc,…) Bước 4: Như kịch 2, người quản trị máy chủ phát event log bất thường mã độc Ryuk Ransomware máy người dùng cách sử dụng quy tắc Sigma 3.3 Nhận xét, đánh giá Hiện thư viện luật Rule Sigma xây dựng cho hệ điều hành Windows có khoảng gần 900 Rule Sigma, nhiên trình bày luận văn luật xây dựng dựa hành vi bất thường mã độc loại mã độc Do luật tạo có kịch phát mã độc Chính số loại mã độc chưa nằm luật Rule Sigma Rule Sigma không phát 3.4 Kết luận chương Kết thúc chương 3, luận văn thực số nội dung sau: - Cài đặt công cụ giám sát Splunk Enterprise cài đặt Rule Sigma máy chủ Splunk (Centos7) - Cài đặt, cấu hình Sysmon, Splunkforwarder máy người dùng (Windows 10) - Thử nghiệm hệ thống sử dụng Rule Sigma người quản trị phát thành công 02 kịch mã độc LokiBot Trojan Ryuk Ransomware máy người dùng KẾT LUẬN Luận văn nghiên cứu, thực đạt số kết sau: - Nghiên cứu tổng quan hệ thống EDR; - Nghiên cứu số hệ thống phát tiến trình bất thường máy trạm bao gồm: EDR ApexOne Trend Micro, Veramine Endpoint Detection and Response, Cortex XDR Palo Alto - Nghiên cứu tổng quan mã độc, tiến trình, cơng cụ thu thập tiến trình Sysmon hệ điều hành Windows, giải pháp giám sát mạng Splunk; tìm hiểu Rule Sigma phương pháp phát tiến trình bất thường máy người dùng - Nghiên cứu, xây dựng, thử nghiệm đánh giá hệ thống phát tiến trình bất thường máy trạm sử dụng Rule Sigma; Trong tương lai, luận văn tiếp tục nghiên cứu theo hướng sau phát tiến trình bất thường máy trạm hệ thống tự động có phản hồi bất thường cách ly máy bị nhiễm mã độc khỏi hệ thống mạng, thực thi loại bỏ tiến trình bất thường,…, giúp bảo vệ hệ thống mạng kịp thời ... luận văn nghiên cứu phương pháp phát tiến trình bất thường sử dụng Rule Sigma CHƯƠNG 2: NGHIÊN CỨU PHƯƠNG PHÁP PHÁT HIỆN TIẾN TRÌNH BẤT THƯỜNG SỬ DỤNG RULE SIGMA Tất mã độc xâm nhập vào máy người... nghiên cứu: - Phương pháp nghiên cứu lý thuyết: Nghiên cứu tổng quan mơ hình phát tiến trình bất thường nay, nghiên cứu hệ thống phát tiến trình bất thường sử dụng Rule Sigma - Phương pháp thực... - Nghiên cứu, xây dựng, thử nghiệm đánh giá hệ thống phát tiến trình bất thường máy trạm sử dụng Rule Sigma; Trong tương lai, luận văn tiếp tục nghiên cứu theo hướng sau phát tiến trình bất thường