HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG NGUYỄNĐỨC THƯỞNG NGUYỄN ĐỨC THƯỞNG NGHIÊN CỨU PHÁT HIỆN TIẾN TRÌNH BẤT THƯỜNG TRÊN MÁY HỆTHỐNG THÔNGTIN TRẠM SỬ DỤNG RULE SIGMA LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng) 2020– 2022 HÀ NỘI – NĂM 2021 HÀ NỘI - NĂM 2022 HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG - NGUYỄN ĐỨC THƯỞNG NGHIÊN CỨU PHÁT HIỆN TIẾN TRÌNH BẤT THƯỜNG TRÊN MÁY TRẠM SỬ DỤNG RULE SIGMA Chuyên ngành: HỆ THỐNG THÔNG TIN Mã số: 8.48.01.04 LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng) NGƯỜI HƯỚNG DẪN KHOA HỌC : TS ĐỖ XUÂN CHỢ HÀ NỘI - NĂM 2022 i LỜI CAM ĐOAN Tôi cam đoan luận văn đề tài “Nghiên cứu phát hiện tiến trình bất thường trên máy trạm sử dụng Rule Sigma” là công trình nghiên cứu của riêng tôi Các số liệu, kết quả nêu trong luận văn là trung thực và chưa từng được ai công bố trong bất kỳ công trình nào khác Tác giả luận văn Nguyễn Đức Thưởng ii LỜI CẢM ƠN Trong suốt quá trình học tập và hoàn thành luận văn tốt nghiệp, tôi đã nhận được rất nhiều sự giúp đỡ, động viên từ thầy cô, gia đình và bạn bè Tôi xin chân thành cảm ơn sự giúp đỡ này Trước hết tôi xin bày tỏ sự cảm ơn đặc biệt tới TS Đỗ Xuân Chợ, người đã định hướng cho tôi trong việc lựa chọn đề tài, đưa ra những nhận xét quý giá và trực tiếp hướng dẫn tôi trong suốt quá trình nghiên cứu và hoàn thành luận văn tốt nghiệp Tôi xin gửi lời cảm ơn chân thành, cảm ơn tất cả các thầy cô giáo của Học viện Công nghệ Bưu chính Viễn thông đã giảng dạy và dìu dắt tôi trong trong suốt quá trình học tập tại trường Tôi xin gửi lời cảm ơn tới gia đình và bạn bè, những người luôn ở bên cạnh động viên, ủng hộ, tạo điều kiện cho tôi hoàn thành khóa luận này iii MỤC LỤC LỜI CAM ĐOAN i LỜI CẢM ƠN ii MỤC LỤC iii DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT v DANH MỤC CÁC BẢNG vi DANH MỤC CÁC HÌNH vii MỞ ĐẦU 1 1 CHƯƠNG 1: TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN BẤT THƯỜNG TRÊN MÁY TRẠM 4 1.1 Tổng quan về hệ thống Endpoint Detection & Response (EDR) 4 1.1.1 Khái niệm về hệ thống EDR 4 1.1.2 EDR hoạt động như thế nào? 4 1.1.3 Ưu điểm của EDR 5 1.1.4 So sánh EDR với Internet Security 5 1.2 Một số hệ thống EDR hiện nay 6 1.2.1 Giải pháp EDR Apexone của Trend Micro 6 1.2.2 Giải pháp Veramine Endpoint Detection and Response 12 1.2.3 Giải pháp Cortex XDR của Palo Alto 19 1.3 Kết luận chương 1 23 2 CHƯƠNG 2: NGHIÊN CỨU PHƯƠNG PHÁP PHÁT HIỆN TIẾN TRÌNH BẤT THƯỜNG SỬ DỤNG RULE SIGMA 23 2.1 Tổng quan về mã độc 23 2.1.1 Khái niệm mã độc 23 2.1.2 Phân loại và đặc tính của mã độc 24 2.2 Giới thiệu về tiến trình 27 2.2.1 Tiến trình là gì 27 2.2.2 Các trạng thái của tiến trình 28 2.2.3 Thông tin mô tả tiến trình 29 2.3 Giới thiệu về System Monitor (Sysmon) 30 2.3.1 Sysmon là gì 30 2.3.2 Tính năng của Sysmon 30 2.3.3 Sử dụng Sysmon 31 2.4 Tổng quan về Splunk 39 2.4.1 Giải pháp Splunk 39 iv 2.4.2Các tính năng của Sp 2.4.3Kiến trúc của Splunk 2.4.4Đánh giá Splunk 2.5 Tổng quan về Rule Sigma và phương pháp phát hiện dụng Rule Sigma 2.5.1Giới thiệu về Sigma 2.5.2Các thành phần của S 2.5.3Tạo quy tắc Sigma và 2.5.4Phương pháp phát hi 2.5.5Ưu điểm, nhược điểm 2.6 Kết luận chương 2 3 CHƯƠNG 3: THỰC NGHIỆM VÀ ĐÁNH GIÁ 3.1 Cài đặt hệ thống thử nghiệm phát hiện bất thường 3.1.1Cài đặt máy chủ Splu 3.1.2Cài đặt máy người dù 3.2 Thực nghiệm hệ thống phát hiện bất thường 3.2.1Kịch bản 1 (phát hiện 3.2.2Kịch bản 2 (phát hiện 3.3 Nhận xét, đánh giá 3.4 Kết luận chương 3 KẾT LUẬN DANH MỤC CÁC TÀI LIỆU THAM KHẢO v DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT Viết tắt Tiếng Anh EDR Endpoint detection & Response Hệ thống phát hiện và phản hồi các mối nguy hại tại điểm cuối Veramine Endpoint Detection and Response Giải pháp phát hiện và phản hồi điểm cuối của Veramine Process ID Số nguyên xác định định danh của tiến trình YAML YAML Ain’t Markup Language Là 1 định dạng dũ liệu trung gian được thiết kế để người dùng và các ngôn ngữ lập trình cùng hiểu được TCP Transmission Control Protocol Giao thức điều khiển truyền vận Central Processing Unit Bộ xử lý trung tâm của máy tính CPU xử lý tất cả các lệnh mà nó nhận được từ phần cứng và phần mềm chạy trên máy tính VEDR PID CPU Tiếng Việt vi DANH MỤC CÁC BẢNG Bảng 1.1: So sánh EDR với Internet Security 6 Bảng 2.1: Các câu lệnh cơ bản của Sysmon 32 Bảng 2.2: Thông tin chi tiết tùy chọn cấu hình của Sysmon 32 Bảng 2.3: Các thành phần chính của Rule Sigma 44 Bảng 2.4: Bảng các thông số cơ bản của quy tắc Sigma 51 Bảng 2.6: Kiến trúc của quy tắc sigma 51 Bảng 2.7: Thuật toán 1: detection_operator .53 Bảng 2.8: Thuật toán 2: selection_operator .53 Bảng 2.9: Thuật toán 3: selection_operator .54 Bảng 2.10: Thuật toán 4: simple_operator function 54 Bảng 3.1: Cấu hình file inputs.conf 59 Bảng 3.2: Cấu hình file outputs.conf 60 Bảng 3.3: Thông tin mã độc LokiBot Trojan .61 Bảng 3.4: Rule Sigma phát hiện mã độc LokiBot Trojan 61 Bảng 3.5: Thông tin mã độc Ryuk Ransomware 64 Bảng 3.6: Rule Sigma phát hiện mã độc Ryuk Ransomware 65 vii DANH MỤC CÁC HÌNH Hình 1.1: Hình minh họa vòng đời của mối đe dọa .7 Hình 1.2: Lưới bảo vệ ở mức entry point 7 Hình 1.3: Lưới bảo vệ ApexOne tiền thực thi 8 Hình 1.4: Lưới bảo vệ ApexOne giai đoạn thực thi .9 Hình 1.5: Lưới bảo vệ ApexOne giai đoạn dữ liệu thoát ra ngoài .10 Hình 1.6: ApexOne Root cause chain 12 Hình 1.7: Mô hình tổng quan của VEDR 13 Hình 1.8: Hình minh họa các sự kiện thu thập 14 Hình 1.9: Ví dụ VEDR nhận diện mối đe dọa 16 Hình 1.10: Chi tiết cây tiến trình 17 Hình 1.11: Các lựa chọn phản hồi 18 Hình 1.12: Hành động với tệp 18 Hình 1.13: Cortex XDR chặn cuộc tấn công điểm cuối 20 Hình 1.14: Cortex XDR giúp điều tra và ứng phó sự cố 21 Hình 1.15: Mô hình tổng quan Cortex XDR 22 Hình 2.1: Các trạng thái của tiến trình .29 Hình 2.2: Cấu trúc Process Control Block 30 Hình 2.3: Thông tin về dữ liệu nhật ký do Sysmon thu thập .33 Hình 2.4: Thông tin lưu trữ về Event log 34 Hình 2.5: Thông tin sự kiện Windows Sysmon thu thập 37 Hình 2.6: Thông tin sự kiện Sysmon thu thập 38 Hình 2.7: Mô hình kiến trúc của Splunk 40 Hình 2.8: Các thành phần của Splunk 41 Hình 3.1: Giao diện web Splunk server .58 Hình 3.2: Cấu hình cổng nhận dữ liệu trên Splunk 58 Hình 3.3: Event Windows Sysmon thu thập 59 Hình 3.4: Sigmac chuyển quy tắc Sigma LokiBot thành truy vấn .62 Hình 3.5: Công cụ https://uncoder.io/ để chuyển đổi quy tắc Sigma 63 Hình 3.6: Phát hiện event log của mã độc LokiBot Trojan 63 Hình 3.7: Thông tin chi tiết Event log mã độc LokiBot Trojan 64 Hình 3.8: Phát hiện event log của mã độc Ryuk Ransomware 66 Hình 3.9: File bị mã hóa trên máy người dùng 67 Hình 3.10: Thông tin chi tiết Event log mã độc Ryuk Ransomware 67 1 MỞ ĐẦU 1 Lý do chọn đề tài: Thế giới đang chạy đua trong Cuộc cách mạng 4.0, dựa trên nền tảng cơ bản của những công nghệ cốt lõi, có tính đột phá như: trí tuệ nhân tạo (AI), Internet vạn vật (IoT), dữ liệu lớn (Big Data) tạo ra những bước nhảy vọt về hiệu quả sản xuất, tính chất ứng dụng trong phát triển kinh tế - xã hội, làm thay đổi diện mạo của nhiều quốc gia, dân tộc và mang lại những thành tựu vượt bậc cho nhân loại Tuy nhiên song hành với những lợi ích to lớn không thể phủ nhận đó, cộng đồng quốc tế đã và đang phải đối mặt ngày càng lớn với những thách thức an ninh phi truyền thống từ không gian mạng, một trong những thách thức đó là những vụ tấn công mạng xuất hiện thường xuyên hơn, các loại mã độc ngày càng nguy hiểm và tinh vi hơn [1], [2] gây hậu quả nặng nề cho người dùng máy tính, đặc biệt đối với các doanh nghiệp, tổ chức mối nguy này càng lớn hơn khi các thông tin quan trọng, nhạy cảm của cả tổ chức có thể bị mất mát, lộ lọt Vì vậy công tác đảm bảo an ninh, an toàn các hệ thống thông tin phải được quan tâm và đặt lên hàng đầu Ngày nay các kỹ thuật của tội phạm mạng ngày càng cao và tinh vi hơn đã có thể vượt qua các hệ thống phòng thủ truyền thống (Anti Virus) chỉ dựa vào các mẫu đã biết (signature) hay một số hành vi đặc trưng cụ thể, từ đó âm thầm thực hiện các hành vi nguy hiểm như chiếm quyền điều khiển, đánh cắp dữ liệu hay mã hóa đòi tiền chuộc, Vì vậy các tổ chức, doanh nghiệp hiện nay cần các giải pháp có khả năng phát hiện và phản hồi điểm cuối (Endpoint detection & Response- EDR) [3], [7], [8], [9] giải pháp này liên tục theo dõi, rà soát các mối đe dọa trong hệ thống mạng để cung cấp cho người quản trị hệ thống kịp thời phát hiện và phản ứng sự cố Ngoài ra, theo thống kê thì hiện nay xu thế tấn công mạng thông qua người dùng cuối (Enduser) trong hệ thống mạng đang được những kẻ tấn công sử dụng nhiều hiện nay vì lợi dụng vào điểm yếu của người dùng Chính vì vậy, vấn đề phát hiện tấn công thông qua người dùng cuối đang rất cần thiết Do đó, học viên lựa chọn đề tài “Nghiên cứu phát hiện tiến trình bất thường trên máy trạm sử dụng Rule Sigma” 56 Máy người dùng (Windows 10): cài đặt công cụ thu thập tiến trình Sysmon, công cụ đẩy event log Windows là “SplunkForwarder” 3.1.1 Cài đặt máy chủ Splunk (ip 192.168.1.57) - Cài đặt Rule Sigma trên Centos 7 + Ta thực hiện update cho Centos 7: yum update –y + Cài đặt một số công cụ (Nano, Git): sudo yum install epel-release nano –y sudo yum makecache yum -y install epel-release sudo yum -y install git Ta có thể kiểm tra git có hoạt động hay không bằng lệnh: git –version + Cài đặt Python 3.8: yum -y groupinstall "Development Tools" yum -y install openssl-devel bzip2-devel libffi-devel yum -y install wget cd /opt wget https://www.python.org/ftp/python/3.8.2/Python-3.8.2.tgz tar xvf Python-3.8.2.tgz cd Python-3.8*/ /configure enable-optimizations make altinstall Để xác nhận việc cài đặt đã thành công ta sử dụng lệnh sau: python3.8 – version Thiết lập Python 3 làm mặc định Ta mở và chỉnh sửa file bash_profile lên bằng câu lệnh nano ~/.bash_profile alias python='/usr/local/bin/python3.8' alias pip='/usr/local/bin/pip3.8' Tải lại bash_profile bằng lệnh source ~/.bash_profile 57 + Cài đặt Rule Sigma Tải Sigma từ thư viện trên github về bằng câu lệnh: git clone https://github.com/SigmaHQ/sigma.git Cài đặt Sigmac bằng câu lệnh: cd sigma cd tools python setup.py install Sau khi cài đặt công cụ Sigmac ta có thể thử chuyển đổi quy tắc Sigma (có trong thư mục Rule) thành câu truy vấn trên Splunk bằng câu lệnh: python /rules/windows/malware/av_password_dumper.yml Kết quả câu truy vấn tìm kiếm event log của quy tắc Sigma trên Splunk: (Signature="*DumpCreds*" Signature="*PWCrack*" Signature="*PSWtool*" Signature="*SecurityTool*" Signature="*Rubeus*" OR Signature="*Kekeo*" OR Signature="*LsassDump*" OR Signature="*Outflank*") | table FileName,User - Cài đặt Splunk Enterprise trên Centos 7 yum install wget -y Cài đặt Splunk: wget -O splunk-8.0.2.1-f002026bad55-linux-2.6-x86_64.rpm 'https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64 &platform=linux&version=8.0.2.1&product=splunk&filename=splunk-8.0.2.1f002026bad55-linux-2.6-x86_64.rpm&wget=true' rpm -i splunk-8.0.2.1-f002026bad55-linux-2.6x86_64.rpm /opt/splunk/bin/splunk start accept-license Sau khi cài đặt xong ta mở firewall để truy cập giao diện web bằng câu lệnh: firewall-cmd add-port=8000/tcp permanent firewall-cmd –reload 58 Truy cập vào server Splunk với tài khoản và mật khẩu đã tạo ở trên qua đường dẫn sau: http://192.168.1.57:8000 Hình 3.1: Giao diện web Splunk server Cấu hình cổng 9998 nhận dữ liệu trên giao diện web Hình 3.2: Cấu hình cổng nhận dữ liệu trên Splunk Mở firewall cho cổng 9998 bằng câu lệnh firewall-cmd add-port=9998/tcp permanent firewall-cmd –reload 3.1.2 Cài đặt máy người dùng Cài đặt và cấu hình Sysmon Luận văn thực hiện tải tập tin cài đặt tại địa chỉ: https://docs.microsoft.com/enus/sysinternals/downloads/Sysmon và sử dụng cấu hình cài đặt Sysmon được các chuyên gia an ninh mạng của trung tâm ứng cứu sự cố Nhật Bản (JPCert) tại địa chỉ: https://github.com/SwiftOnSecurity/Sysmon-config Cài đặt theo câu lệnh sau: Sysmon –acceptcula –i Sysmonconfig-export.xml 59 Sau khi cài đặt thành công, ta tiến hành truy cập ứng dụng "Event Viewer" và kiểm tra đường dẫn /Microsoft/Windows/Sysmon, máy tính người dùng đã thực hiện thu thập event thành công Hình 3.3: Event Windows Sysmon thu thập Để gửi dữ liệu Sysmon thu thập được trên máy tính người dùng về máy chủ Splunk phân tích, luận văn sử dụng công cụ "SplunkForwarder" để thực hiện Sau khi tải và cài đặt SplunkForwarder ta thực hiện cấu hình như sau: Cấu hình file inputs.conf cho Splunkforwarder (tại đường dẫn: C:\Program Files\SplunkUniversalForwarder\etc\apps\SplunkUniversalForwarder\local), như bảng dưới đây (để SplunkForwarder sẽ đẩy những event log của các dịch vụ sau về máy chủ Splunk) Bảng 3.1: Cấu hình file inputs.conf [WinEventLog://Application] checkpointInterval = 5 current_only = 0 disabled = 0 start_from = oldest [WinEventLog://Security] checkpointInterval = 5 current_only = 0 disabled = 0 start_from = oldest 60 [WinEventLog://System] checkpointInterval = 5 current_only = 0 disabled = 0 start_from = oldest [WinEventLog://ForwardedEvents] checkpointInterval = 5 current_only = 0 disabled = 0 start_from = oldest [WinEventLog://Setup] checkpointInterval = 5 current_only = 0 disabled = 0 start_from = oldest [WinEventLog://Microsoft-Windows-Sysmon/Operational] checkpointInterval = 5 current_only = 0 disabled = 0 start_from = oldest Cấu hình file outputs.conf cho Splunkforwarder (tại đường dẫn C:\Program Files\SplunkUniversalForwarder\etc\system\local) như bảng dưới đây (tại đây khai báo địa chỉ IP và cổng 9998 của máy chủ Splunk để Splunkforwarder gửi event log): Bảng 3.2: Cấu hình file outputs.conf [tcpout] defaultGroup = default-autolb-group [tcpout:default-autolb-group] server = 192.168.1.57:9998 [tcpout-server://192.168.1.57:9998] Sau đó ta sẽ khởi động lại Splunkforwarder, bằng cách mở Command với quyền quản trị viên và thực hiện lệnh sau: cd C:\Program Files\SplunkUniversalForwarder\bin splunk restart 61 3.2 Thực nghiệm hệ thống phát hiện bất thường 3.2.1 Kịch bản 1 (phát hiện mã độc LokiBot Trojan) Mã độc được sử dụng để thử nghiệm trong kịch bản đầu tiên là LokiBot Trojan, đây là mã độc sử dụng phần mềm độc hại Trojan để lấy cắp thông tin nhạy cảm như tên người dùng, mật khẩu, ví tiền điện tử và các thông tin đăng nhập khác, thông tin mã độc như bảng dưới đây Bảng 3.3: Thông tin mã độc LokiBot Trojan Tập tin mã độc Hash Định dạng tập tin Địa chỉ tải mã độc Ta tiến hành thực hiện như sau: Bước 1: Trên máy người dùng ta tải và thực thi mã độc LokiBot Trojan Bước 2: Trên máy chủ Splunk, ta tải quy tắc Sigma phát hiện mã độc LokiBot Trojan (được tạo bởi Alexandr Yampolskyi, SOC Prime), chi tiết quy tắc Sigma theo bảng dưới đây: Bảng 3.4: Rule Sigma phát hiện mã độc LokiBot Trojan title: LokiBot Trojan Detector (Sysmon) description: LokiBot Trojan Detector author: Alexandr Yampolskyi, SOC Prime references: - https://app.any.run/tasks/df44e5cb-5a4f-4d56-9602-a3a67989d9ec date: 2019/02/04 status: stable logsource: product: windows service: sysmon detection: selection1: 62 EventID: 1 CommandLine: - GET /bobby/ - POST /bobby/Panel/ selection2: EventID: 1 file_hash: - f9e8d9a81ce701c324ede091e76aa7a3 selection3: EventID: 11 TargetObject: - '*F63AAA' condition: selection1 or selection2 or selection3 falsepositives: - Unknown level: high tags: - attack.Execution - attack.t1204 - attack.t1059 Ta sẽ sử dụng công cụ Sigmac để chuyển đổi quy tắc Sigma thành câu truy vấn Splunk theo hình dưới Hình 3.4: Sigmac chuyển quy tắc Sigma LokiBot thành truy vấn Ngoài ra ta có thể sử dụng công cụ https://uncoder.io/ để chuyển đổi quy tắc Sigma thành câu truy vấn Splunk 63 Hình 3.5: Công cụ https://uncoder.io/ để chuyển đổi quy tắc Sigma Bước 3: Sau khi có được câu truy vấn, ta tiến hành tìm kiếm trên máy chủ Splunk, kết quả phát hiện được event log của mã độc LokiBot Trojan như hình dưới đây: Hình 3.6: Phát hiện event log của mã độc LokiBot Trojan Ta sẽ xem chi tiết của Event log này để biết thêm các thông tin liên quan đến mã độc LokiBot Trojan (các thông tin như là ngày khởi tạo log, image, đường dẫn của file chạy mã độc,…): 64 Hình 3.7: Thông tin chi tiết Event log mã độc LokiBot Trojan Bước 4: Như vậy tại kịch bản 1, người quản trị tại máy chủ đã phát hiện được event log bất thường của mã độc của LokiBot Trojan trên máy người dùng bằng cách sử dụng quy tắc Sigma 3.2.2 Kịch bản 2 (phát hiện mã độc Ryuk Ransomware) Mã độc được sử dụng để thử nghiệm trong kịch bản thứ 2 là Ryuk Ransomware, đây là mã độc tống tiền, khi lây nhiễm vào máy tính nó sẽ kiểm soát hệ thống hoặc kiểm soát máy tính và yêu cầu nạn nhân phải trả tiền để có thể khôi phục lại điều khiển với hệ thống, thông tin mã độc như bảng dưới đây Bảng 3.5: Thông tin mã độc Ryuk Ransomware Tập tin mã độc Hash Định dạng tập tin Địa chỉ tải mã độc 65 Ta tiến hành thực hiện như sau: Bước 1: Trên máy người dùng ta tải và thực thi mã độc Ryuk Ransomware Bước 2: Trên máy chủ Splunk, ta tải quy tắc Sigma phát hiện mã độc Ryuk Ransomware (được tạo bởi Alexandr Yampolskyi, SOC Prime), chi tiết quy tắc Sigma theo bảng dưới đây: Bảng 3.6: Rule Sigma phát hiện mã độc Ryuk Ransomware title: Ryuk Ransomware (Sysmon) description: Ryuk Ransomware Detector author: Alexandr Yampolskyi, SOC Prime references: - https://app.any.run/tasks/941cfa9a-6701-42b9-a410-74418fe214c8/ date: 2019/01/03 status: stable logsource: product: windows service: sysmon detection: selection1: EventID: 1 file_hash: - 8555b213260ba5eda4bf37652cecb431 selection2: EventID: 1 CommandLine: '*REGADD "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run" /v "svchos" /t REG_SZ /d "C:\Users\admin\AppData\Local\*' condition: selection1 or selection2 fields: - Hashes - CommandLine - ParentCommandLine falsepositives: - Unknown level: high tags: - attack.Execution - attack.t1204 - attack.Defense Evasion - attack.t1112 - attack.Impact - attack.t1486 66 Tương tự kịch bản 1, ta sử dụng công cụ Sigmac để chuyển đổi quy tắc trên (hoặc dùng công cụ https://uncoder.io/) ta được câu truy vấn cho Splunk: (source="WinEventLog:Microsoft-Windows-Sysmon/Operational" source="WinEventLog:*" "8555b213260ba5eda4bf37652cecb431") EventCode="1" OR ((Hashes: (CommandLine="*REG ADD \"HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVer sion\ \Run\" /v \"svchos\" /t REG_SZ /d \"C:\\Users\\admin\\AppData\\Local\*"))) Bước 3: Sau khi có được câu truy vấn, ta tiến hành tìm kiếm trên máy chủ Splunk, kết quả phát hiện được event log của mã độc Ryuk Ransomware như hình dưới đây: Hình 3.8: Phát hiện event log của mã độc Ryuk Ransomware Trên máy người dùng mã độc đã mã hóa tất cả các file (mã hóa đuôi RYK) văn bản của người dùng và có cả thông tin liên hệ với nhóm tạo ra mã độc để có thể khôi phục lại hệ thống, như hình sau: 67 Hình 3.9: File bị mã hóa trên máy người dùng Ta sẽ xem chi tiết của Event log này để biết thêm các thông tin liên quan đến mã độc Ryuk Ransomware (các thông tin như là ngày khởi tạo log, image, đường dẫn của file chạy mã độc,…): Hình 3.10: Thông tin chi tiết Event log mã độc Ryuk Ransomware Bước 4: Như vậy tại kịch bản 2, người quản trị tại máy chủ đã phát hiện được event log bất thường của mã độc của Ryuk Ransomware trên máy người dùng bằng cách sử dụng quy tắc Sigma 68 3.3 Nhận xét, đánh giá Hiện nay trong thư viện bộ luật Rule Sigma được xây dựng cho hệ điều hành Windows có khoảng gần 900 Rule Sigma, tuy nhiên như đã trình bày trong luận văn thì những luật này được xây dựng dựa trên hành vi bất thường của mã độc hoặc các loại mã độc Do đó những luật này được tạo ra khi đã có kịch bản phát hiện mã độc Chính vì vậy một số loại mã độc mới chưa nằm trong luật của Rule Sigma thì Rule Sigma sẽ không phát hiện được 3.4 Kết luận chương 3 Kết thúc chương 3, luận văn đã thực hiện được một số nội dung sau: - Cài đặt công cụ giám sát Splunk Enterprise và cài đặt Rule Sigma trên máy chủ Splunk (Centos7) - Cài đặt, cấu hình Sysmon, Splunkforwarder trên máy người dùng (Windows 10) - Thử nghiệm hệ thống sử dụng Rule Sigma người quản trị đã phát hiện thành công 02 kịch bản mã độc LokiBot Trojan và Ryuk Ransomware trên máy người dùng KẾT LUẬN Luận văn này đã nghiên cứu, thực hiện và đạt được một số kết quả như sau: - Nghiên cứu tổng quan về hệ thống EDR; - Nghiên cứu một số hệ thống phát hiện tiến trình bất thường trên máy trạm hiện nay bao gồm: EDR ApexOne của Trend Micro, Veramine Endpoint Detection and Response, Cortex XDR của Palo Alto - Nghiên cứu tổng quan về mã độc, tiến trình, công cụ thu thập tiến trình Sysmon trên hệ điều hành Windows, giải pháp giám sát mạng Splunk; tìm hiểu về Rule Sigma và phương pháp phát hiện tiến trình bất thường trên máy người dùng - Nghiên cứu, xây dựng, thử nghiệm và đánh giá hệ thống phát hiện tiến trình bất thường trên máy trạm sử dụng Rule Sigma; Trong tương lai, luận văn có thể được tiếp tục nghiên cứu theo hướng sau khi phát hiện được tiến trình bất thường trên máy trạm thì hệ thống sẽ tự động có phản 69 hồi đối với bất thường đó như là cách ly máy bị nhiễm mã độc ra khỏi hệ thống mạng, thực thi loại bỏ các tiến trình bất thường,…, giúp bảo vệ hệ thống mạng kịp thời hơn DANH MỤC CÁC TÀI LIỆU THAM KHẢO [1] Alireza Souri, Rahil Hosseini A state-of-the-art survey of malware detection approaches using data mining techniques (2018) Vol 8, No 3 pp 1-22 https://doi.org/10.1186/s13673-018-0125-x [2] YANFANG YE, TAO LI, DONALD ADJEROH, S SITHARAMA IYENGAR 2017 A survey on malware detection using data mining techniques ACM Comput Surv 50, 3, Article 41 (June 2017), 40 pages DOI: http://dx.doi.org/10.1145/3073559 [3] Endpoint Detection and Response Solutions Market- https://www.gartner.com/reviews/market/endpoint-detection-and-responsesolutions [Last accessed 26 August 2020] [4] Endpoint Security with Apex One Endpoint security redefined https://www.trendmicro.com/en_us/business/products/userprotection/sps/endpoint.html [Last accessed 26 August 2020] [5] Palo Alto Networks Traps Endpoint (EDR) https://paloaltofirewalls.co.uk/palo-alto-traps-endpoint/ [Last accessed 26 August 2020] [6] Veramine Endpoint Detection and Response- https://www.veramine.com/docs/whitepaper_vn [7] VMware Carbon Black EDR - https://www.carbonblack.com/products/edr/ [Last August 26 February 2020] [8] Falcon Insight: EDR -https: //www.crowdstrike com / endpoint-security- products / falcon-insight-endpoint-detection-response /[Last accessed 26 August 2020] [9] https://www.malwarebytes.com/business/endpointdetectionresponse/ [Last accessed 26 August 2020] [10] Sysmon v13 https://docs.microsoft.com/en- us/sysinternals/downloads/sysmon [Last accessed 26 August 2020] [11] Malware hunting with live access to the heart of an incident https://app.any.run/ [Last accessed 26 August 2020] ... luận văn nghiên cứu phương pháp phát tiến trình bất thường sử dụng Rule Sigma CHƯƠNG 2: NGHIÊN CỨU PHƯƠNG PHÁP PHÁT HIỆN TIẾN TRÌNH BẤT THƯỜNG SỬ DỤNG RULE SIGMA Tất mã độc xâm nhập vào máy người... chọn đề tài ? ?Nghiên cứu phát tiến trình bất thường máy trạm sử dụng Rule Sigma? ?? 2 Tổng quan vấn đề nghiên cứu: Hiện nghiên cứu lý thuyết liên quan đến phát tiến trình bất thường máy người dùng... cứu: Mục tiêu luận văn xây dựng, thử nghiệm đánh giá hệ thống phát tiến trình bất thường máy trạm sử dụng Rule Sigma, hệ thống giám sát tiến trình bất thường máy trạm gửi thông tin cảnh báo bất