HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - s NGUYỄN THỊ HÀ LÊ NGUYỄN THỊ HÀ LÊ NGHIÊN CỨU PHƯƠNG PHÁP PHÁT HIỆN MÃ ĐỘC TRÊN MÁY HỆ THỐNG THÔNG TIN NGƯỜI DÙNG SỬ DỤNG KỸ THUẬT MITRE ATT&CK LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng) 2020 – 2022 HÀ NỘI – NĂM 2022 HÀ NỘI - NĂM 2022 HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THÔNG - NGUYỄN THỊ HÀ LÊ NGHIÊN CỨU PHƯƠNG PHÁP PHÁT HIỆN MÃ ĐỘC TRÊN MÁY NGƯỜI DÙNG SỬ DỤNG KỸ THUẬT MITRE ATT&CK Chuyên ngành: HỆ THỐNG THÔNG TIN Mã số: 8.48.01.04 LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng) NGƯỜI HƯỚNG DẪN KHOA HỌC : TS ĐỖ XUÂN CHỢ HÀ NỘI - NĂM 2022 LỜI CAM ĐOAN Tôi cam đoan luận văn đề tài “Nghiên cứu phương pháp phát mã độc máy người dùng sử dụng kỹ thuật Mitre ATT&CK” cơng trình nghiên cứu riêng tơi Các số liệu, kết nêu luận văn trung thực chưa công bố công trình khác Tác giả luận văn Nguyễn Thị Hà Lê LỜI CẢM ƠN Trong suốt trình học tập hồn thiện luận văn tốt nghiệp, tơi nhận nhiều giúp đỡ, động viên từ thầy cơ, gia đình bạn bè Tơi xin chân thành cảm ơn giúp đỡ động viên Đầu tiên, xin bày tỏ cảm ơn đặc biệt tới TS Đỗ Xuân Chợ - người định hướng cho việc lựa chọn đề tài, đưa nhận xét quý giá trực tiếp hướng dẫn tơi suốt q trình nghiên cứu hồn thiện luận văn tốt nghiệp Tiếp theo, xin gửi lời cảm ơn chân thành tới tất quý thầy giáo Học viện Cơng nghệ Bưu Viễn thơng giảng dạy dìu dắt tơi trong suốt q trình học tập trường Tơi xin gửi lời cảm ơn tới gia đình bạn bè - người bên cạnh động viên, ủng hộ tạo điều kiện cho tơi hồn thành khóa luận MỤC LỤC Viết tắt Tiếng Anh Tiếng Việt EDR Endpoint detection & Response Hệ thống phát phản hồi mối nguy hại điểm cuối IPS Intrusion prevention system Hệ thống chống xâm nhập mạng CPU Central Processing Unit Bộ xử lý trung tâm DMA Direct memory access Truy cập nhớ trực tiếp ELF Executable and Linkable Format định dạng tập tin tiêu chuẩn PID Process ID Số nguyên xác định định danh tiến trình DANH MỤC CÁC BẢNG DANH MỤC CÁC HÌNH MỞ ĐẦU Lý chọn đề tài Ngày nay, phát triển vượt trội công nghệ thông tin internet đưa lại nhiều lợi ích đời sống xã hội Tuy nhiên, bên cạnh lợi ích cịn nhiều nguy gây ảnh hưởng đến hệ thống thông tin nhiều người dùng – ví dụ xuất phát triển nhanh chóng loại mã độc nhằm đánh cắp thông tin, tống tiền, cá nhân tổ chức tảng không gian mạng Các loại mã độc ngày đa dạng tinh vi hơn, có khả ẩn nấp qua phần mềm anti-virus thông qua kỹ thuật xáo trộn mã, tự thay đổi mã nguồn, dẫn đến việc rà quét phát dựa chữ ký khơng cịn hiệu Hơn nữa, để tạo chữ ký mẫu mã độc, chuyên gia phải nhiều thời gian công sức, khiến cho việc cập nhật phần mềm anti-virus chậm hơn, khó có khả phát mã độc kịp thời Vì để cải thiện khả nhận dạng phát mẫu mã độc mới, phương pháp phát mã độc dựa hành vi nghiên cứu, phát triển triển khai nhằm nâng cao hiệu trình phát mã độc, phương pháp phát mã độc sử dụng để huấn luyện đặc trưng hành vi mã độc cho việc xây dựng phát Vậy theo hướng nghiên cứu , chọn đề tài “Nghiên cứu phương pháp phát mã độc máy người dùng sử dụng kỹ thuật Mitre ATT&CK ” để tìm phương pháp phát mã độc hiệu máy người dùng Tổng quan đề tài nghiên cứu Hiện nghiên cứu lý thuyết liên quan đến phát tiến trình bất thường máy người dùng hạn chế Về vấn đề phát mã độc 10 máy trạm, sản phẩm phần mềm Anti-virus xuất số sản phẩm hỗ trợ Phát Phản hồi Điểm cuối (Endpoint detection & ResponseEDR) Sản phẩm EDR có chức phát theo dõi cố bất thường Enduser để từ đưa kịch ứng phó cố Có số giải pháp sản phẩm EDR sau: Sản phẩm EDR Apex One Trend Micro có khả tự động phát ngăn chặn nhiều mối đe dọa điểm cuối mà không cần can thiệp thủ công từ người dùng Apex One tiến hành phát ngăn chặn việc khai thác lỗ hổng hệ điều hành trước mối đe dọa xâm nhập vào điểm cuối với vá ảo cập nhật liên tục trí thơng minh nhân tạo từ Trend Micro’s Zero Day Initiative Sản phẩm Palo Alto Networks Traps ngăn chặn mối đe dọa endpoint, phối hợp với bảo mật cloud network để ngăn chặn công mạng Traps ngăn chặn việc khởi chạy tệp thực thi độc hại, tệp DLLs tệp Office nhiều phương pháp ngăn ngừa, giảm bề mặt công tăng tính xác việc ngăn chặn phần mềm độc hại Cách tiếp cận ngăn chặn phần mềm độc hại biết chưa biết từ việc lây nhiễm endpoint cách kết hợp: WildFire threat intelligence, Local analysis via machine learning, WildFire inspection and analysis, Granular child process protection, Periodic scanning for dormant malware Kaspersky EDR theo dõi liên tục phân tích tượng bất thường, trình khả nghi máy trạm nhân viên phản ứng với mối đe doạ chế độ thủ cơng Ngồi ra, Kaspersky EDR cho phép kiểm soát cố điểm cuối mạng, phát mã độc hành vi trái phép nhận biết mức bảo vệ mạng Ngồi có số giải pháp khác như: VMware Carbon Black EDR, Falcon, Malwarebytes Endpoint Detection and Response Cịn có số phần mềm phát phần mềm gián điệp (spyware) công cụ loại bỏ thiết kế nhằm xác định nhiều dạng khác phần mềm gián điệp hệ thống từ cách ly gỡ bỏ chúng Hệ thống phịng chống xâm nhập mạng (IPS) thực cơng việc kiểm tra gói tin phân tích lưu lượng mạng để xác định ngăn chặn hoạt động bất thường Các thiết bị mạng tường 82 Hình 3.10 Cây tiến trình mã độc Agent Tesla sinh 3.3.3 Kịch thực nghiệm phát mã độc Trickbot Mã độc TrickBot trojan ngân hàng tiên tiến mà kẻ cơng sử dụng để đánh cắp thơng tin tốn từ nạn nhân Nó chuyển hướng nạn nhân đến trang ngân hàng giả truy xuất thông tin đăng nhập trang web Sau đó, sử dụng CMSTP.exe để vượt qua kiểm soát tài khoản người dùng thực lệnh tương tự thông qua giao diện auto-elevated COM Bảng 3.3 Thông tin khái quát mã độc Trickbot MD5 104b457b6d90fc80ff2dbbcebbb7ca8b hash SHA1 7842611837af04d7c986de21ab2454ed397014de hash SHA256 1c81272ffc28b29a82d8313bd74d1c6030c2af1ba4b165c44dc8ea6376679d9f hash Đặc • Ghi vào nhớ tiến trình chạy khác điểm • Xử lý động API để tránh phát tĩnh • Ghi vào nhớ trình chạy từ tệp tạo sửa đổi • Sửa đổi luồng điều khiển quy trình chạy từ tệp tạo sửa đổi 83 Hình 3.11 Kiểm tra hành vi mã độc trickbot any.run Hình 3.12 Thơng tin cảnh báo mã độc Trickbot từ hệ thống giám sát 84 Từ hình 3.12 thấy mã độc Trickbo bị phát dựa T1548 - Cơ chế lạm dụng kiểm sốt quyền hạn Kẻ thù phá vỡ chế thiết kế để kiểm soát đặc quyền để nâng cao nhằm đạt quyền cao Hầu hết hệ thống đại chứa chế kiểm soát quyền hạn nguyên nhằm hạn chế đặc quyền mà người dùng thực máy Ủy quyền phải cấp cho người dùng cụ thể để thực tác vụ coi có rủi ro cao Kẻ thù thực số phương pháp để tận dụng chế kiểm sốt tích hợp nhằm nâng cao đặc quyền hệ thống Xác định nỗ lực bỏ qua Kiểm soát tài khoản người dùng (UAC) thông qua giao diện COM nâng cao ICMLuaUtil Những kẻ cơng cố gắng vượt qua UAC để lút thực thi mã với quyền cao Hình 3.13 Liên kết hành vi mã độc Trickbot sinh Hình 3.13 thể liên quan tiến trình, hành vi mà mã độc Trickbot sinh 85 3.3.4 Kịch thực nghiệm sử dụng teamview để gửi mã độc sang máy nạn nhân Hình 3.14 Gửi file sang máy nạn nhân teamview Hình 3.15 thơng tin cảnh báo từ hệ thống giám sát Từ hình 3.15 nhận thấy hệ thống phát mã độc nhận thấy điểm bất thường máy người dùng Mặc dù hành vi mở kết nối để thực đưa mã độc vào máy tính người dùng chất hành vi chưa có nguy hiểm Tuy nhiên dựa định nghĩa T1219 Mitre att&ck hành vi định nghĩa bắt đầu tính công T1219 – Remote Access Software (phần mềm truy cập từ xa) 86 Kẻ cơng sử dụng phần mềm hỗ trợ truy cập thiết bị từ xa hợp pháp, chẳng hạn Team Viewer, AnyDesk, v.v., để điều khiển lệnh cho máy nạn nhân thông qua mạng Các dịch vụ thường công ty sử dụng phần mềm hỗ trợ kỹ thuật khách hàng gặp cố phần mềm cần hỗ trợ Đặc biệt TeamView UltraView phổ biến Việt Nam Các phần mềm hỗ trợ có chức truyền file qua kênh giao tiếp mà không thông qua lọc nào, nên kẻ cơng lợi dụng để cài phần mềm độc hại chẳng hạn backdoor hay reverse backdoor khởi chạy để chiếm hồn tồn quyền lệnh cho máy nạn nhân Các công cụ quản trị TeamViewer sử dụng số nhóm nhắm mục tiêu vào tổ chức quốc gia mà nhà nước Nga quan tâm chiến dịch tội phạm Kết luận chương - Mô tả chi tiết cách thức xây dựng cài đặt hệ thống thu thập liệu máy - người dùng Mô tả chi tiết cách thức xây dựng cài đặt hệ thống quản lý liệu máy - người dùng Thực kiểm thử hệ thống phát mã độc Kết kiểm thử cho thấy hệ thống phát xác dựa tập luật hành vi sủ dụng luật Mitre attack 87 KẾT LUẬN Trong luận văn này, nghiên cứu thực số kết sau: - Nghiên cứu tìm hiểu số hệ điều hành máy tính người dùng Tìm hiểu số phương pháp cơng cụ thu thập tiến trình máy người dùng Xây dựng hệ thống thu thập, quản lý, lưu trữ liệu máy người dùng sử dụng - công cụ Elastic endpoint security cơng cụ ELK Trình bày phương pháp xây dựng cấu hình hệ thống thu thập phát tiến - trình bất thường dựa Mitre attack Thực nghiệm phát bất thường máy người dùng dựa Mitre attack Tiến hành thực thực nghiệm đánh giá hệ thống phát tiến trình bất thường sử dụng tập luật xây dựng theo phương pháp Mitre attack 88 DANH MỤC CÁC TÀI LIỆU THAM KHẢO Tiếng Anh [1] Alireza Souri, Rahil Hosseini, (2018), A state-of- the-art survey of malware detection approaches using data mining techniques, Vol 8, No pp 1-22 [2] Yanfang Ye, Tao Li, Donald Adjeroh, S Sitharama Iyengar, (2017), A survey on malware detection using data mining techniques, ACM Comput Surv 50, 3, Article 41 Website [1] https://www.malwarebytes.com/business/endpointdetectionresponse/ [2] https://linuxhint.com/auditd_linux_tutorial/ [3] https://attack.mitre.org/ [4] https://www.gartner.com/reviews/market/endpoint-detection-and-response- solutions [5] https://www.trendmicro.com/en_us/business/products/user- protection/sps/endpoint.html [6] https://www.crowdstrike.com/endpoint-security-products/falcon-insight- endpoint-detection-response/ [7] https://www.sandboxie.com/ [8] https://www.kaspersky.com/enterprise-security/endpoint-detection-response-edr [9] https://app.any.run/ [10] https://github.com/Neo23x0/sigma/blob/master/tools/README.md [11] https://paloaltofirewalls.co.uk/palo-alto-traps-endpoint/ [12] https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon [13] https://www.carbonblack.com/products/edr/ ... phát mã độc sử dụng để huấn luyện đặc trưng hành vi mã độc cho việc xây dựng phát Vậy theo hướng nghiên cứu , chọn đề tài ? ?Nghiên cứu phương pháp phát mã độc máy người dùng sử dụng kỹ thuật Mitre. .. LÊ NGHIÊN CỨU PHƯƠNG PHÁP PHÁT HIỆN MÃ ĐỘC TRÊN MÁY NGƯỜI DÙNG SỬ DỤNG KỸ THUẬT MITRE ATT&CK Chuyên ngành: HỆ THỐNG THÔNG TIN Mã số: 8.48.01.04 LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng) ... khả phát mã độc kịp thời Vì để cải thiện khả nhận dạng phát mẫu mã độc mới, phương pháp phát mã độc dựa hành vi nghiên cứu, phát triển triển khai nhằm nâng cao hiệu trình phát mã độc, phương pháp