HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - NGUYỄN THỊ HÀ LÊ NGHIÊN CỨU PHƯƠNG PHÁP PHÁT HIỆN MÃ ĐỘC TRÊN MÁY NGƯỜI DÙNG SỬ DỤNG KỸ THUẬT MITRE ATT&CK Chun ngành: HỆ THỐNG THƠNG TIN Mã số: 8.48.01.04 TĨM TẮT LUẬN VĂN THẠC SĨ HÀ NỘI - NĂM 2022 Luận văn hồn thành tại: HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG Người hướng dẫn khoa học: TS ĐỖ XUÂN CHỢ Phản biện 1: PGS.TS Bùi Thu Lâm Phản biện 2: TS Vũ Văn Thỏa Luận văn bảo vệ trước Hội đồng chấm luận văn thạc sĩ Học viện Cơng nghệ Bưu Viễn thơng Vào lúc: 14 45 ngày 05 tháng 07 năm 2022 Có thể tìm hiểu luận văn tại: - Thư viện Học viện Cơng nghệ Bưu Viễn thơng MỞ ĐẦU Lý chọn đề tài Ngày nay, phát triển vượt trội công nghệ thông tin internet đưa lại nhiều lợi ích đời sống xã hội Tuy nhiên, bên cạnh lợi ích cịn nhiều nguy gây ảnh hưởng đến hệ thống thông tin nhiều người dùng – ví dụ xuất phát triển nhanh chóng loại mã độc nhằm đánh cắp thông tin, tống tiền, cá nhân tổ chức tảng không gian mạng Các loại mã độc ngày đa dạng tinh vi hơn, có khả ẩn nấp qua phần mềm anti-virus thông qua kỹ thuật xáo trộn mã, tự thay đổi mã nguồn, dẫn đến việc rà quét phát dựa chữ ký khơng cịn hiệu Hơn nữa, để tạo chữ ký mẫu mã độc, chuyên gia phải nhiều thời gian công sức, khiến cho việc cập nhật phần mềm anti-virus chậm hơn, khó có khả phát mã độc kịp thời Vì để cải thiện khả nhận dạng phát mẫu mã độc mới, phương pháp phát mã độc dựa hành vi nghiên cứu, phát triển triển khai nhằm nâng cao hiệu trình phát mã độc, phương pháp phát mã độc sử dụng để huấn luyện đặc trưng hành vi mã độc cho việc xây dựng phát Vậy theo hướng nghiên cứu , chọn đề tài “Nghiên cứu phương pháp phát mã độc máy người dùng sử dụng kỹ thuật Mitre ATT&CK ” để tìm phương pháp phát mã độc máy người dùng hiệu 2 Tổng quan đề tài nghiên cứu Hiện nghiên cứu lý thuyết liên quan đến phát tiến trình bất thường máy người dùng hạn chế Về vấn đề phát mã độc máy trạm, sản phẩm phần mềm Anti-virus xuất số sản phẩm hỗ trợ Phát Phản hồi Điểm cuối (Endpoint detection & Response- EDR) Sản phẩm EDR có chức phát theo dõi cố bất thường Enduser để từ đưa kịch ứng phó cố Có số giải pháp sản phẩm EDR sau: Sản phẩm EDR Apex One Trend Micro có khả tự động phát ngăn chặn nhiều mối đe dọa điểm cuối mà không cần can thiệp thủ công từ người dùng Apex One tiến hành phát ngăn chặn việc khai thác lỗ hổng hệ điều hành trước mối đe dọa xâm nhập vào điểm cuối với vá ảo cập nhật liên tục trí thơng minh nhân tạo từ Trend Micro’s Zero Day Initiative Sản phẩm Palo Alto Networks Traps ngăn chặn mối đe dọa endpoint, phối hợp với bảo mật cloud network để ngăn chặn công mạng Traps ngăn chặn việc khởi chạy tệp thực thi độc hại, tệp DLLs tệp Office nhiều phương pháp ngăn ngừa, giảm bề mặt công tăng tính xác việc ngăn chặn phần mềm độc hại Cách tiếp cận ngăn chặn phần mềm độc hại biết chưa biết từ việc lây nhiễm endpoint cách kết hợp: WildFire threat intelligence, Local analysis via machine learning, WildFire inspection and analysis, Granular child process protection, Periodic scanning for dormant malware Kaspersky EDR theo dõi liên tục phân tích tượng bất thường, trình khả nghi máy trạm nhân viên phản ứng với mối đe doạ chế độ thủ cơng Ngồi ra, Kaspersky EDR cho phép kiểm soát cố điểm cuối mạng, phát mã độc hành vi trái phép nhận biết mức bảo vệ mạng Ngồi có số giải pháp khác như: VMware Carbon Black EDR, Falcon, Malwarebytes Endpoint Detection and Response Cịn có số phần mềm phát phần mềm gián điệp (spyware) công cụ loại bỏ thiết kế nhằm xác định nhiều dạng khác phần mềm gián điệp hệ thống từ cách ly gỡ bỏ chúng Hệ thống phịng chống xâm nhập mạng (IPS) thực cơng việc kiểm tra gói tin phân tích lưu lượng mạng để xác định ngăn chặn hoạt động bất thường Các thiết bị mạng tường lửa định tuyến phần mềm tường lửa chạy máy chủ có nhiệm vụ tra lưu lượng mạng, cho phép từ chối dựa tập luật thiết lập Mục đích nghiên cứu - Nghiên cứu phương pháp phát mã độc máy trạm - Nghiên cứu Mitre att&ck - Thực nghiệm đánh giá phương pháp phát mã độc máy người dùng sử dụng kỹ thuật Mitre att&ck Đối tượng phạm vi nghiên cứu - Đối tượng: máy người dùng - Phạm vi: mối đe dọa hệ thống mạng doanh nghiệp, tổ chức Phương pháp nghiên cứu Luận văn tập trung vào nghiên cứu tìm hiểu lý thuyết giải pháp cơng nghệ EDR, tìm hiểu cách thức áp dụng tập luật Mitre att&ck để phát mã độc máy người dùng sử dụng hệ điều hành Window CHƯƠNG 1: GIỚI THIỆU VỀ HỆ ĐIỀU HÀNH VÀ PHƯƠNG PHÁP THU THẬP TIẾN TRÌNH 1.1 Tổng quan hệ điều hành 1.1.1 Khái niệm hệ điều hành Hệ điều hành chương trình quản lý tài ngun máy tính, đóng vai trị lớp trung gian người sử dụng máy tính phần cứng máy tính 1.1.2 Các tính chất hệ điều hành: tin cậy, an toàn, hiệu quả, kế thừa, thuận tiện 1.1.3 Các thành phần hệ điều hành: quản lý tiến trình, quản lý nhớ chính, quản lý nhớ phụ, quản lý hệ thơng vào/ra, quản lý hệ thống tập tin, hệ thống bảo vệ, hệ thống thông dịch lệnh 1.2 Hệ điều hành máy người dùng 1.2.1 Hệ điều hành Windows Microsoft Windows tên hệ điều hành dựa giao diện người dùng đồ hoạ phát triển phân phối Microsoft Nó bao gồm vài dịng hệ điều hành, số phục vụ phần định ngành công nghiệp máy tính Các phiên hệ điều hành Window: Hệ điều hành DOS, Hệ điều hành Windows 1.0, Hệ điều hành Windows 2.0, Hệ điều hành Windows 3.0, Hệ điều hành Windows XP, Hệ điều hành Windows 7,8,10 Quản lý tiến trình Windows gồm: User mode; Kernel mode Khi chương trình nạp vào nhớ trở thành tiến trình, chia thành bốn phần: Stack; Heap; Data Text Một tiến trình có năm trạng thái sau thời điểm: Start, Ready, Running, Wait, Terminated 1.2.2 Linux Linux tên gọi hệ điều hành máy tính tên hạt nhân hệ điều hành Đây phần mềm tự việc phát triển mã nguồn mở Linux sử dụng rộng rãi để miêu tả tổng thể hệ điều hành tương tự Unix tạo việc đóng gói nhân Linux với cơng cụ GNU, phân phối Linux Các phiên hệ điều hành Linux: Ubuntu, Debian GNU/Linux, Ultimate Edition, Red Hat Enterprise Linux, Fedora Core, Linux Mint, Knoppix, Vubuntu, OpenSolaris Quản lý tiến trình Linux: Mỗi tiến trình Linux biểu diễn cấu trúc liệu task_struct Linux sử dụng task_vector để quản lý trỏ đến task_struct, mặc định có 512 phần tử Cấu trúc tập tin thực thi Linux: Cấu trúc tập tin thực thi linux có tên gọi Executable and Linkable Format (ELF format) 1.2.3 MacOS Mac OS thiết kế nhà sản xuất Apple dành riêng cho máy tính Mac Vì chỉ thiết kế để chạy với máy tính Apple nên khơng phổ biến hệ điều hành windows MITRE ATT&CK tổ chức doanh nghiệp đặc biệt quan tâm ý: Đây hệ thống tiêu chuẩn bảo mật khách quan khoa học mà nhờ tổ chức doanh nghiệp đo lường khả hệ thống bảo mật họ khả bảo vệ mà giải pháp EDR cung cấp Vai trị Mitre att&ck là: • Dùng ATT&CK để có hiểu biết sâu sắc mối đe dọa bảo mật • Đánh giá khả bảo vệ sản phẩm bảo mật • Dùng ATT&CK phát mối đe dọa bảo mật dễ dàng 2.1.3 Thành phần MITRE ATT&CK ATT&CK framework (khung), viết tắt Adversarial Tactics (các chiến thuật phá hoại), Techniques (các kỹ thuật phá hoại) Common Knowledge (các hiểu biết thông thường) Bảng 2.1: Các thành phần chiến thuật phá hoại No Attack tactic Mô tả Kỹ thuật sử dụng vectơ mục nhập khác để đạt chỗ đứng ban đầu chúng Truy cập ban đầu mạng.Các kỹ thuật sử dụng để đạt chỗ (Initial Access) đứng bao gồm việc đánh lừa mục tiêu khai thác điểm yếu máy chủ web công khai Thực thi Kỹ thuật dẫn đến việc thực thi mã tin tặc (Execution) kiểm soát hệ thống cục từ xa Bất kỳ quyền truy cập, hành động cấu hình Duy trì truy cập thay đổi hệ thống mang lại (Persistence) cho đối thủ diện lâu dài hệ thống Chẳng hạn backdoor 10 Nâng cao đặc Kết kỹ thuật mà từ kẻ cơng quyền (Privilege cấp quyền cao hệ thống Escalation) mạng Né tránh hệ thống Kỹ thuật tin tặc sử dụng cho mục đích lẩn bảo vệ (Defense tránh phát tránh biện pháp phòng Evasion) vệ khác Truy cập thông tin Kỹ thuật dẫn đến việc truy cập kiểm sốt xác thực thơng tin đăng nhập hệ thống, tên miền dịch (Credential vụ sử dụng môi trường mạng Access) Phát Kỹ thuật cho phép tin tặc có kiến thức hệ (Discovery) thống mạng nội Mở rộng khai thác Kỹ thuật cho phép tin tặc truy cập kiểm soát (Lateral hệ thống từ xa mạng Movement) Kỹ thuật sử dụng để xác định thu thập Collection thông tin, chẳng hạn tệp nhạy cảm từ mạng đích trước lọc Điều khiển 10 kiểm soát (Command and Control) 11 12 Kỹ thuật thuộc tính cách thức giao tiếp tin tặc với hệ thống kiểm soát họ mạng đích Ví dụ bao gồm sử dụng giao thức hợp pháp HTTP để mang thơng tin C&C Trích xuất liệu Kỹ thuật cho phép trích xuất file thơng tin (Exfiltration) khỏi mạng đích Ảnh hưởng Các kỹ thuật mà đối thủ sử dụng để phá vỡ tính (Impact) sẵn có làm tổn hại đến tính tồn vẹn 11 cách thao túng quy trình kinh doanh hoạt động Các kỹ thuật sử dụng để tác động bao gồm phá hủy giả mạo liệu • Adversarial Techniques (Các kỹ thuật phá hoại) Trong mơ hình ATT&CK, để đạt mục tiêu đề ra, chiến thuật cần thực số lượng kỹ thuật định • Thủ tục (Procedures): Cung cấp thơng tin cách chi tiết mô tả cách mà tin tặc thực thành cơng kỹ thuật khai thác • Nền tảng áp dụng: Windows, MacOS,Linux, … • Các quyền điều kiện để thực kỹ thuật: Administrator, User, … • Nguồn liệu: phục vụ cho việc phát triển kỹ thuật khai thác thực 2.2 Cách xây dựng luật từ Mitre ATT&CK 2.2.1 Nguyên tắc xây dựng tập luật Hình 2.1 Quy trình xây dựng luật dựa Mitre ATT&CK Từ hình 2.1 thấy bước để áp dụng Mitre ATT&CK cho nhiệm vụ xây dựng tập luật sau: Bước 1: Tìm hiểu kỹ thuật (Evaluate The technique) Bước 2: Lựa chọn đánh giá kĩ thuật thực khơng thực (Evalute technique can implements or not) 12 Bước 3: Thực kiểm tra map EventID với technique MITRE ATT&CK Để thực gán nhãn cho tiến trình, cần chạy thử nghiệm test tương ứng kĩ thuật -> Theo dõi Log để thực ánh xạ technique với Event ID -> Tiến hành tạo luật từ technique Event ID-> Tiến hành kiểm tra lại 2.2.2 Ví dụ số tập luật xây dựng từ Mitre ATT&CK  Ví dụ phương pháp xây dụng Technique • T1552 - Unsecured Credentials > Credentials In Files (.001) T1552 bao gồm sub-techniques: - T1552.001 - Credentials in Files (Windows, MacOS, Linux) - T1552.002 - Credentials in Registry (Windows) - T1552.003 - Bash History (Linux, MacOS) - T1552.004 - Private Keys (Windows, MacOS, Linux) - T1552.005 - Cloud Instance Metadata API (IaaS) - T1552.006 - Group Policy Preferences (Windows) - T1552.007 - Container API (Container) • T1112 - Modify Registry - Chiến thuật: Defense Evasion – Né tránh phòng thủ - Nền tảng: Windows - Quyền cần thiết: Administrator, SYSTEM, User - Nguồn liệu: Command Execution, Process: Process Creation, Windows Registry • T1057 - Process Discovery - Chiến thuật: Discovery – Khám phá hệ thống Nền tảng: Linux, Windows, macOS Quyền cần thiết: Administrator, SYSTEM, User Nguồn liệu: Command Execution, OS API Execution, Process Creation 13 • T1518 - Software Discovery > Security Software Discovery (.001) - Chiến thuật: Discovery – Khám phá hệ thống - Nền tảng: Google Workspace, IaaS, Linux, Office 365, SaaS, Windows, macOS - Quyền cần thiết: User - Nguồn liệu: Command Execution, Firewall, Process Creation Ví dụ chuyển đổi Technique thành luật • Xét ví dụ sau: T1053.002 – Scheduled Task Kẻ cơng lạm dụng tiện ích at.exe để thực lập lịch tác vụ nhằm thực thi mã độc hại lần đầu định kỳ Tiện ích at.exe tồn dạng tệp thực thi Windows để lập lịch tác vụ thời điểm ngày cụ thể Cách nhận diện: Giám sát việc thực thi quy trình từ svchost.exe Windows 10 Trình lập lịch tác vụ Windows (Windows Task Scheduler) taskeng.exe cho phiên Windows cũ Giám sát Windows Task Scheduler lưu trữ %systemroot%\System32\Tasks cho mục thay đổi liên quan đến tác vụ lên lịch không tương quan với phần mềm biết, chu kỳ vá lỗi Quá trình thực hiện: - Chọn create new rule  event correlation - Tại phần index pattern, chọn index mong muốn (filebeat / winlogbeat) Với trường hợp ta sử dụng Endpoint Security nên lựa chọn logs–endpoint.events.* 2.3 Phương pháp phát mã độc sử dụng Mitre ATT&CK MITRE sử dụng phương pháp phát triển phân tích dựa ATT&CK để tạo đánh giá tinh chỉnh phân tích với mục đích phát xác hành vi đối nghịch mạng Các thuật ngữ White Team, Red Team Blue Team thực vai trò 14 Phương pháp phát triển phân tích dựa ATT&CK bao gồm bước, thể hình đây: Hình 2.2 Các bước phát bất thường hành vi MITRE ATT&CK Bước 1: Xác định hành vi (Identify Behaviors) từ mơ hình mối đe dọa Bước 2: Thu thập liệu (Acquire Data) - Xác định liệu cần thiết cho phân tích phát hành vi độc hại Bước 3: Phát triển phân tích (Develop Analytics) - Phát triển phân tích từ liệu thu thập để phát hành vi nghi vấn Bước 4: Phát triển kịch mô Bước 5: Mô mối đe dọa (Emulate Threat) - Red Team cố gắng đạt mục tiêu mà White Team vạch cách thực hành vi kỹ thuật mơ tả mơ hình ATT&CK Bước 6: Điều tra công (Investigate Attack) - Blue Team cố gắng tạo lại dòng thời gian hoạt động Red Team cách sử dụng phân tích liệu phát triển Bước 15 Bước 7: Tổng hợp đánh giá hiệu suất (Evaluate Performance - White, Red and Blue Teams) phân tích tương tác để đánh giá mức độ thành công phát hành vi giả lập APT Blue Team sử dụng phân tích liệu thu thập Sau đánh giá chu trình lặp lại từ B1 2.4 Kết luận chương Trong chương 2, luận văn trình bày số vấn đề như: nghiên cứu Mitre att&ck cho phát mã độc máy người dùng, nêu rõ thành phần cấu trúc tập luật Mitre att&ck; tìm hiểu cách thức để xây dựng luật từ Mitre attack; tìm hiểu ứng dụng Mitre attack cho phát mã độc máy người dùng CHƯƠNG 3: THỰC NGHIỆM VÀ ĐÁNH GIÁ 3.1 Cài đặt cơng cụ thu thập tiến trình hệ điều hành Window Trong luận văn này, sử dụng công cụ Elastic Endpoint security để thực nhiệm vụ thu thập liệu máy người dùng Các bước tiến hành sau: Bước 1: Tải Elastic Agent 7.15.1 lên máy người dùng Bước 2: Tiến hành cài đặt chứng chỉ máy người dùng Bước 3: Thêm chứng chỉ vào máy Agent Bước 4: Sử dụng PowerShell, di chuyển đường dẫn tới thư mục tải Elastic Endpoint Security khởi chạy “enroll Elastic Agent” 3.2 Cài đặt hệ thống quản lý tiến trình 3.2.1 Cài đặt cấu hình Elasticsearch 3.2.2 Cài đặt cấu hình Kibana 3.2.3 Cài đặt cấu hình Logstash 3.3 Một số kết thực nghiệm 3.3.1 Kịch thực nghiệm 16 Đối với trình thử nghiệm, luận văn thực thử nghiệm mẫu mã độc khác bao gồm: babuk; Agent Tesla; Trickbot Ngoài đề xuất thêm kịch phát bất thường máy người dùng người dùng mở kết nối teamview Tất kịch thử nghiệm so sánh đánh giá với kết thực nghiệm tiến hành phân tích mã độc sử dụng công cụ app.any.run 3.3.2 Kịch thực nghiệm phát mã độc babuk Mã độc Babuk loại mã độc tống tiền Ransomwar Hệ thống phát cảnh báo Sau tiến hành thực nghiệm mã độc Babuk máy client hệ thống giám sát phát mã độc nhận thông tin cảnh báo Hình 3.1 Cây tiến trình mã độc Babuk sinh 17 Hình 3.2 Kiểm tra hành vi babuk2 any.run 3.3.3 Kịch thực nghiệm phát mã độc Agent Tesla Agent Tesla chương trình độc hại phần virus trojan Mục đích Agent Tesla RAT để lấy cắp liệu người dùng Sự lây lan trojan thường xảy thông qua email spam cập nhật giả mạo Hình 3.3 Kiểm tra hành vi Agent Tesla any.run Hình 3.3 thể hành vi bất thường mã độc Agent Tesla thu nhận hệ thống any.run Tiếp theo, luận văn so sánh kết với hành vi ghi nhận hệ thống giám sát phân tích đánh giá Hình 3.4 thể số kết 18 Hình 3.4 Cảnh báo mã độc Agent Tesla từ hệ thống giám sát Từ hình 3.4 thấy hệ thống phát phát mã độc Agent Tesla dựa kỹ thuật T1003 Hình 3.5 Cây tiến trình mã độc Agent Tesla sinh 3.3.4 Kịch thực nghiệm phát mã độc Trickbot Mã độc TrickBot trojan ngân hàng tiên tiến mà kẻ cơng sử dụng để đánh cắp thơng tin tốn từ nạn nhân Nó chuyển hướng nạn nhân đến trang ngân hàng giả truy xuất thông tin đăng nhập trang web Sau đó, sử dụng CMSTP.exe để 19 vượt qua kiểm soát tài khoản người dùng thực lệnh tương tự thông qua giao diện auto-elevated COM Bảng 3.3 Thông tin khái quát mã độc Trickbot MD5 hash 104b457b6d90fc80ff2dbbcebbb7ca8b SHA1 hash 7842611837af04d7c986de21ab2454ed397014de SHA256 1c81272ffc28b29a82d8313bd74d1c6030c2af1ba4b165c4 hash 4dc8ea6376679d9f Đặc điểm  Ghi vào nhớ tiến trình chạy khác  Xử lý động API để tránh phát tĩnh  Ghi vào nhớ trình chạy từ tệp tạo sửa đổi  Sửa đổi luồng điều khiển quy trình chạy từ tệp tạo sửa đổi Hình 3.6 Kiểm tra hành vi mã độc trickbot any.run 20 Hình 3.7 Thơng tin cảnh báo mã độc Trickbot từ hệ thống giám sát Từ hình 3.7 thấy mã độc Trickbo bị phát dựa T1548 (T1548 - Abuse Elevation Control Mechanism) Hình 3.8 Liên kết hành vi mã độc Trickbot sinh Hình 3.8 thể liên quan tiến trình, hành vi mà mã độc Trickbot sinh 3.3.5.Kịch thực nghiệm sử dụng teamview để gửi mã độc sang máy nạn nhân 21 Hình 3.9 Gửi file sang máy nạn nhân teamview Hình 3.10 thơng tin cảnh báo từ hệ thống giám sát Từ hình 3.10 nhận thấy hệ thống phát mã độc nhận thấy điểm bất thường máy người dùng 22 3.4 Kết luận chương - Mô tả chi tiết cách thức xây dựng cài đặt hệ thống thu thập liệu máy người dùng - Mô tả chi tiết cách thức xây dựng cài đặt hệ thống quản lý liệu máy người dùng - Thực kiểm thử hệ thống phát mã độc Kết kiểm thử cho thấy hệ thống phát xác dựa tập luật hành vi sủ dụng luật Mitre attack 23 KẾT LUẬN Trong luận văn này, Học viên nghiên cứu thực số kết sau: - Nghiên cứu tìm hiểu số hệ điều hành máy tính người dùng - Tìm hiểu số phương pháp cơng cụ thu thập tiến trình máy người dùng - Xây dựng hệ thống thu thập, quản lý, lưu trữ liệu máy người dùng sử dụng công cụ Elastic endpoint security cơng cụ ELK - Trình bày phương pháp xây dựng cấu hình hệ thống thu thập phát tiến trình bất thường dựa Mitre attack - Thực nghiệm phát bất thường máy người dùng dựa Mitre attack - Tiến hành thực thực nghiệm đánh giá hệ thống phát tiến trình bất thường sử dụng tập luật xây dựng theo phương pháp Mitre attack ... phát mã độc sử dụng để huấn luyện đặc trưng hành vi mã độc cho việc xây dựng phát Vậy theo hướng nghiên cứu , chọn đề tài ? ?Nghiên cứu phương pháp phát mã độc máy người dùng sử dụng kỹ thuật Mitre. .. khả phát mã độc kịp thời Vì để cải thiện khả nhận dạng phát mẫu mã độc mới, phương pháp phát mã độc dựa hành vi nghiên cứu, phát triển triển khai nhằm nâng cao hiệu trình phát mã độc, phương pháp. .. giá phương pháp phát mã độc máy người dùng sử dụng kỹ thuật Mitre att&ck Đối tượng phạm vi nghiên cứu - Đối tượng: máy người dùng - Phạm vi: mối đe dọa hệ thống mạng doanh nghiệp, tổ chức Phương