HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - s NGUYỄN THỊ HÀ LÊ NGUYỄN THỊ HÀ LÊ NGHIÊN CỨU PHƯƠNG PHÁP PHÁT HIỆN MÃ ĐỘC TRÊN HỆ THỐNG THÔNG TIN MÁY NGƯỜI DÙNG SỬ DỤNG KỸ THUẬT MITRE ATT&CK LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng) 2020 – 2022 HÀ NỘI – NĂM 2022 HÀ NỘI - NĂM 2022 TIEU LUAN MOI download : skknchat123@gmail.com HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - NGUYỄN THỊ HÀ LÊ NGHIÊN CỨU PHƯƠNG PHÁP PHÁT HIỆN MÃ ĐỘC TRÊN MÁY NGƯỜI DÙNG SỬ DỤNG KỸ THUẬT MITRE ATT&CK Chuyên ngành: HỆ THỐNG THÔNG TIN Mã số: 8.48.01.04 LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng) NGƯỜI HƯỚNG DẪN KHOA HỌC : TS ĐỖ XUÂN CHỢ HÀ NỘI - NĂM 2022 TIEU LUAN MOI download : skknchat123@gmail.com i LỜI CAM ĐOAN Tôi cam đoan luận văn đề tài “Nghiên cứu phương pháp phát mã độc máy người dùng sử dụng kỹ thuật Mitre ATT&CK” cơng trình nghiên cứu riêng tơi Các số liệu, kết nêu luận văn trung thực chưa công bố công trình khác Tác giả luận văn Nguyễn Thị Hà Lê TIEU LUAN MOI download : skknchat123@gmail.com ii LỜI CẢM ƠN Trong suốt q trình học tập hồn thiện luận văn tốt nghiệp, nhận nhiều giúp đỡ, động viên từ thầy cơ, gia đình bạn bè Tôi xin chân thành cảm ơn giúp đỡ động viên Đầu tiên, xin bày tỏ cảm ơn đặc biệt tới TS Đỗ Xuân Chợ - người định hướng cho việc lựa chọn đề tài, đưa nhận xét quý giá trực tiếp hướng dẫn suốt trình nghiên cứu hồn thiện luận văn tốt nghiệp Tiếp theo, xin gửi lời cảm ơn chân thành tới tất quý thầy cô giáo Học viện Cơng nghệ Bưu Viễn thơng giảng dạy dìu dắt tơi trong suốt q trình học tập trường Tôi xin gửi lời cảm ơn tới gia đình bạn bè - người ln bên cạnh động viên, ủng hộ tạo điều kiện cho tơi hồn thành khóa luận TIEU LUAN MOI download : skknchat123@gmail.com iii MỤC LỤC LỜI CAM ĐOAN .i LỜI CẢM ƠN ii MỤC LỤC iii DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT v DANH MỤC CÁC BẢNG .vi DANH MỤC CÁC HÌNH vi MỞ ĐẦU CHƯƠNG 1: GIỚI THIỆU VỀ HỆ ĐIỀU HÀNH VÀ PHƯƠNG PHÁP THU THẬP TIẾN TRÌNH 1.1 Tổng quan hệ điều hành .4 1.1.1 Khái niệm hệ điều hành .4 1.1.2 Các tính chất hệ điều hành 1.1.3 Các thành phần hệ điều hành .5 1.2 Hệ điều hành máy người dùng 1.2.1 Hệ điều hành Windows 1.2.2 Linux 1.2.3 MacOS .11 1.3 Một số phương pháp kỹ thuật thu thập tiến trình hệ điều hành 12 1.3.1 Một số phương pháp kỹ thuật thu thập tiến trình Windows 12 1.3.2 Một số phương pháp kỹ thuật thu thập tiến trình Linux .22 1.4 Một số mã độc lỗ hổng công hệ điều hành 26 1.4.1 Mã độc .26 1.4.2 Lỗ hổng bảo mật .27 Kết luận chương 28 CHƯƠNG 2: NGHIÊN CỨU VỀ MITRE ATT&CK 29 2.1 Tổng quan Mitre Att&ck 29 2.1.1 Giới thiệu Mitre 29 TIEU LUAN MOI download : skknchat123@gmail.com iv 2.1.2 Định nghĩa Mitre ATT&CK 29 2.1.3 Thành phần MITRE ATT&CK 32 2.2 Cách xây dựng luật từ Mitre ATT&CK 35 2.2.1 Nguyên tắc xây dựng tập luật 35 2.1.2 Ví dụ số tập luật xây dựng từ Mitre ATT&CK 54 2.1.3 Phương pháp phát mã độc sử dụng Mitre ATT&CK .68 Kết luận chương 70 CHƯƠNG 3: THỰC NGHIỆM VÀ ĐÁNH GIÁ 71 3.1 Cài đặt cơng cụ thu thập tiến trình hệ điều hành Window 71 3.2 Cài đặt hệ thống quản lý tiến trình 73 3.2.1 Cài đặt cấu hình Elasticsearch 73 3.2.2 Cài đặt cấu hình Kibana .73 3.2.3 Cài đặt cấu hình Logstash 74 3.3 Một số kết thực nghiệm 75 3.3.1 Kịch thực nghiệm 75 3.3.2 Kịch thực nghiệm phát mã độc babuk 75 3.3.3 Kịch thực nghiệm phát mã độc Trickbot 80 3.3.4 Kịch thực nghiệm sử dụng teamview để gửi mã độc sang máy nạn nhân 84 Kết luận chương 85 KẾT LUẬN 86 DANH MỤC CÁC TÀI LIỆU THAM KHẢO .87 TIEU LUAN MOI download : skknchat123@gmail.com v DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT Viết tắt Tiếng Anh Tiếng Việt EDR Endpoint detection & Response Hệ thống phát phản hồi mối nguy hại điểm cuối IPS Intrusion prevention system Hệ thống chống xâm nhập mạng CPU Central Processing Unit Bộ xử lý trung tâm DMA Direct memory access Truy cập nhớ trực tiếp ELF Executable and Linkable Format định dạng tập tin tiêu chuẩn PID Process ID Số nguyên xác định định danh tiến trình TIEU LUAN MOI download : skknchat123@gmail.com vi DANH MỤC CÁC BẢNG Bảng 1.1: Thông tin chi tiết tùy chọn cấu hình Sysmon 16 Bảng 1.2 Tham số cho lệnh top 25 Bảng 2.1: Các thành phần chiến thuật phá hoại 33 Bảng 2.2 Danh sách kiện thu từ công cụ Endpoint Security 37 Bảng 2.3 Bảng thu tổng hợp kết test 54 Bảng 2.4 Các mẫu hành vi bất thường ứng dụng cho sub-technique T1552.001: 55 Bảng 2.5 Những giải pháp cho T1552 .58 Bảng 2.6 Các mẫu hành vi bất thường ứng dụng cho sub-technique T1112 59 Bảng 2.7 Các mẫu hành vi bất thường ứng dụng cho sub-technique T1057: 61 Bảng 2.8 Một số mẫu ứng dụng cho sub-technique T1518.001: .64 Bảng 3.1 Đặc điểm mã độc Babuk 76 Bảng 3.2 Đặc điểm mã độc Agent Tesla 78 Bảng 3.3 Thông tin khái quát mã độc Trickbot 80 TIEU LUAN MOI download : skknchat123@gmail.com vii DANH MỤC CÁC HÌNH Hình 1.1 Các trạng thái tiến trình Hình 1.2 Cấu trúc tiến trình Linux 10 Hình 1.3: Cấu trúc tập tin ELF 11 Hình 1.4: Giao diện công cụ Process Monitor 13 Hình 1.5: Một số thơng tin thu thập từ Process Monitor 14 Hình 1.6: Thơng tin liệu nhật ký Sysmon thu thập 17 Hình 1.7: Thơng tin truy xuất tiến trình sử dụng cơng cụ Process Status .23 Hình 1.8: Một số thơng tin thu thập cơng cụ Top .24 Hình 2.1 Quy trình xây dựng luật dựa Mitre ATT&CK 35 Hình 2.2 Mơ tả kỹ thuật Service Execution(T1569.002) 36 Hình 2.3 Thơng tin kỹ thuật Windows Command Shell (T1059.003) 37 Hình 2.4 Các bước phát bất thường hành vi MITRE ATT&CK 69 Hình 3.1 Sử dụng WinSCP để chuyển tệp tin vào server 71 Hình 3.2 Cài đặt chứng cho Elastic Endpoint Security 72 Hình 3.3 Cài đặt chứng cho Elastic Endpoint Security 72 Hình 3.4 Thêm máy thành viên vào Fleet .73 Hình 3.6 Cây tiến trình mã độc Babuk sinh 77 Hình 3.7 Kiểm tra hành vi babuk2 any.run 77 Hình 3.8 Kiểm tra hành vi Agent Tesla any.run 78 Hình 3.9 Cảnh báo mã độc Agent Tesla từ hệ thống giám sát 79 Hình 3.10 Cây tiến trình mã độc Agent Tesla sinh 80 Hình 3.11 Kiểm tra hành vi mã độc trickbot any.run 81 Hình 3.12 Thơng tin cảnh báo mã độc Trickbot từ hệ thống giám sát 82 Hình 3.13 Liên kết hành vi mã độc Trickbot sinh 83 Hình 3.14 Gửi file sang máy nạn nhân teamview 84 Hình 3.15 thơng tin cảnh báo từ hệ thống giám sát 84 TIEU LUAN MOI download : skknchat123@gmail.com MỞ ĐẦU Lý chọn đề tài Ngày nay, phát triển vượt trội công nghệ thông tin internet đưa lại nhiều lợi ích đời sống xã hội Tuy nhiên, bên cạnh lợi ích cịn nhiều nguy gây ảnh hưởng đến hệ thống thông tin nhiều người dùng – ví dụ xuất phát triển nhanh chóng loại mã độc nhằm đánh cắp thông tin, tống tiền, cá nhân tổ chức tảng không gian mạng Các loại mã độc ngày đa dạng tinh vi hơn, có khả ẩn nấp qua phần mềm anti-virus thông qua kỹ thuật xáo trộn mã, tự thay đổi mã nguồn, dẫn đến việc rà quét phát dựa chữ ký khơng cịn hiệu Hơn nữa, để tạo chữ kýcủa mẫu mã độc, chuyên gia phải nhiều thời gian công sức, khiến cho việc cập nhật phần mềm anti-virus chậm hơn, khó có khả phát mã độc kịp thời Vì để cải thiện khả nhận dạng phát mẫu mã độc mới, phương pháp phát mã độc dựa hành vi nghiên cứu, phát triển triển khai nhằm nâng cao hiệu trình phát mã độc, phương pháp phát mã độc sử dụng để huấn luyện đặc trưng hành vi mã độc cho việc xây dựng phát Vậy theo hướng nghiên cứu này, chọn đề tài “Nghiên cứu phương pháp phát mã độc máy người dùng sử dụng kỹ thuật Mitre ATT&CK ” để tìm phương pháp phát mã độc hiệu máy người dùng Tổng quan đề tài nghiên cứu Hiện nghiên cứu lý thuyết liên quan đến phát tiến trình bất thường máy người dùng hạn chế Về vấn đề phát mã độc máy trạm, ngồi sản phẩm phần mềm Anti-virus xuất số sản phẩm hỗ trợ Phát Phản hồi Điểm cuối (Endpoint detection & Response- EDR) Sản phẩm EDR có chức phát theo dõi cố bất thường Enduser để từ đưa kịch ứng phó cố Có số giải pháp sản phẩm EDR sau: Sản phẩm EDR Apex One Trend Micro có khả tự động phát TIEU LUAN MOI download : skknchat123@gmail.com 73 Hình 3.4 Thêm máy thành viên vào Fleet 3.2 Cài đặt hệ thống quản lý tiến trình 3.2.1 Cài đặt cấu hình Elasticsearch Elasticsearch phụ thuộc vào Java Đưa lệnh sau để cài đặt phần phụ thuộc:sudo add-apt-repository ppa:webupd8team/java sudo apt-get update sudo apt-get install oracle-java8-installer -y Để cài đặt Elasticsearch, thực lệnh sau: wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-7.7.1.deb sudo dpkg -i elasticsearch-7.7.1.deb Mở tệp cấu hình Elasticsearch lệnh: sudo nano /etc/elasticsearch/elasticsearch.yml Cuối cùng, khởi động kích hoạt dịch vụ lệnh: sudo systemctl enable elasticsearch.service sudo systemctl start elasticsearch.service 3.2.2 Cài đặt cấu hình Kibana wget https://artifacts.elastic.co/downloads/kibana/kibana-7.7.1-amd64.deb TIEU LUAN MOI download : skknchat123@gmail.com 74 sudo dpkg -i kibana-7.7.1-amd64.deb Cấu hình Kibana cách mở tệp cấu hình lệnh: sudo nano /etc/kibana/kibana.yml Tìm dịng sau: # server.host: "localhost" #asticsearch.url: "http: // localhost: 9200" Thay đổi dịng thành: server.host: "SERVER_IP" asticsearch.url: "http: // SERVER_IP: 9200" Trong SERVER_IP địa IP máy chủ lưu trữ Lưu đóng tệp Cuối cùng, đưa lệnh sau: sudo sysctl -w vm.max_map_count = 262144 Khởi động lại máy chủ Sau máy chủ khởi động lại, khởi động bật dịch vụ Kibana lệnh: sudo systemctl cho phép kibana.service sudo systemctl start kibana.service 3.2.3 Cài đặt cấu hình Logstash Logstash phương tiện để thêm liệu vào Elasticsearch Để cài đặt công cụ này, đưa lệnh: wget https://artifacts.elastic.co/downloads/logstash/logstash-6.3.2.deb sudo dpkg -i logstash-6.3.2.deb Mở tệp cấu hình Logstash lệnh: sudo nano /etc/logstash/logstash.yml Thay đổi dòng sau: # http.host: "127.0.0.1" Xóa ký tự # thay đổi địa IP IP máy chủ lưu trữ Lưu đóng tệp Khởi động kích hoạt dịch vụ Logstash lệnh: sudo systemctl kích hoạt logstash.service sudo systemctl start logstash.service TIEU LUAN MOI download : skknchat123@gmail.com 75 Hình 3.5 Giao diện hệ thống quản lý liệu 3.3 Một số kết thực nghiệm 3.3.1 Kịch thực nghiệm Trong luận này, học viên sử dụng tập luật có sẵn Mitre attack Hiện có khoảng 676 tập luật xây dựng sở Mitre att&ck Các luật Elastic rules cập nhật thường xuyên dựa kết nối Elastic với cộng đồng xây dựng luật Đối với trình thử nghiệm, luận văn thực thử nghiệm mẫu mã độc khác bao gồm: babuk; Agent Tesla; Trickbot Ngoài học viên đề xuất thêm kịch phát bất thường máy người dùng người dùng mở kết nối teamview Tất kịch thử nghiệm so sánh đánh giá với kết thực nghiệm tiến hành phân tích mã độc sử dụng cơng cụ app.any.run 3.3.2 Kịch thực nghiệm phát mã độc babuk 3.3.2.1 Giới thiệu mã độc babuk Mã độc Babuk loại mã độc tống tiền Ransomwar Mã độc Babuk phát vào năm 2021, mục tiêu đánh cắp liệu công ty tống tiền họ Thông tin chi tiết mã độc Babuk trình bày bảng 3.1 TIEU LUAN MOI download : skknchat123@gmail.com 76 Bảng 3.1 Đặc điểm mã độc Babuk MD5 hash 64f7ac45f930fe0ae05f6a6102ddb511 SHA1 hash 499c21991aecc205fd9c64784909d94eb34a9a71 SHA256 hash 550771bbf8a3e5625d6ec76d70ed86f6e443f07ce80ff73e47f8249ddd72 a8cf SHA3-384 026caedb848533d18ff96e39d754d32083bbfcd13d404a0315a95e3462f hash d07c36bdaf0f5be09f03a02a2f632dafce8d5 Đặc điểm  Mã hóa ngoại tuyến  Dịng Delta Plus Ransomware  Ổ đĩa Phân vùng Khôi phục (M:\) + Phân vùng Hệ thống EFI (N:\) kích hoạt  Chặn thực thi quy trình (agntsvc.exe, dbsnmp.exe, ocssd.exe, oracle.exe, sql.exe, synctime.exe, v.v.)  Dừng nhiều dịch vụ (AcronisAgent, lưu, BackupExecDiveciMediaService, QBIDPService, sophos, veeam, v.v.)  Các kỹ thuật sử dụng Tắt khôi phục hệ thống (vssadmin.exe delete shadows /all /quiet) • T1409.2 • T1033 • T1547 3.3.2.2 Hệ thống phát cảnh báo Sau tiến hành thực nghiệm mã độc Babuk máy client hệ thống giám sát phát mã độc nhận thông tin cảnh báo TIEU LUAN MOI download : skknchat123@gmail.com 77 Hình 3.6 Cây tiến trình mã độc Babuk sinh Từ hình 3.6 thấy hành vi mã độc Babuk tương hệ thống thu nhận tương đối phù hợp với thống tin mã độc phân tích hệ thơng any.run Hình 3.7 thể kết mã độc Babuk tiến hành app.any.run Hình 3.7 Kiểm tra hành vi babuk2 any.run Kịch thực nghiệm phát mã độc Agent Tesla Agent Tesla chương trình độc hại phần virus trojan Mục đích Agent Tesla RAT để lấy cắp liệu người dùng Sự lây lan trojan thường xảy thông qua email spam cập nhật giả mạo TIEU LUAN MOI download : skknchat123@gmail.com 78 Bảng 3.2 Đặc điểm mã độc Agent Tesla MD5 6d97e72cd0ea8cf000138c8bcef79466 SHA1 47d823ad5783a54c1a7820e4454e441cff919c27 SHA256 SHA3-384 Đặc điểm 1c864d62fbd05a062b156262c8ea5c7579a6c9207cc6121cebc859785d1 1fb9e 044f04bd12c0f90320b09a665d37fa65f546084abee1103ca89235a89ae9 560ea88fe31d8896be378d10566744bfbe25  SetunhandledExceptionFilter  Trích xuất mã thực thi - giải nén  Tải chức động Hình 3.8 Kiểm tra hành vi Agent Tesla any.run TIEU LUAN MOI download : skknchat123@gmail.com 79 Hình 3.8 thể hành vi bất thường mã độc Agent Tesla thu nhận hệ thống any.run Tiếp theo, luận văn so sánh kết với hành vi ghi nhận hệ thống giám sát phân tích đánh giá Hình 3.9 thể số kết Hình 3.9 Cảnh báo mã độc Agent Tesla từ hệ thống giám sát Từ hình 3.9 thấy hệ thống phát phát mã độc Agent Tesla dựa kỹ thuật T1003 T1003 - Thực thi proxy từ tiện ích nhà phát triển uy tín: MSBuild Kẻ thù sử dụng MSBuild để thực thi proxy code thơng qua tiện ích Windows đáng tin MSBuild.exe (Microsoft Build Engine) tảng xây dựng phần mềm Visual Studio sử dụng Nó xử lý tệp dự án có định dạng XML xác định yêu cầu để tải xây dựng tảng cấu hình khác Kẻ thù lạm dụng MSBuild để thực thi proxy mã độc Khả tác vụ nội tuyến MSBuild giới thiệu NET phiên cho phép chèn mã C # Visual Basic vào tệp dự án XML MSBuild biên dịch thực thi tác vụ nội tuyến MSBuild.exe tệp nhị phân Microsoft tin tưởng, sử dụng theo cách này, thực thi mã tùy ý bỏ qua biện pháp bảo vệ kiểm sốt ứng dụng cấu hình phép thực thi MSBuild.exe TIEU LUAN MOI download : skknchat123@gmail.com 80 Một phiên MSBuild, Microsoft Build Engine, tải tệp DLL (thư viện liên kết động) chịu trách nhiệm quản lý thông tin đăng nhập Windows Kỹ thuật sử dụng để kết xuất thông tin xác thực Xác định MsBuild.exe tạo kết nối mạng Điều cho thấy hoạt động đối thủ MsBuild thường bị đối thủ tận dụng để thực thi mã tránh bị phát Hình 3.10 Cây tiến trình mã độc Agent Tesla sinh 3.3.3 Kịch thực nghiệm phát mã độc Trickbot Mã độc TrickBot trojan ngân hàng tiên tiến mà kẻ cơng sử dụng để đánh cắp thơng tin tốn từ nạn nhân Nó chuyển hướng nạn nhân đến trang ngân hàng giả truy xuất thông tin đăng nhập trang web Sau đó, sử dụng CMSTP.exe để vượt qua kiểm soát tài khoản người dùng thực lệnh tương tự thông qua giao diện auto-elevated COM Bảng 3.3 Thông tin khái quát mã độc Trickbot MD5 104b457b6d90fc80ff2dbbcebbb7ca8b hash SHA1 7842611837af04d7c986de21ab2454ed397014de hash TIEU LUAN MOI download : skknchat123@gmail.com 81 SHA25 1c81272ffc28b29a82d8313bd74d1c6030c2af1ba4b165c44dc8ea637667 hash 9d9f Đặc  Ghi vào nhớ tiến trình chạy khác điểm  Xử lý động API để tránh phát tĩnh  Ghi vào nhớ trình chạy từ tệp tạo sửa đổi  Sửa đổi luồng điều khiển quy trình chạy từ tệp tạo sửa đổi Hình 3.11 Kiểm tra hành vi mã độc trickbot any.run TIEU LUAN MOI download : skknchat123@gmail.com 82 Hình 3.12 Thông tin cảnh báo mã độc Trickbot từ hệ thống giám sát Từ hình 3.12 thấy mã độc Trickbo bị phát dựa T1548 - Cơ chế lạm dụng kiểm soát quyền hạn Kẻ thù phá vỡ chế thiết kế để kiểm soát đặc quyền để nâng cao nhằm đạt quyền cao Hầu hết hệ thống đại chứa chế kiểm soát quyền hạn nguyên nhằm hạn chế đặc quyền mà người dùng thực máy Ủy quyền phải cấp cho người dùng cụ thể để thực tác vụ coi có rủi ro cao Kẻ thù thực số phương pháp để tận dụng chế kiểm sốt tích hợp nhằm nâng cao đặc quyền hệ thống Xác định nỗ lực bỏ qua Kiểm sốt tài khoản người dùng (UAC) thơng qua giao diện COM nâng cao ICMLuaUtil Những kẻ công cố gắng vượt qua UAC để lút thực thi mã với quyền cao TIEU LUAN MOI download : skknchat123@gmail.com 83 Hình 3.13 Liên kết hành vi mã độc Trickbot sinh Hình 3.13 thể liên quan tiến trình, hành vi mà mã độc Trickbot sinh TIEU LUAN MOI download : skknchat123@gmail.com 84 3.3.4 Kịch thực nghiệm sử dụng teamview để gửi mã độc sang máy nạn nhân Hình 3.14 Gửi file sang máy nạn nhân teamview Hình 3.15 thông tin cảnh báo từ hệ thống giám sát Từ hình 3.15 nhận thấy hệ thống phát mã độc nhận thấy điểm bất thường máy người dùng Mặc dù hành vi mở kết nối để thực đưa mã độc vào máy tính người dùng chất hành vi chưa có nguy hiểm Tuy nhiên dựa định nghĩa T1219 Mitre att&ck hành vi định nghĩa bắt đầu tính cơng T1219 – Remote Access Software (phần mềm truy cập từ xa) TIEU LUAN MOI download : skknchat123@gmail.com 85 Kẻ công sử dụng phần mềm hỗ trợ truy cập thiết bị từ xa hợp pháp, chẳng hạn Team Viewer, AnyDesk, v.v., để điều khiển lệnh cho máy nạn nhân thông qua mạng Các dịch vụ thường công ty sử dụng phần mềm hỗ trợ kỹ thuật khách hàng gặp cố phần mềm cần hỗ trợ Đặc biệt TeamView UltraView phổ biến Việt Nam Các phần mềm hỗ trợ có chức truyền file qua kênh giao tiếp mà không thông qua lọc nào, nên kẻ cơng lợi dụng để cài phần mềm độc hại chẳng hạn backdoor hay reverse backdoor khởi chạy để chiếm hồn tồn quyền lệnh cho máy nạn nhân Các công cụ quản trị TeamViewer sử dụng số nhóm nhắm mục tiêu vào tổ chức quốc gia mà nhà nước Nga quan tâm chiến dịch tội phạm Kết luận chương - Mô tả chi tiết cách thức xây dựng cài đặt hệ thống thu thập liệu máy người dùng - Mô tả chi tiết cách thức xây dựng cài đặt hệ thống quản lý liệu máy người dùng - Thực kiểm thử hệ thống phát mã độc Kết kiểm thử cho thấy hệ thống phát xác dựa tập luật hành vi sủ dụng luật Mitre attack TIEU LUAN MOI download : skknchat123@gmail.com 86 KẾT LUẬN Trong luận văn này, nghiên cứu thực số kết sau: - Nghiên cứu tìm hiểu số hệ điều hành máy tính người dùng - Tìm hiểu số phương pháp cơng cụ thu thập tiến trình máy người dùng - Xây dựng hệ thống thu thập, quản lý, lưu trữ liệu máy người dùng sử dụng công cụ Elastic endpoint security cơng cụ ELK - Trình bày phương pháp xây dựng cấu hình hệ thống thu thập phát tiến trình bất thường dựa Mitre attack - Thực nghiệm phát bất thường máy người dùng dựa Mitre attack - Tiến hành thực thực nghiệm đánh giá hệ thống phát tiến trình bất thường sử dụng tập luật xây dựng theo phương pháp Mitre attack TIEU LUAN MOI download : skknchat123@gmail.com 87 DANH MỤC CÁC TÀI LIỆU THAM KHẢO Tiếng Anh [1] Alireza Souri, Rahil Hosseini, (2018), A state‑of‑the‑art survey of malware detection approaches using data mining techniques, Vol 8, No pp 1-22 [2] Yanfang Ye, Tao Li, Donald Adjeroh, S Sitharama Iyengar, (2017), A survey on malware detection using data mining techniques, ACM Comput Surv 50, 3, Article 41 Website [1] https://www.malwarebytes.com/business/endpointdetectionresponse/ [2] https://linuxhint.com/auditd_linux_tutorial/ [3] https://attack.mitre.org/ [4] https://www.gartner.com/reviews/market/endpoint-detection-and-responsesolutions [5] https://www.trendmicro.com/en_us/business/products/userprotection/sps/endpoint.html [6] https://www.crowdstrike.com/endpoint-security-products/falcon-insightendpoint-detection-response/ [7] https://www.sandboxie.com/ [8] https://www.kaspersky.com/enterprise-security/endpoint-detection-response-edr [9] https://app.any.run/ [10] https://github.com/Neo23x0/sigma/blob/master/tools/README.md [11] https://paloaltofirewalls.co.uk/palo-alto-traps-endpoint/ [12] https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon [13] https://www.carbonblack.com/products/edr/ TIEU LUAN MOI download : skknchat123@gmail.com ... pháp phát mã độc sử dụng để huấn luyện đặc trưng hành vi mã độc cho việc xây dựng phát Vậy theo hướng nghiên cứu này, chọn đề tài ? ?Nghiên cứu phương pháp phát mã độc máy người dùng sử dụng kỹ thuật. .. LÊ NGHIÊN CỨU PHƯƠNG PHÁP PHÁT HIỆN MÃ ĐỘC TRÊN MÁY NGƯỜI DÙNG SỬ DỤNG KỸ THUẬT MITRE ATT&CK Chuyên ngành: HỆ THỐNG THÔNG TIN Mã số: 8.48.01.04 LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng) ... khả phát mã độc kịp thời Vì để cải thiện khả nhận dạng phát mẫu mã độc mới, phương pháp phát mã độc dựa hành vi nghiên cứu, phát triển triển khai nhằm nâng cao hiệu trình phát mã độc, phương pháp