HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG KHOA CÔNG NGHỆ THÔNG TIN BÁO CÁO BÀI TẬP LỚN MÔM CƠ SỞ AN TOÀN THÔNG TIN ĐỀ TÀI HỆ THỐNG PHÁT HIỆN TẤN CÔNG, XÂM NHẬP OSSEC VỀ THÀNH PHẦN , CHỨC NĂNG VÀ CÀI ĐẶT
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA CƠNG NGHỆ THÔNG TIN BÁO CÁO BÀI TẬP LỚN MÔM: CƠ SỞ AN TỒN THƠNG TIN ĐỀ TÀI: HỆ THỐNG PHÁT HIỆN TẤN CƠNG, XÂM NHẬP OSSEC NHĨM: 11 Họ tên giảng viên: PGS TS Hoàng Xuân Dậu Sinh viên thực hiện: B20DCAT163-Tống Văn Tồn-Nhóm Trưởng B20DCAT190-Lê Văn Tráng B20DCAT191-Trần Đăng Trọng B20DCAT193-Đỗ Xuân Trung B20DCAT194-Nguyễn Đức Trung B20DCAT197-Nguyễn Quốc Trưởng Hà Nội tháng 10 năm 2022 Muc Lục I Giới thiệu hệ thống phát xâm nhập IDS IDS hệ thống phát dấu hiệu cơng xâm nhập, đồng thời khởi tạo hành động thiết bị khác để ngăn chặn công Khác với tường lửa, IDS không thực thao tác ngăn chặn mà theo dõi hoạt động mạng IDS đánh giá xâm nhập đáng ngờ diễn đồng thời phát cảnh báo, theo dõi công từ bên hệ thống 1.1 Giới thiệu OSSEC OSSEC hệ thống phát xâm nhập dựa host (HIDS) dựa log mã nguồn mở, miễn phí, đa tảng mở rộng có nhiều chế bảo mật khác OSSEC phát xâm nhập chữ ký dấu hiệu bất thường Các dấu hiệu bình thường bất thường mô tả luật OSSEC OSSEC cài đặt Windows với tư cách agent 1.2 Các tính bật OSSEC là: + Theo dõi phân tích log: OSSEC thu nhập log theo thời gian thực từ nhiều nguồn khác để phân tích đưa cảnh báo OSSEC phát công mạng, hệ thống ứng dụng cụ thể cách sử dụng log hàm nguồn thơng tin Log hữu ích để phát khai thác lỗ hổng phần mềm, vi phạm sách hoạt động khơng phù hợp khác + Kiểm tra tính tồn vẹn file: Sử dụng hàm mật mã tính toán giá trị băm file hệ điều hành dựa tên file, nội dung file giá trị băm OSSEC giám sát ổ đĩa để phát thay đổi giá trị băm có điều đó, sửa đổi nội dung file thay phiên file phiên file khác + Giám sát Registry: Hệ thống Registry danh sách thư mục tất cài đặt phần cứng phần mềm, cầu hình hệ điều hành, người dùng, nhóm người dùng preference hệ thống Microsoft Windows Các thay đổi thực người dùng quản trị viên hệ thống ghi lại khóa registry để hoạt động thay đổi lưu người dùng đăng xuất hệ thống khởi động lại + Phát Rootkit: OSSEC phát rootkit dựa chữ ký rootkit công cụ cho phép kẻ đột nhập khả xâm nhập vào máy tính bị cài rootkit xóa dấu vết tồn OSSEC có khả phát root cách đọc file sở liệu root tiến hành quét hệ thống định kỳ, thực lời gọi hệ thống để phát file khơng bình thường, tiến trình ấn so sánh chúng với sở liệu để phát root + Phản ứng chủ động: chúng cho phép IDS nói chung OSSEC nói riêng tự động thực thi lệnh phản ứng kiện tập hợp kiện cụ thể kích hoạt Phản ứng chủ động xác định luật Các lợi ích phản ứng chủ động lớn nguy hiểm ngăn chặn kết nối hợp pháp lỗ hổng để kẻ công khai thác 1.3 Kiến trúc hệ thống ossec OSSEC thiết kế theo mơ hình client – server, gồm thành phần OSSEC server OSSEC agent OSSEC SEVER Đây phần trung tâm quan trọng OSSEC Server nơi lưu trữ liệu Tất luật, giải mã (decoder) lưu trữ server Server đảm nhận nhiệm vụ quản lý agent Các agent kết nối với máy chủ cổng 1514 514, giao thức UDP Kết nối với cổng phải cho phép để agent kết nối với manager Nhiệm vụ quan trọng server phân tích log nhận từ agent hay agentless (gọi chung client) xuất cảnh báo Các cảnh báo xuất cho các công cụ xử lý log Logstash, Elasticsearch để hiển thị cho người quản trị Kibana, lưu trữ sở liệu OSSEC AGENT Agent (đầy đủ installable agent) chương trình nhỏ, tập hợp chương trình, cài đặt hệ thống giám sát Agent thu thập thông tin gửi cho manager để phân tích so sánh Một số thông tin thu thập thời gian thực, thông tin khác theo định kỳ Các module chức agent là: giám sát host, kiểm tra tính tồn vẹn file máy host mà cài, phát rootkit máy host, đọc log gửi log cho server Agentless tính hỗ trợ cho thiết bị không cài đặt agent theo cách bình thường router, switch, tường lửa Nó có chức agent Agentless kết nối để gửi thông điệp, log cho manager phương thức RPC 1.4 Luật tạo luật OSSEC Luật (rules) phần vô quan trọng hệ thống OSSEC, cốt lõi việc đảm bảo hệ thống OSSEC có hoạt động theo quy trình, xác hiệu hay khơng Rules có định dạng XML, cấu hình ossec server /var/ossec/etc/ossec.config nằm thẻ Rules lưu /var/ossec/rules OSSEC có 16 cấp độ luật: 00 - Ignored: Khơng thực hành động Khi gặp luật có cấp độ khơng có thơng báo Các luật quét trước tất luật khác Chúng bao gồm kiện khơng có liên quan bảo mật 01 - None (không) 02 - System low priority notification (hệ thống thông báo ưu tiên thấp): Thông báo hệ thống thông báo trạng thái Không có liên quan bảo mật 03 - Successful/Authorized events (sự kiện thành công/được ủy quyền): Bao gồm lần đăng nhập thành công, tường lửa cho phép kiện, v.v 04 - System low priority error (lỗi ưu tiên hệ thống thấp): Các lỗi liên quan đến cấu hình thiết bị/ứng dụng khơng sử dụng Chúng khơng có liên quan bảo mật thường gây cài đặt mặc định kiểm thử phần mềm 05 - User generated error (lỗi người dùng tạo): Chúng bao gồm mật bị bỏ lỡ, hành động bị từ chối, v.v Chính chúng khơng có liên quan bảo mật 06 - Low relevance attack (tấn công mức độ liên quan thấp): Chứng sâu virus không ảnh hưởng đến hệ thống (như mã màu đỏ cho máy chủ apache, vv) Chúng bao gồm kiện IDS thường xuyên lỗi thường xuyên 07 - “Bad word” matching (kết hợp “Từ xấu”): Chúng bao gồm từ "bad", "error", v.v Những kiện khơng phân loại có số mức độ liên quan bảo mật 08 - First time seen (lần nhìn thấy): Bao gồm kiện lần xem Lần kiện IDS kích hoạt lần người dùng đăng nhập Nếu bạn bắt đầu sử dụng OSSEC HIDS, thông báo thường xuyên Sau thời gian giảm dần, Nó bao gồm hành động bảo mật có liên quan (như bắt đầu sniffer) 09 - Error from invalid source (lỗi từ nguồn không hợp lệ): Bao gồm lần đăng nhập dạng người dùng không xác định từ nguồn không hợp lệ Có thể có liên quan bảo mật (đặc biệt lặp lại) Chúng bao gồm lỗi liên quan đến tài khoản "quản trị" (root) 10 - Multiple user generated errors (tập hợp lỗi người dùng tạo): Chúng bao gồm nhiều mật không hợp lệ, nhiều lần đăng nhập không thành công, v.v Họ cơng người dùng vừa qn thơng tin đăng nhập 11 - Integrity checking warning (cảnh báo kiểm tra tính tồn vẹn): Chúng bao gồm thông báo liên quan đến việc sửa đổi tệp nhị phân diện rootkit (bằng kiểm tra root) Nếu bạn cần sửa đổi cấu hình hệ thống bạn, bạn báo thơng báo "syscheck" Nó công thành công Cũng bao gồm kiện IDS bị bỏ qua (số lần lặp lại cao) 12 - High importance event (sự kiện quan trọng cao): Chúng bao gồm thông báo lỗi cảnh báo từ hệ thống, hạt nhân, v.v Chúng công chống lại ứng dụng cụ thể 13 - Unusual error (high importance) - Lỗi bất thường (mức độ quan trọng cao): Hầu hết lần khớp với kiểu công chung 14 - High importance security event (sự kiện bảo mật quan trọng cao): Hầu hết thời gian thực với tương quan công 15 - Severe attack (tấn công nghiêm trọng): Cần ý 1.5 Phân loại luật Trong OSSEC, luật chia thành loại: Luật nguyên tố luật kết hợp: - Luật nguyên tố - luật xử lý kiện: cảnh báo, thông báo hay hành động ứng phó xuất có kiện thỏa mãn Ví dụ: Bao nhiêu lần đăng nhập thất bại xuất nhiêu lần thông báo - Luật kết hợp – xử lý nhiều kiện lúc luật: Có thể sử dụng với thẻ Frequency Time Frame để xử lý kiện diễn nhiều lần II Cài đặt OSSEC 2.1 Cài đặt OSSEC server: Chú ý: Một điều cần lưu ý cài đặt OSSEC hệ điều hành windows hỗ trợ cài đặt ossec agent, khơng hỗ trợ cài đặt ossec server OSSEC server hỗ trợ cài đặt hệ điều hành hệ Linux/Unix Cài đặt hệ điều hành Linux phần mềm ảo hóa Vmware Tải gói cài đặt OSSEC tại: https://www.ossec.net/downloads.html Sau chọn server để cài đặt Đến cài đặt xong ossec server Toàn liệu cài đặt lưu /var/ossec Để kiểm tra hoạt động OSSEC, sử dụng câu lệnh: /var/ossec/bin/ossec-control start Trước chuyển cài đặt ossec agent client, cần đảm bảo mở cổng 1514 514 2.2 Cài đặt OSSEC agent: Cài đặt agent hệ điều hành UNIX tương tự cài đặt server, thay đổi server thành agent Cũng tương tự server cần mở port UDP 1514, 514 agent Cài đặt hệ điều hành windows Cài đặt hệ điều hành windows phần mềm ảo hóa Vmware Tải gói cài đặt OSSEC tại: https://www.ossec.net/downloads.html Tiến hành cài đặt bình thường: 2.3 Thêm Agent vào Server: Để OSSEC Server OSSEC Agent giao tiếp với nhau, phía agent cần xác minh với OSSEC Server Traffic OSSEC Server OSSEC Agent mã hóa sử dụng khóa bí mật phía server sinh, sau imported cho agent Quy trình: Chạy manage agent máy chủ OSSEC Thêm agent - Tên - Địa IP - Sau đó, yêu cầu ID để gán cho máy khách Giải nén khóa cho agent Nhập địa IP Sao chép key nhập vào máy OSSEC Agent Khởi động lại quy trình OSSEC manager Khởi động agent Chạy OSSEC với quyền Administrator Kiểm tra kết nối agent server: Cài đặt win máy server: Kiểm tra trang web: localhost/ossec-wui/ Như Ossec server khởi chạy III Cấu hình OSSEC Cấu hình cho OSSEC chủ yếu tổ chức ossec.conf Nó viết XML lỏng lẻo bao gồm số phần Chúng ta tìm hiểu cụ thể Cấu hình tập trung (agent.conf) 3.1 Giới thiệu: Các tác nhân định cấu hình từ xa cách sử dụng agent.conf tệp Note: Khi thiết lập lệnh từ xa cấu hình tác nhân chia sẻ, bạn phải bật lệnh từ xa cho Mơ-đun tác nhân Điều kích hoạt cách thêm dòng sau vào /var/ossec/etc/local_internal_options.conf tệp tác nhân: wazuh command remote commands=1 Angent Group: Các tác nhân nhóm lại với để gửi cho họ cấu hình tập trung dành riêng cho nhóm Mỗi tác nhân thuộc nhiều 10 nhóm trừ định cấu hình khác, tất tác nhân thuộc nhóm gọi default Người quản lý đẩy tất tệp có thư mục nhóm đến tác nhân thuộc nhóm Ví dụ: tất tệp /var/ossec/etc/shared/default đẩy đến tất tác nhân thuộc default nhóm Tệp ar.conf (trạng thái phản hồi hoạt động) gửi đến tác nhân khơng có thư mục nhóm Tác nhân lưu trữ tệp chia sẻ /var/ossec/etc/shared, thư mục nhóm Agent.conf: Chỉ agent.conf hợp lệ cài đặt máy chủ Có agent.conf thể tồn thư mục nhóm /var/ossec/etc/shared Ví dụ, group nhóm, /var/ossec/etc/shared/group1 Mỗi tệp phải wazuh người dùng đọc Options: Name: Cho phép gán khối cho tác nhân cụ thể Giá trị phép Bất kỳ tên đại lý Os: Cho phép gán khối cho hệ điều hành Giá trị phép Bất kỳ hệ điều hành Profile: Cho phép gán tên hồ sơ cho khối Bất kỳ tác nhân định cấu hình để sử dụng cấu hình xác định sử dụng khối Giá trị phép Bất kỳ hồ sơ xác định 3.2 Quy trình cấu hình tập trung Sau ví dụ cách cấu hình tập trung thực Định cấu hình agent.conf tệp: Chỉnh sửa tệp tương ứng với nhóm tác nhân Ví dụ: default nhóm, chỉnh sửa tệp /var/ossec/etc/shared/default/agent.conf Nếu tệp không tồn tại, tạo 11 Chạy /var/ossec/bin/verify-agent-conf: Mỗi lần bạn thực thay đổi agent.conf tệp, điều quan trọng phải kiểm tra lỗi cấu hình Nếu lỗi báo cáo kiểm tra này, chúng phải sửa trước thực bước Việc khơng thực bước cho phép lỗi đẩy đến tác nhân, điều ngăn tác nhân chạy Khi đó, bạn buộc phải đến đại lý theo cách thủ công để khôi phục chúng Đẩy cấu hình cho tác nhân: Với lưu giữ tác nhân (mặc định 10 giây), tác nhân gửi cho người quản lý tổng kiểm tra tệp merge.md người quản lý so sánh với tệp Nếu tổng kiểm tra nhận khác với tổng kiểm tra có sẵn, trình quản lý Wazuh đẩy tệp đến tác nhân Tác nhân bắt đầu sử dụng cấu hình sau khởi động lại Xác nhận tác nhân nhận cấu hình: Cơng agent_groupscụ điểm cuối API Wazuh GET / agent / {agent_id} / group / is_sync cho biết liệu nhóm có đồng hóa tác nhân hay khơng Khởi động lại đại lý: Theo mặc định, tác nhân tự động khởi động lại nhận cấu hình chia sẻ Nếu auto_restart bị vô hiệu hóa (trong phần Cấu hình cục bộ), tác nhân phải khởi động lại theo cách thủ công để agent.conf tệp sử dụng Để sử dụng tính này, cần đặt tệp có tên files.yml thư mục /var/ossec/etc/shared/ Khi trình quản lý khởi động, đọc phân tích cú pháp tệp IV Tạo luật OSSEC: Trước bắt đầu viết quy tắc nên biết số quy tắc cần tuân thủ: 1: Khi viết quy tắc tùy chỉnh không sửa đổi tệp quy tắc có thư mục /var/ossec/rules ngoại trừ local rules xml Những thay đổi 12 quy tắc sửa đổi hành vi toàn chuỗi quy tắc làm phức tạp thêm việc khắc phục cố 2: Khi viết quy tắc tùy chỉnh sử dụng ID 100000 làm ID bên dung riêng Việc can thiệp vào ID giống việc can thiệp vào tệp quy tắc phân phối Bạn có nguy cập nhật OSSEC làm tắc nghẽn cơng việc khó khăn bạn 3: Duy trì trật tự quy tắc bạn Khi trình phân tích cú pháp quy tắc tải quy tắc khởi động, xác nhận tồn quy tắc nhóm tham chiếu Nếu bạn tham chiếu đến quy tắc chưa tải, trình phân tích cú pháp thành cơng Lưu ý ba nguyên tắc giúp đảm bảo cài đặt không bị hư hỏng nâng cấp ln quay lai OSSEC cách xóa local_rules.xml Để tìm bước đầu tiên, cần tìm hiểu điều xảy để tạo cảnh báo: - Sử dụng ossec – logtest cơng cụ ossec cung cấp Nó hoạt động cách chấp nhận thông báo nhật ký STDIN (đầu vào thiết bị đầu cuối bạn) giải thích đường dẫn thông qua quy tắc Đây cách chạy nó: $ sudo /var/ossec/bin/ossec-logtest - Sau dán vào dịng nhật ký để xem dòng tạo cảnh báo: Ossec – testrule: Type one log per line May 19:12:03 server custom-app: Startup initiated ** Phase 1: Completed pre-decoding Full event: ‘May 19:12:03 server custom-app: Startup initiated.’ Hostname: ‘server’ Program_name: ‘custom-app’ Log: ‘Startup initiated’ ** Phase 2: Completed decoding No decoder matched 13 - Thông báo log hồn thành việc phân tích cú pháp dịng khơng có cảnh báo tạo, VÌ thử thông báo log tiếp theo: ** Phase 1: Completed pre-decoding Full event: ‘May during startup!’ 19:12:07 server custom-app: No error detected Hostname: ‘server’ Program_name: ‘custom-app’ Log: ‘No error detected during startup!’ ** Phase 2: Completed decoding No decoder matched ** Phase 3: Completed filtering (rules) Rule id: ‘1002’ Lever: ‘2’ Description: ‘Unknown problem somewhere in the system.’ ** Alert to be generated - Chúng ta thấy từ kết vấn đề chưa biết tạo dòng log Chúng ta nhận ID quy tắc cấp độ tạo sử dụng thông tin này, viết quy tắc để bỏ qua no cách sử dụng OSSEC level =’0’ 1002< /if_sid> custom-app< /program_name> Ignore errors for custom- app 14 - Khi lưu local rules xml tệp khỏi động lại osseclogtest thử lại **Phase 3: Completed filtering(rules) Rule id: ‘100000’ Level: ‘0’ Description: ‘Ignore unknown errors for custom-app’ - Bây chuyển kiện lên cấp độ 0, xem xét kiện đăng nhập không thành công: May 419:12:08 server custom-app: Failed login from ‘4,5,6,7’ as testuser’ ** Phase 3: Completed filtering (rules) Rule id: ‘2501’ Level: ‘5’ Description: ‘User authentication failure.’ ** Alert to be generated - Chúng ta sử dụng đối sánh đơn giản với liệu để tắt thông báo khỏi 4.5.6.7 < if_sid> 2501 < program_name>custom-app 4.5.6.7 Ignore failed logins from scanner - Bây chạy lại ossec-logtest thấy: May 19:12:08 server custom-app Failed login from ‘4.5.6.7’ as testuser’ ** Phase 3: Completed filtering (rules) Rule id: ‘100001’ Level: ‘1’ 15 Description: ‘Ignore failed logins from our security scanner’ ** Alert to be generated V Xây dựng kịch 5.1 Phát công vét cạn SSH (Brute Force Attack) - SSH (Secure Socket Shell) giao thức đăng nhập vào máy tính từ xa thơng qua chế dịng lệnh mã hóa, cho phép người dùng kiểm soát, chỉnh sửa quản trị liệu máy tính qua tảng Internet - Brute Force Attack phương thức công cách sử dụng tổ hợp mật mà sử dụng người dùng để tiến hành đăng nhập liên tục vào hệ thống, mật người dùng mật dễ đoán brute force attack hồn tồn lấy mật người dùng - Việc phát cảnh báo công SSH brute-force bật mặc định OSSEC - OSSEC sử dụng SSHD log lỗi đăng nhập để đưa cảnh báo - Ðoạn code giải mã mặc định OSSEC nằm /var/ossec/etc/decoders.xml - Các luật chọn từ file đường dẫn rules/sshd_rules.xml - Phân tích tương tác giải mã luật để thấy cách thức hoạt động: - Trước hết, tiền giải mã trích xuất từ thơng báo lỗi tên chương trình, tên host, thời gian Sau chuyển qua giải mã để thêm nội dung chi tiết cho cảnh báo - Các luật đối chiếu luật phù hợp thêm vào nội dung alert Nếu có hành động thực cho kiện (email, log, active response), hành động xử lý Các chi tiết kiện sau phân loại máy chủ OSSEC phục vụ cho việc thống kê báo cáo - Ta xét ví dụ sau: Ta có thông báo: -May 15:38:40 ether sshd [5857]: Failed password for root from 220.161.148.178 port 41037 ssh2‖ 16 Sau tiền giải mã trích xuất liệu, giải mã xử lí thơng báo sau: Bộ giải mã sshd khớp thuộc tính program_name với giá trị sshd xuất log Bộ giải mã ssh-invfailed tìm kiếm từ khóa Failed … for invalid user khơng thành cơng, giải mã khơng khớp Bộ giải mã ssh-failed hợp lệ log có từ khóa Failed Sau giải mã thu xâu: root from 220.161.148.178 port 41037 ssh2 Thuộc tính regex trích xuất thu thơng tin:‘root’ , ‘220.161.148.178’ Thuộc tính order cho biết user source ip tương ứng Thông báo chuyển tới rule engine để phân tích lúc giải mã lấy liệu Luật 5720 có thuộc tính frequency đặt thành 6, thuộc tính if_matched_sid kiểm tra phút luật 5716 kích hoạt 6 lần (đạt tới giá trị luật 5720) cảnh báo viết lại Các bước quan trọng thay rule_id, level group thêm vào 17 5.2 Kiểm tra tính tồn vẹn file (FIM- File Integrity Monitoring): Syscheck: tên q trình kiểm tra tính tồn vẹn OSSEC Nó chạy định kỳ để kiểm tra xem có tệp cấu hình (hoặc Windows Registry) thay đổi hay khơng - Kiểm tra tính tồn vẹn: Các công không nhắm đến mật người dùng, mà nhắm tới hệ thống Các công vào hệ thống thường để lại dấu vết file thay đổi, xóa, sửa Việc giám sát tính tồn vẹn nội dung tệp có bị thay đổi kích thước, thời gian sửa đổi tạo, quyền sở hữu, quyền tệp - Cách thức hoạt động: Khi file tạo, syscheck phát tệp sử dụng thuộc tính file làm sở Khi file xuất thuộc tính khác với thuộc tính sở xuất cảnh báo Ngồi cấu hình để OSSEC cảnh báo file tạo Agent quét hệ thống vài lần (do người dùng xác định) gửi tất checksums đến máy chủ Máy chủ lưu trữ checksums kiểm tra xem chúng có bị sửa đổi khơng Sẽ có cảnh báo có điều thay đổi 5.3 Phát rootkit điểm bất thường Rootkit phần mềm công cụ phần mềm che giấu tồn phần mềm khác mà thường virus xâm nhập vào hệ thống máy tính Rootkit thường hacker dùng sau chiếm quyền truy cập vào hệ thống máy tính Nó che dấu liệu hệ thống, tập tin tiến trình chạy, từ hacker vào hệ thống máy tính mà khơng thể biết Một máy tính bị cài rootkit gọi bị “chiếm quyền root” Thuật ngữ “rootkit” lúc đầu dùng cho hệ thống dùng cơng cụ Unix, che dấu kỹ lưỡng vết tích kẻ xâm nhập cho dù dùng lệnh “ps”, “netstat”, “w” and “passwd” để kiểm tra, cho phép kẻ xâm nhập trì quyền “root” hệ thống, chí người quản trị hệ thống thấy họ Ngày thuật ngữ dùng cho Microsoft Windows xuất công cụ tương tự Trojan loại mã phần mềm độc hại ẩn lớp vỏ phần mềm hợp pháp Một Trojan thiết kế để làm hỏng, phá hoại, đánh cắp nói chung gây số hành động gây hại khác liệu mạng Rootcheck: OSSEC HIDS thực phát rootkit hệ thống mà agent cài đặt Rootcheck (công cụ phát rootkit) thực thi sau 18 X phút lần (do người dùng định - mặc định giờ) để phát rootkit cài đặt Khi rootcheck kết hợp việc phân tích log cơng cụ kiểm tra tính tồn vẹn trở thành giải pháp giám sát mạnh mẽ - File rootkit_trojans.txt chứa sở liệu dấu hiệu tệp bị trojan rootkits Kỹ thuật sửa đổi mã nhị phân với phiên trojaned thường sử dụng hầu hết rootkit phổ biến có Phương pháp phát khơng tìm thấy rootkit cấp kernel rootkit chưa ghi nhận - Quét thư mục /dev để tìm điểm bất thường Thư mục /dev nên có tệp thiết bị tập lệnh Makedev Nhiều rootkit sử dụng /dev để ẩn tệp Kỹ thuật phát rootkit khơng cơng khai - Qt tồn hệ thống tệp để tìm tệp bất thường vấn đề quyền Các tệp thuộc quyền sở hữu người dùng root cấp quyền ghi cho user khác nguy hiểm việc phát rootkit phát điều Các tệp Suid, thư mục ẩn tệp khác rà soát - Quét tiến trình ẩn Sử dụng getid() kill() để kiểm tra xem có pid sử dụng hay không Nếu pid sử dụng, "ps" khơng thể thấy nó, dấu hiệu rootkit cấp kernel phiên "ps" bị trojan Chúng ta cần đảm bảo output kill getid - Rà soát port ẩn Ta sử dụng bind() để kiểm tra tất cổng tcp udp hệ thống Nếu ta kết nối đến cổng (cổng sử dụng), netstat khơng hiển thị nó, rootkit cài đặt - Quét tất loại giao tiếp mạng hệ thống tìm kiếm loại bật chế độ "promisc" Nếu chế độ promisc, output ifconfig hiển thị Nếu khơng, có rootkit cài đặt VI Tài liệu tham khảo: https://documentation.wazuh.com/current/user-manual/reference/centralizedconfiguration.html https://subscription.packtpub.com/book/networking-andservers/9781782167648/1/ch01lvl1sec12/detecting-ssh-brute-force-attacksintermediate https://subscription.packtpub.com/book/networking-andservers/9781782167648/1/ch01lvl1sec14/file-integrity-monitoring-simple 19 20 ... luật OSSEC OSSEC cài đặt Windows với tư cách agent 1.2 Các tính bật OSSEC là: + Theo dõi phân tích log: OSSEC thu nhập log theo thời gian thực từ nhiều nguồn khác để phân tích đưa cảnh báo OSSEC. .. khai thác 1.3 Kiến trúc hệ thống ossec OSSEC thiết kế theo mơ hình client – server, gồm thành phần OSSEC server OSSEC agent OSSEC SEVER Đây phần trung tâm quan trọng OSSEC Server nơi lưu trữ liệu... OSSEC tại: https://www .ossec. net/downloads.html Sau chọn server để cài đặt Đến cài đặt xong ossec server Toàn liệu cài đặt lưu /var /ossec Để kiểm tra hoạt động OSSEC, sử dụng câu lệnh: /var /ossec/ bin /ossec- control