Đang tải... (xem toàn văn)
Untitled N G U Y ỄN Đ Ứ C TH Ư Ở N G HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG NGUYỄN ĐỨC THƯỞNG H Ệ TH Ố N G TH Ô N G T IN NGHIÊN CỨU PHÁT HIỆN TIẾN TRÌNH BẤT THƯỜNG TRÊN MÁY TRẠM SỬ DỤNG RULE SIGMA LU[.]
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - NGUYỄN ĐỨC THƯỞNG NGUYỄN ĐỨC THƯỞNG NGHIÊN CỨU PHÁT HIỆN TIẾN TRÌNH BẤT THƯỜNG TRÊN MÁY HỆ THỐNG THÔNG TIN TRẠM SỬ DỤNG RULE SIGMA LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng) 2020 – 2022 HÀ NỘI – NĂM 2021 HÀ NỘI - NĂM 2022 HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THƠNG - NGUYỄN ĐỨC THƯỞNG NGHIÊN CỨU PHÁT HIỆN TIẾN TRÌNH BẤT THƯỜNG TRÊN MÁY TRẠM SỬ DỤNG RULE SIGMA Chuyên ngành: HỆ THỐNG THÔNG TIN Mã số: 8.48.01.04 LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng) NGƯỜI HƯỚNG DẪN KHOA HỌC : TS ĐỖ XUÂN CHỢ HÀ NỘI - NĂM 2022 i LỜI CAM ĐOAN Tôi cam đoan luận văn đề tài “Nghiên cứu phát tiến trình bất thường máy trạm sử dụng Rule Sigma” cơng trình nghiên cứu riêng Các số liệu, kết nêu luận văn trung thực chưa công bố cơng trình khác Tác giả luận văn Nguyễn Đức Thưởng ii LỜI CẢM ƠN Trong suốt q trình học tập hồn thành luận văn tốt nghiệp, nhận nhiều giúp đỡ, động viên từ thầy cơ, gia đình bạn bè Tôi xin chân thành cảm ơn giúp đỡ Trước hết xin bày tỏ cảm ơn đặc biệt tới TS Đỗ Xuân Chợ, người định hướng cho việc lựa chọn đề tài, đưa nhận xét quý giá trực tiếp hướng dẫn tơi suốt q trình nghiên cứu hồn thành luận văn tốt nghiệp Tôi xin gửi lời cảm ơn chân thành, cảm ơn tất thầy cô giáo Học viện Cơng nghệ Bưu Viễn thơng giảng dạy dìu dắt tơi trong suốt q trình học tập trường Tơi xin gửi lời cảm ơn tới gia đình bạn bè, người bên cạnh động viên, ủng hộ, tạo điều kiện cho tơi hồn thành khóa luận iii MỤC LỤC LỜI CAM ĐOAN i LỜI CẢM ƠN ii MỤC LỤC iii DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT v DANH MỤC CÁC BẢNG .vi DANH MỤC CÁC HÌNH vii MỞ ĐẦU .1 CHƯƠNG 1: TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN BẤT THƯỜNG TRÊN MÁY TRẠM .4 1.1 Tổng quan hệ thống Endpoint Detection & Response (EDR) 1.1.1 Khái niệm hệ thống EDR 1.1.2 EDR hoạt động nào? .4 1.1.3 Ưu điểm EDR .5 1.1.4 So sánh EDR với Internet Security .5 1.2 Một số hệ thống EDR 1.2.1 Giải pháp EDR Apexone Trend Micro 1.2.2 Giải pháp Veramine Endpoint Detection and Response 12 1.2.3 Giải pháp Cortex XDR Palo Alto 19 1.3 Kết luận chương 23 CHƯƠNG 2: NGHIÊN CỨU PHƯƠNG PHÁP PHÁT HIỆN TIẾN TRÌNH BẤT THƯỜNG SỬ DỤNG RULE SIGMA .23 2.1 Tổng quan mã độc 23 2.1.1 Khái niệm mã độc .23 2.1.2 Phân loại đặc tính mã độc 24 2.2 Giới thiệu tiến trình 27 2.2.1 Tiến trình 27 2.2.2 Các trạng thái tiến trình 28 2.2.3 Thông tin mô tả tiến trình 29 2.3 Giới thiệu System Monitor (Sysmon) .30 2.3.1 Sysmon 30 2.3.2 Tính Sysmon 30 2.3.3 Sử dụng Sysmon 31 2.4 Tổng quan Splunk .39 2.4.1 Giải pháp Splunk 39 iv 2.4.2 Các tính Splunk 39 2.4.3 Kiến trúc Splunk 40 2.4.4 Đánh giá Splunk .42 2.5 Tổng quan Rule Sigma phương pháp phát tiến trình bất thường sử dụng Rule Sigma 43 2.5.1 Giới thiệu Sigma 43 2.5.2 Các thành phần Sigma .44 2.5.3 Tạo quy tắc Sigma sử dụng quy tắc Sigma 50 2.5.4 Phương pháp phát tiến trình bất thường sử dụng Rule Sigma 51 2.5.5 Ưu điểm, nhược điểm Rule Sigma .54 2.6 Kết luận chương 55 CHƯƠNG 3: THỰC NGHIỆM VÀ ĐÁNH GIÁ 55 3.1 Cài đặt hệ thống thử nghiệm phát bất thường 55 3.1.1 Cài đặt máy chủ Splunk (ip 192.168.1.57) .56 3.1.2 Cài đặt máy người dùng 58 3.2 Thực nghiệm hệ thống phát bất thường 61 3.2.1 Kịch (phát mã độc LokiBot Trojan) 61 3.2.2 Kịch (phát mã độc Ryuk Ransomware) 64 3.3 Nhận xét, đánh giá 68 3.4 Kết luận chương 68 KẾT LUẬN .68 DANH MỤC CÁC TÀI LIỆU THAM KHẢO 69 v DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT Viết tắt Tiếng Anh Tiếng Việt EDR Endpoint detection & Response Hệ thống phát phản hồi mối nguy hại điểm cuối VEDR Veramine Endpoint Detection and Response Giải pháp phát phản hồi điểm cuối Veramine Process ID Số nguyên xác định định danh tiến trình YAML Ain’t Markup Language Là định dạng dũ liệu trung gian thiết kế để người dùng ngôn ngữ lập trình hiểu Transmission Control Protocol Giao thức điều khiển truyền vận Central Processing Unit Bộ xử lý trung tâm máy tính CPU xử lý tất lệnh mà nhận từ phần cứng phần mềm chạy máy tính PID YAML TCP CPU vi DANH MỤC CÁC BẢNG Bảng 1.1: So sánh EDR với Internet Security Bảng 2.1: Các câu lệnh Sysmon 32 Bảng 2.2: Thông tin chi tiết tùy chọn cấu hình Sysmon 32 Bảng 2.3: Các thành phần Rule Sigma 44 Bảng 2.4: Bảng thông số quy tắc Sigma 51 Bảng 2.6: Kiến trúc quy tắc sigma 51 Bảng 2.7: Thuật toán 1: detection_operator 53 Bảng 2.8: Thuật toán 2: selection_operator 53 Bảng 2.9: Thuật toán 3: selection_operator 54 Bảng 2.10: Thuật toán 4: simple_operator function 54 Bảng 3.1: Cấu hình file inputs.conf 59 Bảng 3.2: Cấu hình file outputs.conf 60 Bảng 3.3: Thông tin mã độc LokiBot Trojan 61 Bảng 3.4: Rule Sigma phát mã độc LokiBot Trojan 61 Bảng 3.5: Thông tin mã độc Ryuk Ransomware 64 Bảng 3.6: Rule Sigma phát mã độc Ryuk Ransomware 65 vii DANH MỤC CÁC HÌNH Hình 1.1: Hình minh họa vịng đời mối đe dọa Hình 1.2: Lưới bảo vệ mức entry point Hình 1.3: Lưới bảo vệ ApexOne tiền thực thi Hình 1.4: Lưới bảo vệ ApexOne giai đoạn thực thi Hình 1.5: Lưới bảo vệ ApexOne giai đoạn liệu ngồi 10 Hình 1.6: ApexOne Root cause chain 12 Hình 1.7: Mơ hình tổng quan VEDR 13 Hình 1.8: Hình minh họa kiện thu thập 14 Hình 1.9: Ví dụ VEDR nhận diện mối đe dọa 16 Hình 1.10: Chi tiết tiến trình 17 Hình 1.11: Các lựa chọn phản hồi 18 Hình 1.12: Hành động với tệp 18 Hình 1.13: Cortex XDR chặn cơng điểm cuối 20 Hình 1.14: Cortex XDR giúp điều tra ứng phó cố 21 Hình 1.15: Mơ hình tổng quan Cortex XDR 22 Hình 2.1: Các trạng thái tiến trình 29 Hình 2.2: Cấu trúc Process Control Block 30 Hình 2.3: Thơng tin liệu nhật ký Sysmon thu thập 33 Hình 2.4: Thơng tin lưu trữ Event log 34 Hình 2.5: Thơng tin kiện Windows Sysmon thu thập 37 Hình 2.6: Thơng tin kiện Sysmon thu thập 38 Hình 2.7: Mơ hình kiến trúc Splunk 40 Hình 2.8: Các thành phần Splunk 41 Hình 3.1: Giao diện web Splunk server 58 Hình 3.2: Cấu hình cổng nhận liệu Splunk 58 Hình 3.3: Event Windows Sysmon thu thập 59 Hình 3.4: Sigmac chuyển quy tắc Sigma LokiBot thành truy vấn 62 Hình 3.5: Công cụ https://uncoder.io/ để chuyển đổi quy tắc Sigma 63 Hình 3.6: Phát event log mã độc LokiBot Trojan 63 Hình 3.7: Thơng tin chi tiết Event log mã độc LokiBot Trojan 64 Hình 3.8: Phát event log mã độc Ryuk Ransomware 66 Hình 3.9: File bị mã hóa máy người dùng 67 Hình 3.10: Thông tin chi tiết Event log mã độc Ryuk Ransomware 67 MỞ ĐẦU Lý chọn đề tài: Thế giới chạy đua Cuộc cách mạng 4.0, dựa tảng cơng nghệ cốt lõi, có tính đột phá như: trí tuệ nhân tạo (AI), Internet vạn vật (IoT), liệu lớn (Big Data) tạo bước nhảy vọt hiệu sản xuất, tính chất ứng dụng phát triển kinh tế - xã hội, làm thay đổi diện mạo nhiều quốc gia, dân tộc mang lại thành tựu vượt bậc cho nhân loại Tuy nhiên song hành với lợi ích to lớn khơng thể phủ nhận đó, cộng đồng quốc tế phải đối mặt ngày lớn với thách thức an ninh phi truyền thống từ khơng gian mạng, thách thức vụ công mạng xuất thường xuyên hơn, loại mã độc ngày nguy hiểm tinh vi [1], [2] gây hậu nặng nề cho người dùng máy tính, đặc biệt doanh nghiệp, tổ chức mối nguy lớn thông tin quan trọng, nhạy cảm tổ chức bị mát, lộ lọt Vì cơng tác đảm bảo an ninh, an tồn hệ thống thông tin phải quan tâm đặt lên hàng đầu Ngày kỹ thuật tội phạm mạng ngày cao tinh vi vượt qua hệ thống phịng thủ truyền thống (Anti Virus) dựa vào mẫu biết (signature) hay số hành vi đặc trưng cụ thể, từ âm thầm thực hành vi nguy hiểm chiếm quyền điều khiển, đánh cắp liệu hay mã hóa địi tiền chuộc, Vì tổ chức, doanh nghiệp cần giải pháp có khả phát phản hồi điểm cuối (Endpoint detection & Response- EDR) [3], [7], [8], [9] giải pháp liên tục theo dõi, rà soát mối đe dọa hệ thống mạng để cung cấp cho người quản trị hệ thống kịp thời phát phản ứng cố Ngồi ra, theo thống kê xu công mạng thông qua người dùng cuối (Enduser) hệ thống mạng kẻ cơng sử dụng nhiều lợi dụng vào điểm yếu người dùng Chính vậy, vấn đề phát công thông qua người dùng cuối cần thiết Do đó, học viên lựa chọn đề tài “Nghiên cứu phát tiến trình bất thường máy trạm sử dụng Rule Sigma” 56 Máy người dùng (Windows 10): cài đặt công cụ thu thập tiến trình Sysmon, cơng cụ đẩy event log Windows “SplunkForwarder” 3.1.1 Cài đặt máy chủ Splunk (ip 192.168.1.57) - Cài đặt Rule Sigma Centos + Ta thực update cho Centos 7: yum update –y + Cài đặt số công cụ (Nano, Git): sudo yum install epel-release nano –y sudo yum makecache yum -y install epel-release sudo yum -y install git Ta kiểm tra git có hoạt động hay khơng lệnh: git –version + Cài đặt Python 3.8: yum -y groupinstall "Development Tools" yum -y install openssl-devel bzip2-devel libffi-devel yum -y install wget cd /opt wget https://www.python.org/ftp/python/3.8.2/Python-3.8.2.tgz tar xvf Python-3.8.2.tgz cd Python-3.8*/ /configure enable-optimizations make altinstall Để xác nhận việc cài đặt thành công ta sử dụng lệnh sau: python3.8 –version Thiết lập Python làm mặc định Ta mở chỉnh sửa file bash_profile lên câu lệnh nano ~/.bash_profile alias python='/usr/local/bin/python3.8' alias pip='/usr/local/bin/pip3.8' Tải lại bash_profile lệnh source ~/.bash_profile 57 + Cài đặt Rule Sigma Tải Sigma từ thư viện github câu lệnh: git clone https://github.com/SigmaHQ/sigma.git Cài đặt Sigmac câu lệnh: cd sigma cd tools python setup.py install Sau cài đặt công cụ Sigmac ta thử chuyển đổi quy tắc Sigma (có thư mục Rule) thành câu truy vấn Splunk câu lệnh: python sigmac -t splunk -c splunk-windows-index /rules/windows/malware/av_password_dumper.yml Kết câu truy vấn tìm kiếm event log quy tắc Sigma Splunk: (Signature="*DumpCreds*" OR Signature="*Mimikatz*" OR Signature="*PWCrack*" OR Signature="*HTool/WCE*" OR Signature="*PSWtool*" OR Signature="*PWDump*" OR Signature="*SecurityTool*" OR Signature="*PShlSpy*" OR Signature="*Rubeus*" OR Signature="*Kekeo*" OR Signature="*LsassDump*" OR Signature="*Outflank*") | table FileName,User - Cài đặt Splunk Enterprise Centos yum install wget -y Cài đặt Splunk: wget -O splunk-8.0.2.1-f002026bad55-linux-2.6-x86_64.rpm 'https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64 &platform=linux&version=8.0.2.1&product=splunk&filename=splunk-8.0.2.1f002026bad55-linux-2.6-x86_64.rpm&wget=true' rpm -i splunk-8.0.2.1-f002026bad55-linux-2.6-x86_64.rpm /opt/splunk/bin/splunk start accept-license Sau cài đặt xong ta mở firewall để truy cập giao diện web câu lệnh: firewall-cmd add-port=8000/tcp permanent firewall-cmd –reload 58 Truy cập vào server Splunk với tài khoản mật tạo qua đường dẫn sau: http://192.168.1.57:8000 Hình 3.1: Giao diện web Splunk server Cấu hình cổng 9998 nhận liệu giao diện web Hình 3.2: Cấu hình cổng nhận liệu Splunk Mở firewall cho cổng 9998 câu lệnh firewall-cmd add-port=9998/tcp permanent firewall-cmd –reload 3.1.2 Cài đặt máy người dùng Cài đặt cấu hình Sysmon Luận văn thực tải tập tin cài đặt địa chỉ: https://docs.microsoft.com/enus/sysinternals/downloads/Sysmon sử dụng cấu hình cài đặt Sysmon chuyên gia an ninh mạng trung tâm ứng cứu cố Nhật Bản (JPCert) địa chỉ: https://github.com/SwiftOnSecurity/Sysmon-config Cài đặt theo câu lệnh sau: Sysmon –acceptcula –i Sysmonconfig-export.xml 59 Sau cài đặt thành công, ta tiến hành truy cập ứng dụng "Event Viewer" kiểm tra đường dẫn /Microsoft/Windows/Sysmon, máy tính người dùng thực thu thập event thành cơng Hình 3.3: Event Windows Sysmon thu thập Để gửi liệu Sysmon thu thập máy tính người dùng máy chủ Splunk phân tích, luận văn sử dụng cơng cụ "SplunkForwarder" để thực Sau tải cài đặt SplunkForwarder ta thực cấu sau: Cấu hình file inputs.conf cho Splunkforwarder (tại đường dẫn: C:\Program Files\SplunkUniversalForwarder\etc\apps\SplunkUniversalForwarder\local), bảng (để SplunkForwarder đẩy event log dịch vụ sau máy chủ Splunk) Bảng 3.1: Cấu hình file inputs.conf [WinEventLog://Application] checkpointInterval = current_only = disabled = start_from = oldest [WinEventLog://Security] checkpointInterval = current_only = disabled = start_from = oldest 60 [WinEventLog://System] checkpointInterval = current_only = disabled = start_from = oldest [WinEventLog://ForwardedEvents] checkpointInterval = current_only = disabled = start_from = oldest [WinEventLog://Setup] checkpointInterval = current_only = disabled = start_from = oldest [WinEventLog://Microsoft-Windows-Sysmon/Operational] checkpointInterval = current_only = disabled = start_from = oldest Cấu hình file outputs.conf cho Splunkforwarder (tại đường dẫn C:\Program Files\SplunkUniversalForwarder\etc\system\local) bảng (tại khai báo địa IP cổng 9998 máy chủ Splunk để Splunkforwarder gửi event log): Bảng 3.2: Cấu hình file outputs.conf [tcpout] defaultGroup = default-autolb-group [tcpout:default-autolb-group] server = 192.168.1.57:9998 [tcpout-server://192.168.1.57:9998] Sau ta khởi động lại Splunkforwarder, cách mở Command với quyền quản trị viên thực lệnh sau: cd C:\Program Files\SplunkUniversalForwarder\bin splunk restart 61 3.2 Thực nghiệm hệ thống phát bất thường 3.2.1 Kịch (phát mã độc LokiBot Trojan) Mã độc sử dụng để thử nghiệm kịch LokiBot Trojan, mã độc sử dụng phần mềm độc hại Trojan để lấy cắp thông tin nhạy cảm tên người dùng, mật khẩu, ví tiền điện tử thông tin đăng nhập khác, thông tin mã độc bảng Bảng 3.3: Thông tin mã độc LokiBot Trojan Tập tin mã độc PO_ IE5812 JNS4791 - 1809016.bin Hash f9e8d9a81ce701c324ede091e76aa7a3 Định dạng tập tin PO_ IE5812 JNS4791 - 1809016.exe Địa tải mã độc https://app.any.run/tasks/df44e5cb-5a4f-4d56-9602a3a67989d9ec Ta tiến hành thực sau: Bước 1: Trên máy người dùng ta tải thực thi mã độc LokiBot Trojan Bước 2: Trên máy chủ Splunk, ta tải quy tắc Sigma phát mã độc LokiBot Trojan (được tạo Alexandr Yampolskyi, SOC Prime), chi tiết quy tắc Sigma theo bảng đây: Bảng 3.4: Rule Sigma phát mã độc LokiBot Trojan title: LokiBot Trojan Detector (Sysmon) description: LokiBot Trojan Detector author: Alexandr Yampolskyi, SOC Prime references: - https://app.any.run/tasks/df44e5cb-5a4f-4d56-9602-a3a67989d9ec date: 2019/02/04 status: stable logsource: product: windows service: sysmon detection: selection1: 62 EventID: CommandLine: - GET /bobby/ - POST /bobby/Panel/ selection2: EventID: file_hash: - f9e8d9a81ce701c324ede091e76aa7a3 selection3: EventID: 11 TargetObject: - '*F63AAA' condition: selection1 or selection2 or selection3 falsepositives: - Unknown level: high tags: - attack.Execution - attack.t1204 - attack.t1059 Ta sử dụng công cụ Sigmac để chuyển đổi quy tắc Sigma thành câu truy vấn Splunk theo hình Hình 3.4: Sigmac chuyển quy tắc Sigma LokiBot thành truy vấn Ngồi ta sử dụng công cụ https://uncoder.io/ để chuyển đổi quy tắc Sigma thành câu truy vấn Splunk 63 Hình 3.5: Công cụ https://uncoder.io/ để chuyển đổi quy tắc Sigma Bước 3: Sau có câu truy vấn, ta tiến hành tìm kiếm máy chủ Splunk, kết phát event log mã độc LokiBot Trojan hình đây: Hình 3.6: Phát event log mã độc LokiBot Trojan Ta xem chi tiết Event log để biết thêm thông tin liên quan đến mã độc LokiBot Trojan (các thông tin ngày khởi tạo log, image, đường dẫn file chạy mã độc,…): 64 Hình 3.7: Thơng tin chi tiết Event log mã độc LokiBot Trojan Bước 4: Như kịch 1, người quản trị máy chủ phát event log bất thường mã độc LokiBot Trojan máy người dùng cách sử dụng quy tắc Sigma 3.2.2 Kịch (phát mã độc Ryuk Ransomware) Mã độc sử dụng để thử nghiệm kịch thứ Ryuk Ransomware, mã độc tống tiền, lây nhiễm vào máy tính kiểm sốt hệ thống kiểm sốt máy tính u cầu nạn nhân phải trả tiền để khơi phục lại điều khiển với hệ thống, thông tin mã độc bảng Bảng 3.5: Thông tin mã độc Ryuk Ransomware Tập tin mã độc Hash data.zip 8555b213260ba5eda4bf37652cecb431 Định dạng tập tin data.exe Địa tải mã độc https://app.any.run/tasks/941cfa9a-6701-42b9-a41074418fe214c8/ 65 Ta tiến hành thực sau: Bước 1: Trên máy người dùng ta tải thực thi mã độc Ryuk Ransomware Bước 2: Trên máy chủ Splunk, ta tải quy tắc Sigma phát mã độc Ryuk Ransomware (được tạo Alexandr Yampolskyi, SOC Prime), chi tiết quy tắc Sigma theo bảng đây: Bảng 3.6: Rule Sigma phát mã độc Ryuk Ransomware title: Ryuk Ransomware (Sysmon) description: Ryuk Ransomware Detector author: Alexandr Yampolskyi, SOC Prime references: - https://app.any.run/tasks/941cfa9a-6701-42b9-a410-74418fe214c8/ date: 2019/01/03 status: stable logsource: product: windows service: sysmon detection: selection1: EventID: file_hash: - 8555b213260ba5eda4bf37652cecb431 selection2: EventID: CommandLine: '*REG ADD "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run" /v "svchos" /t REG_SZ /d "C:\Users\admin\AppData\Local\*' condition: selection1 or selection2 fields: - Hashes - CommandLine - ParentCommandLine falsepositives: - Unknown level: high tags: - attack.Execution - attack.t1204 - attack.Defense Evasion - attack.t1112 - attack.Impact - attack.t1486 66 Tương tự kịch 1, ta sử dụng công cụ Sigmac để chuyển đổi quy tắc (hoặc dùng công cụ https://uncoder.io/) ta câu truy vấn cho Splunk: (source="WinEventLog:Microsoft-Windows-Sysmon/Operational" source="WinEventLog:*" "8555b213260ba5eda4bf37652cecb431") EventCode="1" OR ((Hashes: (CommandLine="*REG ADD \"HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\ \Run\" /v \"svchos\" /t REG_SZ /d \"C:\\Users\\admin\\AppData\\Local\*"))) Bước 3: Sau có câu truy vấn, ta tiến hành tìm kiếm máy chủ Splunk, kết phát event log mã độc Ryuk Ransomware hình đây: Hình 3.8: Phát event log mã độc Ryuk Ransomware Trên máy người dùng mã độc mã hóa tất file (mã hóa RYK) văn người dùng có thơng tin liên hệ với nhóm tạo mã độc để khơi phục lại hệ thống, hình sau: 67 Hình 3.9: File bị mã hóa máy người dùng Ta xem chi tiết Event log để biết thêm thông tin liên quan đến mã độc Ryuk Ransomware (các thông tin ngày khởi tạo log, image, đường dẫn file chạy mã độc,…): Hình 3.10: Thơng tin chi tiết Event log mã độc Ryuk Ransomware Bước 4: Như kịch 2, người quản trị máy chủ phát event log bất thường mã độc Ryuk Ransomware máy người dùng cách sử dụng quy tắc Sigma 68 3.3 Nhận xét, đánh giá Hiện thư viện luật Rule Sigma xây dựng cho hệ điều hành Windows có khoảng gần 900 Rule Sigma, nhiên trình bày luận văn luật xây dựng dựa hành vi bất thường mã độc loại mã độc Do luật tạo có kịch phát mã độc Chính số loại mã độc chưa nằm luật Rule Sigma Rule Sigma khơng phát 3.4 Kết luận chương Kết thúc chương 3, luận văn thực số nội dung sau: - Cài đặt công cụ giám sát Splunk Enterprise cài đặt Rule Sigma máy chủ Splunk (Centos7) - Cài đặt, cấu hình Sysmon, Splunkforwarder máy người dùng (Windows 10) - Thử nghiệm hệ thống sử dụng Rule Sigma người quản trị phát thành công 02 kịch mã độc LokiBot Trojan Ryuk Ransomware máy người dùng KẾT LUẬN Luận văn nghiên cứu, thực đạt số kết sau: - Nghiên cứu tổng quan hệ thống EDR; - Nghiên cứu số hệ thống phát tiến trình bất thường máy trạm bao gồm: EDR ApexOne Trend Micro, Veramine Endpoint Detection and Response, Cortex XDR Palo Alto - Nghiên cứu tổng quan mã độc, tiến trình, cơng cụ thu thập tiến trình Sysmon hệ điều hành Windows, giải pháp giám sát mạng Splunk; tìm hiểu Rule Sigma phương pháp phát tiến trình bất thường máy người dùng - Nghiên cứu, xây dựng, thử nghiệm đánh giá hệ thống phát tiến trình bất thường máy trạm sử dụng Rule Sigma; Trong tương lai, luận văn tiếp tục nghiên cứu theo hướng sau phát tiến trình bất thường máy trạm hệ thống tự động có phản 69 hồi bất thường cách ly máy bị nhiễm mã độc khỏi hệ thống mạng, thực thi loại bỏ tiến trình bất thường,…, giúp bảo vệ hệ thống mạng kịp thời DANH MỤC CÁC TÀI LIỆU THAM KHẢO [1] Alireza Souri, Rahil Hosseini A state‑of‑the‑art survey of malware detection approaches using data mining techniques (2018) Vol 8, No pp 1-22 https://doi.org/10.1186/s13673-018-0125-x [2] YANFANG YE, TAO LI, DONALD ADJEROH, S SITHARAMA IYENGAR 2017 A survey on malware detection using data mining techniques ACM Comput Surv 50, 3, Article 41 (June 2017), 40 pages DOI: http://dx.doi.org/10.1145/3073559 [3] Endpoint Detection and Response Solutions Markethttps://www.gartner.com/reviews/market/endpoint-detection-and-responsesolutions [Last accessed 26 August 2020] [4] Endpoint Security with Apex One Endpoint security redefined https://www.trendmicro.com/en_us/business/products/userprotection/sps/endpoint.html [Last accessed 26 August 2020] [5] Palo Alto Networks Traps Endpoint (EDR) https://paloaltofirewalls.co.uk/palo-alto-traps-endpoint/ [Last accessed 26 August 2020] [6] Veramine Endpoint Detection and Responsehttps://www.veramine.com/docs/whitepaper_vn [7] VMware Carbon Black EDR - https://www.carbonblack.com/products/edr/ [Last August 26 February 2020] [8] Falcon Insight: EDR -https: //www.crowdstrike com / endpoint-securityproducts / falcon-insight-endpoint-detection-response /[Last accessed 26 August 2020] [9] https://www.malwarebytes.com/business/endpointdetectionresponse/ [Last accessed 26 August 2020] [10] Sysmon v13 https://docs.microsoft.com/enus/sysinternals/downloads/sysmon [Last accessed 26 August 2020] [11] Malware hunting with live access to the heart of an incident https://app.any.run/ [Last accessed 26 August 2020] 70 [12] Neo23x0/sigma https://github.com/Neo23x0/sigma/blob/master/tools/README.md [Last accessed 26 August 2020] [13] "Neo23x0/sigma: Generic Signature Format for SIEM - GitHub." https://github.com/Neo23x0/sigma Accessed 28 Aug 2020 [14] Tactics Enterprise | MITRE ATT&CK " https://attack.mitre.org/tactics/ Accessed 28 Aug 2020 [15] “Sample 5ad401c3 90b7 behavior” https://www.vmray.com/analyses/5ad401c3a568/report/behavior_grouped.html [16] "CAR-2013-04-002: Quick execution of a series of suspicious " 11 Apr 2013, https://car.mitre.org/analytics/CAR-2013-04-002/ Accessed 28 Aug 2020 [17] "Bring data to every question, decision and action across your organization" https://www.splunk.com/ [Last accessed 26 August 2021]