Đang tải... (xem toàn văn)
Trong những năm gần đây, tình hình tội phạm mạng tiếp tục diễn biến phức tạp, khó lường. Nhiều công ty, doanh nghiệp là nạn nhân chính của các cuộc tấn công được tin tặc lựa chọn cẩn thận và nghiên cứu trong nhiều tháng trước khi bị xâm phạm. Thay vì các kiểu tấn công truyền thống, chúng sẽ sử dụng các công nghệ mới và liên tục thay đổi phương thức để tránh bị phát hiện khiến cho việc phòng chống trở nên rất khó khăn. Các cuộc tấn công mạng có quy mô và mức độ lớn gia tăng dẫn đến gây mất mát dữ liệu, thiệt hại về hệ thống và kinh tế cũng như danh tiếng của tổ chức. Một trong các dạng tấn công tiêu biểu, tấn công APT (Advanced Persistent Threat) được xếp hạng trong số những vụ lây nhiễm máy tính khó khăn hiện nay cần xác định và tiêu diệt.Để tránh được những mối đe dọa trên, đặc biệt là tấn công có chủ đích, các tổ chức cần thực hiện một cách tiếp cận toàn diện. Điều này đòi hỏi một giải pháp bảo mật tích hợp, nhiều lớp. Triển khai một hệ thống có thể hoạt động liền mạch nhau là cách tốt nhất để tăng cường bảo mật. Việc xây dựng một hệ thống giám sát, phân tích, xử lý dấu hiệu tấn công có chủ đích trên hệ thống máy tính đầu cuối sẽ đáp ứng được nhu cầu trên. Đồng thời giúp tổ chức theo dõi, phát hiện, ngăn chặn các cuộc tấn công nhằm làm giảm thiệt hại ở mức thấp nhất.Mục tiêu của việc nghiên cứu thực hiện đồ án tốt nghiệp với đề tài “Nghiên cứu giải pháp xây dựng hệ thống giám sát, phân tích, xử lý dấu hiệu tấn công có chủ đích trên hệ thống máy tính đầu cuối” là nhằm xây dựng hệ thống giám sát, phân tích, xử lý dấu hiệu tấn công có chủ đích để giúp nhận biết được dấu hiệu của các mối đe dọa, hoàn thiện hệ thống bảo mật và còn biết chính xác điều gì đã xảy ra, nơi tồn tại các lỗ hổng và cách chuẩn bị tốt hơn cho các mối đe dọa trong tương lai.Các nhiệm vụ đặt ra khi thực hiện đồ án bao gồm:Nghiên cứu về tấn công có chủ đích: đặc điểm, giai đoạn, cách thức, mục tiêu, tác hại.Nghiên cứu giải pháp phòng chống, phương pháp phát hiện các cuộc tấn công APT.Tìm hiểu giải pháp Phát hiện và phản hồi điểm cuối (EDR).Xây dựng hệ thống giám sát, phân tích, xử lý dấu hiện tấn công có chủ đích trên hệ thống máy tính đầu cuối.Cấu trúc:Chương 1. Tổng quan về tấn công có chủ đích (APT)Chương 2. Giải pháp phòng chống các cuộc tấn công có chủ đích (APT)Chương 3. Xây dựng hệ thống giám sát, phát hiện, phân tích xử lý dấu hiệu tấn công có chủ đích cho các máy tính đầu cuối
HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TỒN THƠNG TIN ĐỒ ÁN TỐT NGHIỆP NGHIÊN CỨU GIẢI PHÁP XÂY DỰNG HỆ THỐNG GIÁM SÁT, PHÂN TÍCH, XỬ LÝ DẤU HIỆU TẤN CƠNG CĨ CHỦ ĐÍCH TRÊN HỆ THỐNG MÁY TÍNH ĐẦU CUỐI Ngành: An tồn thơng tin Mã số: 7.48.02.02 Sinh viên thực hiện: Lê Công Sản Lớp: AT15AT Người hướng dẫn: ThS.Trần Thị Thanh Thủy Công ty CP Công Nghệ Đầu tư 3T Hà Nội, 2023 HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TỒN THƠNG TIN _ ĐỒ ÁN TỐT NGHIỆP NGHIÊN CỨU GIẢI PHÁP XÂY DỰNG HỆ THỐNG GIÁM SÁT, PHÂN TÍCH, XỬ LÝ DẤU HIỆU TẤN CƠNG CĨ CHỦ ĐÍCH TRÊN HỆ THỐNG MÁY TÍNH ĐẦU CUỐI Ngành: An tồn thơng tin Mã số: 7.48.02.02 Sinh viên thực hiện: Lê Công Sản Lớp: AT15AT Người hướng dẫn: ThS.Trần Thị Thanh Thủy Công ty CP Công Nghệ Đầu tư 3T Hà Nội, 2023 MỤC LỤC MỤC LỤC i DANH MỤC KÝ HIỆU VÀ VIẾT TẮT iv DANH MỤC HÌNH VẼ .v LỜI CẢM ƠN vii LỜI NÓI ĐẦU viii CHƯƠNG TỔNG QUAN VỀ TẤN CƠNG CĨ CHỦ ĐÍCH (APT) 1.1 Tổng quan công APT 1.1.1 Khái niệm 1.1.2 Đặc điểm cơng có chủ đích (APT) 1.1.3 Các cơng APT điển hình 1.2 Giới thiệu mơ hình nghiên cứu Cyber Kill Chain .6 1.2.1 Cyber Kill Chain Framework 1.2.2 Các giai đoạn công APT dựa theo mơ hình Cyber Kill Chain 10 1.3 Các cách thức mà APT lây nhiễm hoạt động .13 1.3.1 Các dấu hiệu cảnh báo cơng có chủ đích (APT) 13 1.3.2 Các cách thức mà APT lây nhiễm 14 1.3.3 Mục tiêu tác hại công APT 14 1.4 Tổng kết chương 15 CHƯƠNG GIẢI PHÁP PHỊNG CHỐNG CÁC CUỘC TẤN CƠNG CĨ CHỦ ĐÍCH (APT) 16 2.1 Phương pháp phát cơng APT .16 2.1.1 Phân tích tĩnh .16 2.1.2 Phân tích động .18 2.2 Giải pháp phịng chống cơng có chủ đích (APT) 20 2.2.1 Đào tạo nâng cao nhận thức cho nhân viên 21 2.2.2 Giám sát đường truyền 22 2.2.3 Kiểm soát quyền truy cập 22 2.2.4 Whitelist ứng dụng tên miền 23 2.2.5 Sử dụng mạng riêng ảo (VPN) 23 2.2.6 Tận dụng Sanbox 23 2.2.7 Kiểm tra bảo mật đánh giá lỗ hổng 23 2.2.8 Quản lý vá .24 2.2.9 Threat Intelligence .25 2.2.10 Kế hoạch ứng phó cố 26 2.3 Hệ thống phát phản hồi điểm cuối (EDR) .27 2.3.1 Định nghĩa tầm quan trọng EDR 27 2.3.2 Các thành phần EDR 28 2.3.3 Chức hệ thống an ninh EDR 28 2.3.4 Nguyên lí hoạt động EDR .29 2.3.5 Những nguồn nhật ký EDR 30 2.3.6 Lợi ích việc sử dụng EDR .31 2.3.7 Sự khác biệt EDR Antivirus 32 2.3.8 Một số sản phẩm EDR 33 2.4 Tổng kết chương 36 CHƯƠNG XÂY DỰNG HỆ THỐNG GIÁM SÁT, PHÂN TÍCH, XỬ LÝ DẤU HIỆU TẤN CƠNG CĨ CHỦ ĐÍCH CHO CÁC MÁY TÍNH ĐẦU CUỐI .37 3.1 Mục tiêu xây dựng hệ thống 37 3.2 Mơ hình xây dựng hệ thống 37 3.3 Lựa chọn giải pháp xây dựng hệ thống 38 3.3.1 Các chức giải pháp Xcitium EDR 38 3.3.2 Lợi ích sử dụng giải pháp Xcitium EDR .40 3.4 Triển khai hệ thống đánh giá thử nghiệm .40 3.4.1 Triển khai hệ thống 40 3.4.2 Thử nghiệm 47 3.5 Tổng kết chương 62 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN .63 TÀI LIỆU THAM KHẢO .65 PHỤ LỤC 66 DANH MỤC KÝ HIỆU VÀ VIẾT TẮT APT Advanced Persistent Threat 2FA Two-Factor Authentication AI Artificial Intelligence API Application Programming Interface C&C Command and Control CNTT Công Nghệ Thông Tin DDoS Distributed Denial of Service DLL Dynamic Link Libraries DLP Data Loss Prevention EDR Endpoint Detection and Response EPP Endpoint Protection Platform IDA Pro The Interactive Disassembler Professional IDS Intrusion Detection System IOC Indicators Of Compromise IoT Internet of Things IPS Intrusion Prevention System ISP Internet Service Provider RFI Remote File Inclusion SIEM Security Information and Event Management SSL Secure Sockets Layer TI Threat Intelligence TTPs Tactics, Techniques and Procedures VPN Virtual Private Network iv DANH MỤC HÌN Hình 1.1 Sơ đồ bước cơng theo Cyber Kill Chain Framework Hình 1.2 Vịng đời cơng APT 10 YHình 2.1 Ảnh minh họa công cụ IDA Pro 17 Hình 2.2 Ảnh minh họa cơng cụ Exeinfo PE 18 Hình 2.3 Ảnh minh họa công cụ Wireshark 19 Hình 2.4 Ảnh minh họa cơng cụ Cuckoo Sandbox .20 Hình 2.5 Một số thiết bị đầu cuối 27 Hình 2.6 Mơ hình hoạt động hệ thống EDR 29 Hình 2.7 Liệt kê quy trình thiết bị 31 Hình 2.8 Kaspersky endpoint protection .33 Hình 2.9 McAfee endpoint protection 34 Hình 2.10 Xcitium Xcitium EDR endpoint protection 35 YHình 3.1 Mơ hình xây dựng hệ thống 38 Hình 3.2 Mơ hình triển khai 41 Hình 3.3 Link cài đặt Endpoint Manager Xcitium gửi từ server 42 Hình 3.4 Cài đặt thành công Endpoint Manager Xcitium .42 Hình 3.5 Cài đặt EDR cho endpoint 43 Hình 3.6 Giao diện Xcitium EDR-Xcitium 44 Hình 3.7 Alerting log gửi từ endpoint lên Server 45 Hình 3.8 Các kiện thu thập hiển thị tab Investigate 46 Hình 3.9 Danh sách quản lý thiết bị điểm cuối .46 Hình 3.10 Tạo tệp RTF độc hại .47 Hình 3.11 Tạo trình shell độc hại msfvenom .48 Hình 3.12 Tạo phiên kết nối trình msfconsole .48 Hình 3.13 Trình kết nối tới máy nạn nhân 49 Hình 3.14 Các kết nối phiên mở nạn nhân bấm vào tệp độc hại.49 Hình 3.15 Xem thơng tin máy nạn nhân .49 Hình 3.16 Liệt kê file có máy nạn nhân 50 Hình 3.17 Download file Thongtindangnhap.txt từ máy nạn nhân .50 Hình 3.18 Upload file hacked.txt lên máy nạn nhân .51 Hình 3.19 Upload file exe crackwindows.exe lên máy nạn nhân 51 Hình 3.20 Upload file hacked.txt lên máy nạn nhân Windows 10 thành công 52 v Hình 3.21 Upload file exe crackwindows lên máy nạn nhân thành cơng .52 Hình 3.22 Event Create Process nạn nhân tải file shell microsoftword.exe 53 Hình 3.23 Event Network Connect nạn nhân bấm vào trình shell độc hại 54 Hình 3.24 Event Write File hacked.txt hacker upload 54 Hình 3.25 Event Write file crackwindows.exe hacker upload .55 Hình 3.26 Timeline event Network Connect file shell microsoftword.exe 55 Hình 3.27 Tree View event Network Connect file microsoftword.exe 56 Hình 3.28 Remote Control vào máy endpoint Windows 10 để xử lý 56 Hình 3.29 Tắt tiến trình bất thường Task Manager 57 Hình 3.30 Thực xóa file độc hại máy endpoint .57 Hình 3.31 Nâng quyền lên SYSTEM sửa đổi khóa Winlogon 59 Hình 3.32 Sự kiện Create Process để tạo khóa Shell WinLogon 60 Hình 3.33 Sự kiện Registry để tạo khóa Shell Winlogon .60 Hình 3.34 Tiến trình crackwindows.exe khởi tạo từ userinit.exe 61 Hình 3.35 Truy cập đường dẫn Winlogon Registry Editor 61 Hình 3.36 Xóa khóa file chứa shell độc hại .62 vi LỜI CẢM ƠN Trước hết em xin bày tỏ lòng biết ơn gửi lời cảm ơn chân thành đến ThS.Vũ Đình Thu ThS.Trần Thị Thanh Thủy giúp đỡ tận tình hướng dẫn em suốt trình tìm hiểu nghiên cứu hoàn thành đồ án tốt nghiệp Em xin chân thành cảm ơn thầy, cô Khoa An tồn thơng tin trường Học viện kỹ thuật mật mã tất thầy cô trường trang bị cho em kiến thức cần thiết để giúp em hồn thành đồ án Em xin gửi lời cảm ơn tới anh chị Trung tâm An ninh mạng – Bkav nhiệt tình chia sẻ kiến thức giúp em học hỏi nhiều trình học tập làm việc Và cuối em muốn gửi lời cảm ơn sâu sắc tới gia đình, bạn bè, người thân quan tâm, góp ý giúp đỡ em suốt trình học tập nghiên cứu, điều kiện tốt để em hoàn thành đồ án tốt nghiệp Vì thời gian có hạn trình độ hiểu biết thân em nhiều hạn chế Vậy nên chắn tránh khỏi thiếu sót thực đồ án, em mong nhận góp ý từ thầy để hồn thiện tốt đồ án Em xin chân thành cảm ơn! SINH VIÊN THỰC HIỆN ĐỒ ÁN Lê Công Sản vii