Đăng ký
  1. Trang chủ
  2. » Luận Văn - Báo Cáo

Nghiên cứu phát hiện tiến trình bất thường trên máy trạm sử dụng rule sigma

153 4 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - NGUYỄN ĐỨC THƯỞNG NGUYỄN ĐỨC THƯỞNG NGHIÊN CỨU PHÁT HIỆN TIẾN TRÌNH BẤT THƯỜNG TRÊN MÁY HỆ THỐNG THÔNG TIN TRẠM SỬ DỤNG RULE SIGMA LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng) 2020 – 2022 HÀ NỘI – NĂM 2021 HÀ NỘI - NĂM 2022 HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THƠNG - NGUYỄN ĐỨC THƯỞNG NGHIÊN CỨU PHÁT HIỆN TIẾN TRÌNH BẤT THƯỜNG TRÊN MÁY TRẠM SỬ DỤNG RULE SIGMA Chuyên ngành: HỆ THỐNG THÔNG TIN Mã số: 8.48.01.04 LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng) NGƯỜI HƯỚNG DẪN KHOA HỌC : TS ĐỖ XUÂN CHỢ HÀ NỘI - NĂM 2022 i LỜI CAM ĐOAN Tôi cam đoan luận văn đề tài “Nghiên cứu phát tiến trình bất thường máy trạm sử dụng Rule Sigma” cơng trình nghiên cứu riêng Các số liệu, kết nêu luận văn trung thực chưa công bố cơng trình khác Tác giả luận văn Nguyễn Đức Thưởng ii LỜI CẢM ƠN Trong suốt q trình học tập hồn thành luận văn tốt nghiệp, nhận nhiều giúp đỡ, động viên từ thầy cơ, gia đình bạn bè Tôi xin chân thành cảm ơn giúp đỡ Trước hết xin bày tỏ cảm ơn đặc biệt tới TS Đỗ Xuân Chợ, người định hướng cho việc lựa chọn đề tài, đưa nhận xét quý giá trực tiếp hướng dẫn tơi suốt q trình nghiên cứu hồn thành luận văn tốt nghiệp Tôi xin gửi lời cảm ơn chân thành, cảm ơn tất thầy cô giáo Học viện Cơng nghệ Bưu Viễn thơng giảng dạy dìu dắt tơi trong suốt q trình học tập trường Tơi xin gửi lời cảm ơn tới gia đình bạn bè, người bên cạnh động viên, ủng hộ, tạo điều kiện cho tơi hồn thành khóa luận iii MỤC LỤC LỜI CAM ĐOAN i LỜI CẢM ƠN ii MỤC LỤC iii DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT v DANH MỤC CÁC BẢNG .vi DANH MỤC CÁC HÌNH vii MỞ ĐẦU .1 CHƯƠNG 1: TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN BẤT THƯỜNG TRÊN MÁY TRẠM .4 1.1 Tổng quan hệ thống Endpoint Detection & Response (EDR) 1.1.1 Khái niệm hệ thống EDR 1.1.2 EDR hoạt động nào? .4 1.1.3 Ưu điểm EDR .5 1.1.4 So sánh EDR với Internet Security .5 1.2 Một số hệ thống EDR 1.2.1 Giải pháp EDR Apexone Trend Micro 1.2.2 Giải pháp Veramine Endpoint Detection and Response 12 1.2.3 Giải pháp Cortex XDR Palo Alto 19 1.3 Kết luận chương 23 CHƯƠNG 2: NGHIÊN CỨU PHƯƠNG PHÁP PHÁT HIỆN TIẾN TRÌNH BẤT THƯỜNG SỬ DỤNG RULE SIGMA .23 2.1 Tổng quan mã độc 23 2.1.1 Khái niệm mã độc .23 2.1.2 Phân loại đặc tính mã độc 24 2.2 Giới thiệu tiến trình 27 2.2.1 Tiến trình 27 2.2.2 Các trạng thái tiến trình 28 2.2.3 Thông tin mô tả tiến trình 29 2.3 Giới thiệu System Monitor (Sysmon) .30 2.3.1 Sysmon 30 2.3.2 Tính Sysmon 30 2.3.3 Sử dụng Sysmon 31 2.4 Tổng quan Splunk .39 2.4.1 Giải pháp Splunk 39 Nghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma Nghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma iv 2.4.2 Cỏc tính Splunk 39 2.4.3 Kiến trúc Splunk 40 2.4.4 Đánh giá Splunk .42 2.5 Tổng quan Rule Sigma phương pháp phát tiến trình bất thường sử dụng Rule Sigma 43 2.5.1 Giới thiệu Sigma 43 2.5.2 Các thành phần Sigma .44 2.5.3 Tạo quy tắc Sigma sử dụng quy tắc Sigma 50 2.5.4 Phương pháp phát tiến trình bất thường sử dụng Rule Sigma 51 2.5.5 Ưu điểm, nhược điểm Rule Sigma .54 2.6 Kết luận chương 55 CHƯƠNG 3: THỰC NGHIỆM VÀ ĐÁNH GIÁ 55 3.1 Cài đặt hệ thống thử nghiệm phát bất thường 55 3.1.1 Cài đặt máy chủ Splunk (ip 192.168.1.57) .56 3.1.2 Cài đặt máy người dùng 58 3.2 Thực nghiệm hệ thống phát bất thường 61 3.2.1 Kịch (phát mã độc LokiBot Trojan) 61 3.2.2 Kịch (phát mã độc Ryuk Ransomware) 64 3.3 Nhận xét, đánh giá 68 3.4 Kết luận chương 68 KẾT LUẬN .68 DANH MỤC CÁC TÀI LIỆU THAM KHẢO 69 Nghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma Nghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma v DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT Viết tắt Tiếng Anh Tiếng Việt EDR Endpoint detection & Response Hệ thống phát phản hồi mối nguy hại điểm cuối VEDR Veramine Endpoint Detection and Response Giải pháp phát phản hồi điểm cuối Veramine Process ID Số nguyên xác định định danh tiến trình YAML Ain’t Markup Language Là định dạng dũ liệu trung gian thiết kế để người dùng ngơn ngữ lập trình hiểu Transmission Control Protocol Giao thức điều khiển truyền vận Central Processing Unit Bộ xử lý trung tâm máy tính CPU xử lý tất lệnh mà nhận từ phần cứng phần mềm chạy máy tính PID YAML TCP CPU Nghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma Nghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma 63 Hỡnh 3.5: Cụng c https://uncoder.io/ để chuyển đổi quy tắc Sigma Bước 3: Sau có câu truy vấn, ta tiến hành tìm kiếm máy chủ Splunk, kết phát event log mã độc LokiBot Trojan hình đây: Hình 3.6: Phát event log mã độc LokiBot Trojan Ta xem chi tiết Event log để biết thêm thông tin liên quan đến mã độc LokiBot Trojan (các thông tin ngày khởi tạo log, image, đường dẫn file chạy mã c,): Nghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma Nghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma 64 Hỡnh 3.7: Thụng tin chi tit Event log mã độc LokiBot Trojan Bước 4: Như kịch 1, người quản trị máy chủ phát event log bất thường mã độc LokiBot Trojan máy người dùng cách sử dụng quy tắc Sigma 3.2.2 Kịch (phát mã độc Ryuk Ransomware) Mã độc sử dụng để thử nghiệm kịch thứ Ryuk Ransomware, mã độc tống tiền, lây nhiễm vào máy tính kiểm sốt hệ thống kiểm sốt máy tính u cầu nạn nhân phải trả tiền để khơi phục lại điều khiển với hệ thống, thông tin mã độc bảng Bảng 3.5: Thông tin mã độc Ryuk Ransomware Tập tin mã độc Hash data.zip 8555b213260ba5eda4bf37652cecb431 Định dạng tập tin data.exe a ch ti mó c https://app.any.run/tasks/941cfa9a-6701-42b9-a41074418fe214c8/ Nghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma Nghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma 65 Ta tiến hành thực sau: Bước 1: Trên máy người dùng ta tải thực thi mã độc Ryuk Ransomware Bước 2: Trên máy chủ Splunk, ta tải quy tắc Sigma phát mã độc Ryuk Ransomware (được tạo Alexandr Yampolskyi, SOC Prime), chi tiết quy tắc Sigma theo bảng đây: Bảng 3.6: Rule Sigma phát mã độc Ryuk Ransomware title: Ryuk Ransomware (Sysmon) description: Ryuk Ransomware Detector author: Alexandr Yampolskyi, SOC Prime references: - https://app.any.run/tasks/941cfa9a-6701-42b9-a410-74418fe214c8/ date: 2019/01/03 status: stable logsource: product: windows service: sysmon detection: selection1: EventID: file_hash: - 8555b213260ba5eda4bf37652cecb431 selection2: EventID: CommandLine: '*REG ADD "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ Run" /v "svchos" /t REG_SZ /d "C:\Users\admin\AppData\Local\*' condition: selection1 or selection2 fields: - Hashes - CommandLine - ParentCommandLine falsepositives: - Unknown level: high tags: - attack.Execution - attack.t1204 - attack.Defense Evasion - attack.t1112 - attack.Impact - attack.t1486 Nghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma Nghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma 66 Tng t kch bn 1, ta sử dụng công cụ Sigmac để chuyển đổi quy tắc (hoặc dùng công cụ https://uncoder.io/) ta câu truy vấn cho Splunk: (source="WinEventLog:Microsoft-Windows-Sysmon/Operational" source="WinEventLog:*" "8555b213260ba5eda4bf37652cecb431") EventCode="1" OR ((Hashes: (CommandLine="*REG ADD \"HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\ \Run\" /v \"svchos\" /t REG_SZ /d \"C:\\Users\\admin\\AppData\\Local\*"))) Bước 3: Sau có câu truy vấn, ta tiến hành tìm kiếm máy chủ Splunk, kết phát event log mã độc Ryuk Ransomware hình đây: Hình 3.8: Phát event log mã độc Ryuk Ransomware Trên máy người dùng mã độc mã hóa tất file (mã hóa RYK) văn người dùng có thơng tin liên hệ với nhóm tạo mã độc để khơi phục lại hệ thống, hình sau: Nghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma Nghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma 67 Hỡnh 3.9: File b mó húa trờn máy người dùng Ta xem chi tiết Event log để biết thêm thông tin liên quan đến mã độc Ryuk Ransomware (các thông tin ngày khởi tạo log, image, đường dẫn file chạy mã độc,…): Hình 3.10: Thơng tin chi tiết Event log mã độc Ryuk Ransomware Bước 4: Như kịch 2, người quản trị máy chủ phát event log bất thường mã độc Ryuk Ransomware máy người dùng cách sử dụng quy tc Sigma Nghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma Nghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma 68 3.3 Nhn xột, đánh giá Hiện thư viện luật Rule Sigma xây dựng cho hệ điều hành Windows có khoảng gần 900 Rule Sigma, nhiên trình bày luận văn luật xây dựng dựa hành vi bất thường mã độc loại mã độc Do luật tạo có kịch phát mã độc Chính số loại mã độc chưa nằm luật Rule Sigma Rule Sigma không phát 3.4 Kết luận chương Kết thúc chương 3, luận văn thực số nội dung sau: - Cài đặt công cụ giám sát Splunk Enterprise cài đặt Rule Sigma máy chủ Splunk (Centos7) - Cài đặt, cấu hình Sysmon, Splunkforwarder máy người dùng (Windows 10) - Thử nghiệm hệ thống sử dụng Rule Sigma người quản trị phát thành công 02 kịch mã độc LokiBot Trojan Ryuk Ransomware máy người dùng KẾT LUẬN Luận văn nghiên cứu, thực đạt số kết sau: - Nghiên cứu tổng quan hệ thống EDR; - Nghiên cứu số hệ thống phát tiến trình bất thường máy trạm bao gồm: EDR ApexOne Trend Micro, Veramine Endpoint Detection and Response, Cortex XDR Palo Alto - Nghiên cứu tổng quan mã độc, tiến trình, cơng cụ thu thập tiến trình Sysmon hệ điều hành Windows, giải pháp giám sát mạng Splunk; tìm hiểu Rule Sigma phương pháp phát tiến trình bất thường máy người dùng - Nghiên cứu, xây dựng, thử nghiệm đánh giá hệ thống phát tiến trình bất thường máy trạm sử dụng Rule Sigma; Trong tương lai, luận văn tiếp tục nghiên cứu theo hướng sau phát tiến trình bất thường máy trạm h thng s t ng cú phn Nghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma Nghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma 69 hồi bất thường cách ly máy bị nhiễm mã độc khỏi hệ thống mạng, thực thi loại bỏ tiến trình bất thường,…, giúp bảo vệ hệ thống mạng kịp thời DANH MỤC CÁC TÀI LIỆU THAM KHẢO [1] Alireza Souri, Rahil Hosseini A state‑of‑the‑art survey of malware detection approaches using data mining techniques (2018) Vol 8, No pp 1-22 https://doi.org/10.1186/s13673-018-0125-x [2] YANFANG YE, TAO LI, DONALD ADJEROH, S SITHARAMA IYENGAR 2017 A survey on malware detection using data mining techniques ACM Comput Surv 50, 3, Article 41 (June 2017), 40 pages DOI: http://dx.doi.org/10.1145/3073559 [3] Endpoint Detection and Response Solutions Market- https://www.gartner.com/reviews/market/endpoint-detection-and-responsesolutions [Last accessed 26 August 2020] [4] Endpoint Security with Apex One Endpoint security redefined https://www.trendmicro.com/en_us/business/products/userprotection/sps/endpoint.html [Last accessed 26 August 2020] [5] Palo Alto Networks Traps Endpoint (EDR) https://paloaltofirewalls.co.uk/palo-alto-traps-endpoint/ [Last accessed 26 August 2020] [6] Veramine Endpoint Detection and Responsehttps://www.veramine.com/docs/whitepaper_vn [7] VMware Carbon Black EDR - https://www.carbonblack.com/products/edr/ [Last August 26 February 2020] [8] Falcon Insight: EDR -https: //www.crowdstrike com / endpoint-securityproducts / falcon-insight-endpoint-detection-response /[Last accessed 26 August 2020] [9] https://www.malwarebytes.com/business/endpointdetectionresponse/ [Last accessed 26 August 2020] [10] Sysmon v13 https://docs.microsoft.com/enus/sysinternals/downloads/sysmon [Last accessed 26 August 2020] [11] Malware hunting with live access to the heart of an incident https://app.any.run/ [Last accessed 26 August 2020] Nghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma Nghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigmaNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma

Ngày đăng: 09/11/2023, 00:27

Xem thêm:

TÀI LIỆU CÙNG NGƯỜI DÙNG

  • Đang cập nhật ...

TÀI LIỆU LIÊN QUAN