Đăng ký
  1. Trang chủ
  2. » Luận Văn - Báo Cáo

Nghiên cứu phát hiện tiến trình bất thường trên máy trạm sử dụng rule sigma TT

50 6 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - NGUYỄN ĐỨC THƯỞNG NGHIÊN CỨU PHÁT HIỆN TIẾN TRÌNH BẤT THƯỜNG TRÊN MÁY TRẠM SỬ DỤNG RULE SIGMA Chuyên ngành: HỆ THỐNG THƠNG TIN Mã số: 8.48.01.04 TĨM TẮT LUẬN VĂN THẠC SĨ HÀ NỘI - NĂM 2022 Luận văn hoàn thành tại: HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG Người hướng dẫn khoa học: TS ĐỖ XUÂN CHỢ (Ghi rõ học hàm, học vị) Phản biện 1: PSG TS PHẠM VĂN CƯỜNG Phản biện 2: PGS TS NGUYỄN ĐỨC DŨNG Luận văn bảo vệ trước Hội đồng chấm luận văn thạc sĩ Học viện Công nghệ Bưu Viễn thơng Vào lúc: 00 ngày 15 tháng 01 năm 2022 Có thể tìm hiểu luận văn tại: - Thư viện Học viện Công nghệ Bu chớnh Vin thụng Nghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TT Nghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TT M U Lý chọn đề tài: Thế giới chạy đua Cuộc cách mạng 4.0, dựa tảng cơng nghệ cốt lõi, có tính đột phá như: trí tuệ nhân tạo (AI), Internet vạn vật (IoT), máy tính lượng tử (Quantum Computer), liệu lớn, liệu nhanh (Big Data) tạo bước nhảy vọt hiệu sản xuất, tính chất ứng dụng phát triển kinh tế - xã hội, làm thay đổi diện mạo nhiều quốc gia, dân tộc mang lại thành tựu vượt bậc cho nhân loại Tuy nhiên song hành với lợi ích to lớn khơng thể phủ nhận đó, cộng đồng quốc tế phải đối mặt ngày lớn với thách thức an ninh phi truyền thống từ khơng gian mạng, thách thức vụ công mạng xuất thường xuyên hơn, loại mã độc ngày nguy hiểm tinh vi Vì cơng tác đảm bảo an ninh, an tồn hệ thống thơng tin phải quan tâm đặt lên hàng đầu Ngày kỹ thuật tội phạm mạng ngày cao tinh vi Vì tổ chức, doanh nghiệp cần giải pháp có khả phát phản hồi điểm cuối (Endpoint detection & Response- EDR) Ngồi ra, theo thống kê xu công mạng thông qua người dùng cuối (Enduser) hệ thống mạng kẻ công sử dụng nhiều lợi dụng vào điểm yếu người dùng Chính vậy, vấn đề phát công thông qua người dùng cuối cần thiết Do đó, học viên lựa chọn đề tài “Nghiên cứu phát tiến trình bất thường máy trạm sử dụng Rule Sigma” Tổng quan vấn đề nghiên cứu: Hiện nghiên cứu lý thuyết liên quan đến phát tiến trình bất thường máy người dùng hạn chế Tuy nhiên, liên quan đến vấn đề phát mã độc máy trạm (Workstation) sản phẩm phần mềm Anti Virus xuất số sản phẩm hỗ trợ Phát Phản hồi Điểm cuối (Endpoint detection & Response- EDR) Theo đó, có số giải pháp sản phẩm EDR sau: Sản phẩm Veramine Endpoint Detection and Respone (VEDR) có khả thu thập liệu điểm cuối cách chi tiết, không dư thừa đáng tin cậy, phát công tinh vi, phức tạp tảng chuỗi thuật toán, machine learning rule-based, phân tích liệu thu thập đưa cảnh báo dấu hiệu xâm nhập Sản phẩm EDR Apex One Trend Micro có khả tự động phát ngăn chặn nhiều mối đe dọa điểm cuối có thể, mà khơng cần can thiệp thủ công từ người dùng Apex One tiến hành phát ngăn chặn việc khai thác lỗ hổng hệ điều hành trước mối đe dọa xâm nhập vào điểm cuối với vá ảo cập nhật liên tục trí thơng minh nhân tạo từ Trend Micros Zero Day Initiative Nghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TT Nghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TT Tng t Apex One Trend Micro, sản phẩm Palo Alto Networks Traps Palo Alto ngăn chặn mối đe dọa endpoint, phối hợp với bảo mật cloud network để ngăn chặn công mạng Traps ngăn chặn việc khởi chạy tệp thực thi độc hại, tệp DLLs tệp Office nhiều phương pháp ngăn ngừa, giảm bề mặt cơng tăng tính xác việc ngăn chặn phần mềm độc hại Luận văn nghiên cứu số công cụ để xây dựng, thử nghiệm hệ thống là: mã độc (malware), tiến trình (process), cơng cụ ghi nhật ký (log) máy tính cụ thể máy trạm (Sysmon), cơng cụ đẩy log từ máy trạm máy quản trị (server), công cụ phân tích hiển thị log sever, quy tắc cho phép mơ tả tìm kiếm liệu nhật ký (Rule Sigma) Từ xây dựng thử nghiệm hệ thống hồn chỉnh phát tiến trình bất thường máy trạm sử dụng Rule Sigma Mục đích nghiên cứu: Mục tiêu luận văn xây dựng, thử nghiệm đánh giá hệ thống phát tiến trình bất thường máy trạm sử dụng Rule Sigma, hệ thống giám sát tiến trình bất thường máy trạm gửi thông tin cảnh báo bất thường cho người quản trị hệ thống kịp thời xử lý Đối tượng phạm vi nghiên cứu: Luận văn nghiên cứu hệ thống mạng doanh nghiệp, hệ thống đảm bảo an ninh, an tồn, hệ thống phát tiến trình bất thường máy trạm hệ thống mạng Phương pháp nghiên cứu: - Phương pháp nghiên cứu lý thuyết: Nghiên cứu tổng quan mơ hình phát tiến trình bất thường nay, nghiên cứu hệ thống phát tiến trình bất thường sử dụng Rule Sigma - Phương pháp thực nghiệm: + Xây dựng môi trường thử nghiệm hệ thống (hệ thống mạng) + Cài đặt thành phần, công cụ cho hệ thống + Thực nghim v ỏnh giỏ kt qu Nghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TT Nghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TT CHNG 1: TỔNG QUAN VỀ HỆ THỐNG PHÁT HIỆN BẤT THƯỜNG TRÊN MÁY TRẠM 1.1 Tổng quan hệ thống Endpoint Detection & Response (EDR) 1.1.1 Khái niệm hệ thống EDR EDR - Endpoint Detection & Response – có nghĩa hệ thống phát phản hồi mối nguy hại điểm cuối Đây công cụ bảo mật dành cho khơng gian mạng Ngồi việc phát phần mềm độc hại tiên tiến, hệ thống EDR liên tục theo dõi, thu thập, ghi lại lưu trữ tất hoạt động kỹ thuật số mà hệ thống thực 1.1.2 EDR hoạt động nào? Endpoint Detection and Response (EDR) vượt xa khả phần mềm bảo mật internet truyền thống cách chủ động trước mối đe doạ Sử dụng agent để theo dõi hành vi hệ thống với heuristic tiên tiến EDR thường tích hợp với Machine Learning trí tuệ nhân tạo AI đào tạo để phát bất thường mơ hình việc lây nhiễm phần mềm độc hại 1.1.3 Ưu điểm EDR Cải thiện phòng thủ khả phản hồi: hệ thống xóa mối đe dọa, EDR chuyển sang chế độ điều tra Dựa chuỗi kiện ghi lại, EDR trình bày cách thức cơng diễn máy tính tổ chức/doanh nghiệp, lưu ý thay đổi hệ thống bắt đầu học & nghiên cứu công Phát điểm yếu chưa biết: EDR giống kính hiển vi để soi ngóc ngách kiểm tra lây nhiễm ngăn ngừa lây nhiễm Đặt giới hạn truy cập: đơi nhân viên làm việc vơ tình gây nguy hiểm với máy tính tổ chức/doanh nghiệp nên phần mềm EDR có thêm chức đặt giới hạn khiến nhân viên tránh xa trang web có lịch sử lây nhiễm phần mềm độc hại EDR giúp cho tổ chức doanh nghiệp tiết kiệm nhân lực cơng sức tiền bạc q trình điều tra, tăng tốc độ phân tích để nhanh chóng xác định nguyên nhân gốc rủi ro cố 1.1.4 So sánh EDR với Internet Security Sự khác biệt bảo mật EDR phần mềm bảo mật internet (EDR Security & Internet Security) giống khác biệt xe tăng quân đội xe bọc thép: hai bảo vệ nội dung tình bị cơng, có xe tăng cơng Bảng 1.1: So sánh EDR với Internet Security EDR Internet Security Phát mã độc dựa Nhận diện mã độc chủ yếu Signatures công nghệ nhận diện thông dựa Signature Files minh Phát tất loại mã Chỉ phát dòng mã độc, bao gồm mã độc mới, APTs, mã độc ó bit c Fileless Nghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TT Nghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TT Thc hin quy trình: phát hiện, Bảo vệ máy tính ngăn chặn, khắc phục Chứa đầy đủ thông tin mã độc Chỉ có thơng tin riêng lẻ xâu chuỗi, phục vụ điều tra truy file mã độc vết Liên tục giám sát tất tiến Hoạt động thụ động, phát trình để phát sớm nguy lây nhiễm mã độc xuất mã độc 1.2 Một số hệ thống EDR 1.2.1 Giải pháp EDR Apexone Trend Micro ApexOne ™ phát đáp ứng mối đe dọa hoàn toàn tự động bốn phân lớp xâm nhập lây nhiễm gồm có: xâm nhập (Entry-point), tiền thực thi (Preexecuction), thực thi (Runtime) ngồi (Exit-point) Hình 1.1: Hình minh họa vòng đời mối đe dọa Entry point: Trend Micro ứng dụng nhiều công nghệ khác để chống lại xâm nhập mã độc công từ bên Tiền thực thi (Pre-execution): ApexOne giúp bảo vệ hệ thống trước mã độc/mối đe dọa thực thi Bảo vệ giai đoạn thực thi (Run-time): Giai đoạn phát hành vi nguy hiễm mã độc giai đoạn thực thi quan trọng, cho dù phát mã độc trước thực thi có số mã độc phát lúc khởi chạy chẳng hạn công fileless attack mã độc thông qua powershell Bảo vệ điểm thốt: ApexOne ngăn chặn kết nối tới site nguy hiểm kết nối C&C từ chương trình Nó ngăn chặn các lây nhiễm có sử dụng Host Intrusion Prevention ApexOne ngăn chặn liệu khơng phép gửi ngồi thiết bị ngoại vi kết nối vào máy trạm Phát hiện, điều tra đáp ứng lại với kiện nguy hiểm – EDR Trend Micro ứng dụng giải pháp bảo vệ đầu cuối ApexOne sử dụng công nghệ XGEN giúp bảo vệ cho doanh nghiệp khỏi nguy hiểm tiềm tàng Một phát kiện mối đe dọa, nghi vấn thường kèm là: Nguyên nhân kin? Nghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TT 17 2.5.3 To quy tc Sigma v s dụng quy tắc Sigma Quy tắc Sigma tạo sử dụng theo bước sau đây: Bước 1: Tải Rule Sigma trang web: https://github.com/SigmaHQ/sigma, có tài liệu, quy tắc mẫu trình biên dịch Sigmac để chuyển quy tắc Sigma thành truy vấn cho hệ thống giám sát SIEM Bước 2: Tạo tệp YAML Viết quy tắc Sigma (Rule Sigma) cách tạo tệp YAML, sử dụng trình chỉnh sửa YAML dùng NotePad, sau tạo tệp cung cấp thông số quy tắc Sigma vào bảng Bảng 2.4: Bảng thông số quy tắc Sigma title: id: status: description: author: references: logsource: category: product: service: definition: detection: condition: fields: falsepositives: level: tags: Bước 3: Cung cấp giá trị cho thuộc tính bắt buộc cách thu thập thông tin từ nguồn phát bất thường, mã độc Bước 4: Dịch quy tắc sang truy vấn tìm kiếm Để chuyển đổi quy tắc Sigma thành truy vấn tìm kiếm cho SIEM tảng ghi nhật ký bạn, luận văn cơng cụ em sử dụng Splunk, bạn sử dụng cơng cụ Sigmac có thư mục \tools\ Sigmac cho phép bạn chuyển đổi quy tắc cụ thể cho mục tiêu Splunk, QRadar chí PowerShell, Sigmac sử dụng ánh xạ trường để chuyển đổi trường sử dụng quy tắc thành trường thực tế có sẵn cho mục tiêu mong muốn Trong chương sau, luận văn xây dựng số kịch phát bất thường sử dụng Rule Sigma 2.5.4 Phương pháp phát tiến trình bất thường sử dụng Rule Sigma Kiến trúc quy tắc Sigma: Bảng mô tả kiến trúc quy tắc Sigma Bảng 2.6: Kiến trúc quy tắc sigma Field name title: type: length: min: Data type str Nghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TT Nghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TT 18 max: 256 description: references: type: contents: status: type: of: - type: value: stable - type: value: testing - type: value: experimental logsource: type: optional: category: product: service: definition: detection: type: required: condition: type: of: - type: - type: contents: fields: type: contents: level: type: of: - type: value: low - type: value: medium - type: value: high - type: value: critical tags: type: contents: str arr str any str str str rec str str str str rec any str arr str arr str any str str str str arr str Phương pháp phát tiến trình bất thường sử dụng Rule sigma: Để phát mã độc dựa hành vi bất thường chúng Rule sigma, tập trung xây dựng hồ sơ hành vi chúng từ tiến hành so sánh phân tích hồ sơ hành vi Nguyên tắc phát mã độc kỹ thuật Rule sigma thể thuật toán đây: Bảng 2.7: Thuật toán 1: detection_operator Hàm detection_operator(): selections = {} Với cặp (key, value) trng detection: Nghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TT Nghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TT 19 Nu key khụng phi condition field’: result = Kiểm tra selection_operator True hay False Đưa result vào dictionary selections[key] = result Nếu không thì: Lấy condition Với cặp (key, value) selections: Nếu key có condition: Key thay condition giá trị selection Trả condition Hàm select_operator có nhiệm vụ kiểm tra selection True hay False trả kết để đối chiếu với điều kiện Nội dung bên lựa chọn chuỗi điều kiện theo quy tắc if dictionaries - condition AND, If the list - condition OR Bảng 2.8: Thuật toán 2: selection_operator Hàm selection_operator(): Nếu selection kiểu lists: list_selection = [] Với phần tử element selection: result = selection_operator (element) Thêm result vào list_selection Trả kết kiểm tra or_operator(result) Nếu selection kiểu dictionaries: list_selection = [] Với phần tử element selection: Nếu key ‘condition field’: continue Nếu value kiểu list: result = kết trả check_many(key, value) Thêm result vào list_selection Nếu khơng thì: result = kết trả check_single(key, value) Thêm result vào list_selection Trả kết kiểm tra and_operator(result ) Hàm thực thi trường hợp khóa key có danh sách nhiều giá trị khác nhau, để kiểm tra cần lấy giá trị bên kiểm tra với giá trị trường thông báo log, hàm check_many lấy giá trị nhập vào hàm check_single để chờ kết trả về, nói trường hợp khóa có nhiều giá trị, hàm or_operator thực kiểm tra với điều kiện OR Bảng 2.9: Thuật toán 3: selection_operator Hàm check_many(key, values) List_value_check = [] Với giá trị value list values: result = kết trả check_single(key, value) Thêm result vào List_value_check Trả kết kiểm tra or_operator(result) Hàm check_single tham chiếu đến giá trị luật với giá trị tham chiếu có khóa trường thơng báo, khóa có cách để so sánh giá tr t Nghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TT Nghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TT 20 thụng bỏo log nh contains, endswith, startswith nothing Việc kiểm tra trả kết thực hàm simple_operator Bảng 2.10: Thuật toán 4: simple_operator function Hàm check_single(key, value) elements = danh sách số trả sau split key với ký tự “|” field = element[0] Nếu elements == 1: Trả kết simple_operator(message[field], value, “=”) condition = elements[1] Trả kết simple_operator(message[field], value, condition) Hàm simple_operator(left, right, operator) Nếu operator “=”: Nếu operator kiểu String: Nếu xuất ký tự "*" phần bắt đầu kết thúc: simple_operator(left, right[1:-1], "contains") Nếu xuất ký tự "*" phần kết thúc: simple_operator(left, right[1:], "startswith") Nếu xuất ký tự "*" phần bắt đầu: simple_operator(left, right[1:], "endswith") Nếu left None: Trả False Nếu operator “endswith”: Trả left, endswith, right Nếu operator “startswith”: Trả left, startswith, right Nếu operator “contains”: Right in Left 2.5.5 Ưu điểm, nhược điểm Rule Sigma Ưu điểm Rule Sigma: - Độ xác phát mã độc cao, luật Sigma xây dựng dựa hành vi mã độc không dựa vào signature mã độc; - Phát nhiều loại mã độc luật Sigma xây dựng dựa nhóm hành vi mã độc; - Rule Sigma xây dựng cho nhiều tảng khác nhau: Windows, Linux, Cloud, … chuyển đổi sang câu truy vấn hầu hết phần mềm giám sát SIEM như: Qradar, ELK, Splunk,… - Rule Sigma dự án nguồn mở cộng đồng xây dựng Rule Sigma ngày phát triển, cập nhật kịp thời hành vi nhóm mã độc Nhược điểm Rule Sigma: - Hệ thống phát bất thường sử dụng Rule Sigma phát mã độc cập nhật hành vi nó, loại mã độc chưa cập nhật hành vi vào Sigma khơng phát được; - Cách viết luật Sigma tương đối phức tạp, địi hỏi người viết luật Sigma có trình độ cao công nghệ thông tin, bảo mật, an ninh mạng 2.6 Kết luận chương Kết thúc chương 2, luận văn trình bày tổng quan mã độc, giới thiệu tiến trình, cơng cụ thu thập tiến trình Sysmon hệ điều hành Windows, giải pháp giám sát mạng Splunk, tìm hiểu Rule Sigma phương pháp phát tiến trình bất thường máy người dùng sử dụng Rule Sigma Trong chương luận văn tập trung xây dựng, thử nghiệm hệ thống phát tiến trình bất thường máy người dựng Nghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TT Nghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TT 21 CHNG 3: THC NGHIM V ĐÁNH GIÁ 3.1 Cài đặt hệ thống thử nghiệm phát bất thường Hệ thống phát tiến trình bất thường máy người dùng xây dựng môi trường ảo hóa phần mềm VirtualBox Oracle bao gồm: 01 máy chủ cài đặt hệ điều hành Centos 7; 01 máy người dùng cài đặt hệ điều hành Windows 10 3.1.1 Cài đặt máy chủ Splunk (ip 192.168.1.57) - Cài đặt Rule Sigma Centos - Cài đặt Splunk Enterprise Centos 3.1.2 Cài đặt máy người dùng - Cài đặt cấu hình Sysmon - Cài đặt cấu hình SplunkForwarder 3.2 Thực nghiệm hệ thống phát bất thường 3.2.1 Kịch (phát mã độc LokiBot Trojan) Mã độc sử dụng để thử nghiệm kịch LokiBot Trojan, mã độc sử dụng phần mềm độc hại Trojan để lấy cắp thông tin nhạy cảm tên người dùng, mật khẩu, ví tiền điện tử thông tin đăng nhập khác, thông tin mã độc bảng Bảng 3.3: Thông tin mã độc LokiBot Trojan Tập tin mã độc PO_ IE5812 JNS4791 - 1809016.bin Hash f9e8d9a81ce701c324ede091e76aa7a3 Định dạng tập tin PO_ IE5812 JNS4791 - 1809016.exe Địa tải mã độc https://app.any.run/tasks/df44e5cb-5a4f-4d56-9602-a3a67989d9ec Ta tiến hành thực sau: Bước 1: Trên máy người dùng ta tải thực thi mã độc LokiBot Trojan Bước 2: Trên máy chủ Splunk, ta tải quy tắc Sigma phát mã độc LokiBot Trojan (được tạo Alexandr Yampolskyi, SOC Prime) Ta sử dụng công cụ Sigmac (hoặc công cụ https://uncoder.io/) để chuyển đổi quy tắc Sigma thành câu truy vấn Splunk theo hình Hình 3.4: Sigmac chuyển quy tắc Sigma LokiBot thành truy vấn Nghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TT Nghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TT 22 Bc 3: Sau cú c cõu truy vấn, ta tiến hành tìm kiếm máy chủ Splunk, kết phát event log mã độc LokiBot Trojan hình đây: Hình 3.6: Phát event log mã độc LokiBot Trojan Ta xem chi tiết Event log để biết thêm thông tin liên quan đến mã độc LokiBot Trojan (các thông tin ngày khởi tạo log, image, đường dẫn file chạy mã độc,…): Hình 3.7: Thơng tin chi tiết Event log mã độc LokiBot Trojan Bước 4: Như kịch 1, người quản trị máy chủ phát event log bất thường mã độc LokiBot Trojan máy người dùng cách sử dụng quy tắc Sigma 3.2.2 Kịch (phát mã độc Ryuk Ransomware) Mã độc sử dụng để thử nghiệm kịch thứ Ryuk Ransomware, mã độc tống tiền, lây nhiễm vào máy tính kiểm sốt h thng hoc kim soỏt mỏy Nghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TT Nghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TT 23 tớnh yêu cầu nạn nhân phải trả tiền để khôi phục lại điều khiển với hệ thống, thông tin mã độc bảng Bảng 3.5: Thông tin mã độc Ryuk Ransomware Tập tin mã độc data.zip Hash 8555b213260ba5eda4bf37652cecb431 Định dạng tập tin data.exe Địa tải mã độc https://app.any.run/tasks/941cfa9a-6701-42b9-a410-74418fe214c8/ Ta tiến hành thực sau: Bước 1: Trên máy người dùng ta tải thực thi mã độc Ryuk Ransomware Bước 2: Trên máy chủ Splunk, ta tải quy tắc Sigma phát mã độc Ryuk Ransomware (được tạo Alexandr Yampolskyi, SOC Prime) Tương tự kịch 1, ta sử dụng công cụ Sigmac để chuyển đổi quy tắc (hoặc dùng công cụ https://uncoder.io/) ta câu truy vấn cho Splunk: (source="WinEventLog:Microsoft-Windows-Sysmon/Operational" source="WinEventLog:*" EventCode="1" ((Hashes: "8555b213260ba5eda4bf37652cecb431") OR (CommandLine="*REG ADD \"HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run\" /v \"svchos\" /t REG_SZ /d \"C:\\Users\\admin\\AppData\\Local\*"))) Bước 3: Sau có câu truy vấn, ta tiến hành tìm kiếm máy chủ Splunk, kết phát event log mã độc Ryuk Ransomware hình đây: Hình 3.8: Phát event log mã độc Ryuk Ransomware Trên máy người dùng mã độc mã hóa tất file (mã hóa RYK) văn người dùng có thơng tin liên hệ với nhóm tạo mã độc để khơi phục lại hệ thng Nghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TT Nghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TTNghiên.cỏằâu.phĂt.hiỏằn.tiỏn.trơnh.bỏƠt.thặỏằãng.trên.mĂy.trỏĂm.sỏằư.dỏằƠng.rule.sigma.TT

Ngày đăng: 09/11/2023, 00:29

Xem thêm:

TÀI LIỆU CÙNG NGƯỜI DÙNG

  • Đang cập nhật ...

TÀI LIỆU LIÊN QUAN