18 Quy trình chung cho các tuần thực hiện viết rule theo kịch bản APT sau khi hiểu các bước tấn công:.... Thầy cũng đưa ra một số lời khuyên và cách xử lý trong một số tình huống, để là
Trang 1HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
KHOA AN TOÀN THÔNG TIN
BÁO CÁO THỰC TẬP TỐT NGHIỆP
Đơn vị thực tập: Công ty An ninh mạng Viettel –
Viettel Cyber Security
Giảng viên hướng dẫn : TS Đinh Trường Duy
Sinh viên thực hiện : Trần Tuấn Minh
Mã sinh viên : B19DCAT127
Lớp : D19CQAT03-B
Hà Nội – 2023
Trang 2MỤC LỤC
LỜI CẢM ƠN 2
I GIỚI THIỆU CHUNG VỀ ĐƠN VỊ THỰC TẬP 3
1 Giới thiệu đơn vị thực tập 3
2 Dịch vụ cung cấp 3
II NỘI DUNG THỰC TẬP 3
1 Thông tin thực tập 3
2 Nội dung thực tập 4
III CHI TIẾT CÔNG VIỆC THỰC HIỆN 4
1 Tuần 1 (03/07/2023 – 07/07/2023): 4
1.1 Làm quen với sản phẩm NDR 4
1.2 Tìm hiểu về filter trong Wireshark 6
1.3 NDR Log 7
1.4 Kết quả đạt được 10
2 Tuần 2 (10/07/2023 – 14/07/2023) 10
2.1 Tìm hiểu MITRE ATT&CK 10
2.2 Các Technique có Data Source là Network Traffic 12
2.3 Kết quả đạt được 13
3 Tuần 3 (17/07/2023 – 21/07/2023) 13
3.1 Tổng quan về APT29 13
3.2 Tool/Malware sử dụng 13
3.3 Một số khái niệm được sử dụng trong kịch bản tấn công 14
3.4 Kết quả thu được 15
4 Tuần 4 (24/07/2023 – 28/07/2023) 15
4.1 Tổng quan về APT41 15
4.2 Tool/Malware sử dụng 15
4.3 Một số khái niệm được sử dụng trong kịch bản tấn công 16
4.4 Kết quả thu được 16
5 Tuần 5 (31/07/2023 – 04/08/2023) 17
5.1 Tổng quan về APT32 17
5.2 Tool/Malware sử dụng 17
5.3 Một số khái niệm được sử dụng trong kịch bản tấn công 17
5.4 Kết quả thu được 18
6 Tuần 6 (07/08/2023 – 11/08/2023) 18
6.1 Tool/Malware sử dụng 18
6.2 Một số khái niệm được sử dụng trong kịch bản tấn công 18
6.3 Kết quả thu được 18
Quy trình chung cho các tuần thực hiện viết rule theo kịch bản APT sau khi hiểu các bước tấn công: 19
7 Tuần 7 (14/08/2023 – 18/08/2023) 19
7.1 Công việc thực hiện 19
7.2 Kết quả đạt được 19
IV TỔNG KẾT QUÁ TRÌNH THỰC TẬP 19
Trang 3LỜI CẢM ƠN
Đầu tiên, trước khi vào nội dung báo cáo thực tập tốt nghiệp, em muốn gửi lời cảm ơn đến Công ty An ninh mạng Viettel – Viettel Cyber Security nói chung và các anh mentor trong phòng an ninh hệ thống ứng dụng, phòng sản phẩm mới nói riêng và anh Vũ Đức Phước phòng nhận sự đã tận tình chỉ bảo, giúp đỡ và hỗ trợ em rất nhiều trong quá trình
thực tập tại công ty Đặc biệt, em xin chân thành cảm ơn anh Bùi Văn Việt, là người trực
tiếp giúp đỡ, hướng dẫn em trong kỳ thực tập Các công việc em được giao sẽ không thể hoàn thành tốt như vậy nếu không có sự giúp đỡ của anh
Trong quá trình thực tập tại đơn vị, em đã được cung cấp rất nhiều tài liệu để phục vụ quá trình thực tập Công ty cũng rất tạo điều kiện cho em, cung cấp máy tính cá nhân phục
vụ việc học tập và nghiên cứu Ngoài ra, công ty cũng tạo điều kiện cho em được tham gia vào các dự án thực tế, tham gia các cuộc họp trao đổi của team, các khóa học chuyên ngành,… Nhờ vậy em được phát triển các kiến thức, kỹ năng chuyên ngành nhanh chóng Đây là những kinh nghiệm quý báu nhất mà em đạt được trong kỳ thực tập
Và em cũng không thể không gửi lời cảm ơn tới Thầy Đinh Trường Duy – giảng viên hướng dẫn em trong kỳ thực tập này Thầy đã nhiệt tình hỏi han, nhắc nhở và hỗ trợ em cũng như các bạn khác ngay từ trước khi kỳ thực tập bắt đầu Thầy cũng đưa ra một số lời khuyên và cách xử lý trong một số tình huống, để làm sao cho chúng em có một kỳ thực tập thành công và gặt hái được nhiều giá trị, kinh nghiệm quý báu
Một lần nữa, em xin chân thành cảm ơn Công ty An ninh mạng Viettel – Viettel Cyber Security, cảm ơn các anh phòng an ninh hệ thống ứng dụng, phòng sản phẩm mới, cảm ơn anh Bùi Văn Việt, cảm ơn anh Vũ Đức Phước, và cảm ơn Thầy Đinh Trường Duy đã giúp
đỡ và chỉ bảo tận tình để em có thể hoàn thành tốt kỳ thực tập tốt nghiệp
Hà Nội, tháng 08 năm 2023
Trang 4I GIỚI THIỆU CHUNG VỀ ĐƠN VỊ THỰC TẬP
1 Giới thiệu đơn vị thực tập
Công ty An ninh mạng Viettel là đơn vị trực thuộc Tập đoàn Công nghiệp – Viễn thông Quân đội, thực hiện nghiên cứu, phát triển chuyên sâu các giải pháp An toàn thông tin, đồng thời cung cấp sản phẩm, dịch vụ An toàn thông tin cho các tổ chức/doanh nghiệp trong và ngoài nước
Tầm nhìn: Đưa công ty trở thành đối tác số một về đảm bảo an toàn thông tin cho các
cơ quan chính phủ, doanh nghiệp và hạ tầng trọng yếu quốc gia
Sứ mệnh: Dẫn đầu trong việc nghiên cứu, phát triển các giải pháp An toàn thông tin, đưa tri thức chuyên sâu vào trong từng sản phẩm, dịch vụ lĩnh vực An toàn thông tin tại Việt Nam, qua đó không ngừng nâng cao năng lực tự chủ An toàn thông tin cho không gian mạng Việt Nam
Mục tiêu: Trở thành đối tác số 1 cung cấp sản phẩm và dịch vụ an ninh mạng
cho các doanh nghiệp, tổ chức và hạ tầng trọng yếu của quốc gia
2 Dịch vụ cung cấp
• Dịch vụ giám sát an toàn thông tin mạng
• Dịch vụ săn tìm mối nguy an toàn thông tin (Threat Hunting)
• Dịch vụ kiểm tra đánh giá an toàn thông tin
• Dịch vụ chống tấn công DDoS
• Dịch vụ đánh giá an toàn hệ thống IoT
• Dịch vụ bảo mật ứng dụng toàn diện
II NỘI DUNG THỰC TẬP
1 Thông tin thực tập
Vị trí thực tập: Content Security – Phòng Sản Phẩm Mới
Thời gian thực tập: 03/07/2023 – 18/08/2023
Hình thức thực tập: Thực tập trực tiếp tại công ty
Công việc đảm nhiệm: Thực hiện cấu hình rules cho sản phẩm NDR (Network Detection and Response) để phát hiện bất thường và đưa ra cánh bảo về các hoạt động tấn công và đe dọa trong môi trường mạng Kịch bản tấn công là các kịch bản APT được mô tả trong
Trang 5MITRE ATT&CK
2 Nội dung thực tập
Tuần 1 (03/07/2023 – 07/07/2023): Làm quen với sản phẩm NDR Tìm hiểu về filter trong Wireshark và các loại log trong NDR
Tuần 2 (10/07/2023 – 14/07/2023): Tìm hiểu MITRE ATT&CK Đọc toàn bộ lý thuyết của các technique có Data Sources là Network Traffic
Tuần 3 (17/07/2023 – 21/07/2023): Đọc hiểu các bước tấn công của kịch bản tấn công APT29 Tiến hành rà soát lại trong file pcap để cập nhật và bổ sung rule cho các bước có detection là network traffic
Tuần 4 (24/07/2023 – 28/07/2023): Đọc hiểu các bước tấn công của kịch bản tấn công APT41 Tiến hành rà soát lại trong file pcap để cập nhật và bổ sung rule cho các bước có detection là network traffic
Tuần 5 (31/07/2023 – 04/08/2023): Đọc hiểu các bước tấn công của kịch bản tấn công APT32 kịch bản 1 Tiến hành rà soát lại trong file pcap để cập nhật và bổ sung rule cho các bước có detection là network traffic
Tuần 6 (07/08/2023 – 11/08/2023): Đọc hiểu các bước tấn công của kịch bản tấn công APT32 kịch bản 2 Tiến hành rà soát lại trong file pcap để cập nhật và bổ sung rule cho các bước có detection là network traffic
Tuần 7 (14/08/2023 – 18/08/2023): Xây dựng các rule mới tham khảo từ một số sản phẩm NDR trên thế giới như: DarkTrace, Dựng các cuộc tấn công mô phỏng để test các rule mới được xây dựng
III CHI TIẾT CÔNG VIỆC THỰC HIỆN
1 Tuần 1 (03/07/2023 – 07/07/2023):
1.1 Làm quen với sản phẩm NDR
1.1.1 Giới thiệu
Đây là giải pháp phát hiện tấn công có chủ đích (APT) bằng sự kết hợp phân tích các hành
vi bất thường (non-signature) cùng nền tảng rule Suricata (signature), hỗ trợ phân tích traffic mã hóa và hỗ trợ phản ứng kịp thời với đầy đủ thông tin về các đối tượng (IP, Host)
1.1.2 Các chức năng chính
Trang 61.1.2.1 Quản lý Threat Management
Mục đích: Theo dõi được các tấn công (threat) đang đe dọa hệ thống và các thông tin liên quan (Bằng chứng tấn công, đối tượng tấn công, bị tấn công) để giảm tải vận hành và ngăn chặn tấn công leo thang kịp thời
Chức năng:
• Xem danh sách các Threat Có thể lọc theo khoảng thời gian hoặc tìm kiếm theo host name, IP address
• Xem chi tiết một Threat Khi click vào một Threat thì sẽ hiển thị sơ đồ tấn công bao gồm địa chỉ IP của attacker, victim và các cảnh báo đối với tấn công của attacker
1.1.2.2 Quản lý Detection
Mục đích: Hệ thống gom nhóm các cảnh bảo theo nhóm đối tượng có trong hệ thống Khi người dùng thực hiện một hành vi bất thường và hành vi đó vi phạm đến rule đã cấu hình trong hệ thống thì hệ thống hiển thị Detection cho hành vi đó
Chức năng:
• Tìm kiếm Detection theo điều kiện Ví dụ: Host_name = “SV_MINHTT”
• Xem chi tiết một Detection Khi click vào một Detection thì sẽ hiển thị thông tin chi tiết bao gồm: Tên rule, địa chỉ IP của attacker và victim, rule này ứng với technique nào của MITRE
1.1.2.3 Quản lý Event Search
Mục đích: Các sự kiện phát sinh khi có các traffic thỏa mãn tập luật của hệ thống Thông tin các sự kiện này được sử dụng để phát sinh các cảnh báo trên hệ thống
Event: Sự kiện giám sát an toàn thông tin được đọc từ source tích hợp
Các loại Event bao gồm: Files, connections, DEC RPC, DNS, HTTP, Kerberos, RDP, SMB Mapping, SMB CMD, SMB Files,…
1.1.2.4 Quản lý Behavior
Behavior là hành vi mô tả hành động có tính đặc trưng trên hệ thống mạng, lặp đi lặp lại với nhiều thực thể: Server, User, khác nhau, chứa thông tin source log và câu filter apply Chức năng:
• Xem danh sách Behavior
Trang 7• Thêm/sửa/xóa Behavior
• Tìm kiếm Behavior
1.1.2.5 Quản lý Rule & Indicator
Rule: Thực hiện trả lời true, false trên từng event dựa trên các logic cấu hình
Chức năng:
• Lọc rule theo thời gian Có thể là 15 trước, 30 phút trước, 60 phút trước, 1 ngày trước,…
• Tìm kiếm rule dựa theo điều kiện Ví dụ ip_host = “192.168.20.34”
• Xem danh sách rule Bao gồm: Tên rule, tên Behavior rule đó thuộc, risk level và trạng thái của rule
• Thêm/sửa/xóa một Rule
• Xem chi tiết một Rule
1.2 Tìm hiểu về filter trong Wireshark
Filter (bộ lọc) trong Wireshark là một cách để chọn và hiển thị chỉ các gói tin mạng cụ thể
mà kỹ sư bảo mật quan tâm từ một luồng dữ liệu lớn Có hai loại bộ lọc chính:
• Bộ lọc hiển thị (Display Filters): Bộ lọc này giúp chỉ hiển thị các gói tin thỏa mãn một số điều kiện cụ thể
• Bộ lọc điều tra (Capture Filters): Bộ lọc này được sử dụng để quyết định gói tin nào được ghi lại trong tệp dữ liệu khi bắt ghi (capture) dữ liệu từ mạng
Tổng hợp các filter phổ biến thường sử dụng trong Wireshark:
Trang 81.3 NDR Log
Giái thích về các trường trong từng loại log
Trang 111.4 Kết quả đạt được
Nắm được luồng hoạt động, các chức năng chính của sản phẩm NDR Hiểu được cách sản phẩm NDR chuyển các bản ghi trong file pcap (raw data) thành các event
Hiểu được ý nghĩa của các câu filter trong Wireshark, giúp việc tìm các bản ghi cần thiết
dễ dàng hơn
Tổng hợp được những trường quan trọng của các log (event) để phục vụ cho việc Detection
2 Tuần 2 (10/07/2023 – 14/07/2023)
2.1 Tìm hiểu MITRE ATT&CK
2.1.1 Cơ bản về MITRE ATT&CK
2.1.1.1 Giới thiệu
MITRE ATT&CK là một cơ sở tri thức của hành vi của đối thủ Nó dựa trên quan sát ở thế giới thực, mở miễn phí và có thể truy cập trên toàn cầu góp phần thúc đẩy đóng góp cho cộng đồng
2.1.1.2 Tactics
MITRE ATT&CK Framework hiện tại định nghĩa tổng cộng 14 tactic Tactic là mục tiêu của đối thủ khi thực hiện tấn công (ví dụ: Truy cập ban đầu – Initial Access, Duy trì truy cập – Persistence, ) Một list tactic có thể khác nhau giữa những lĩnh vực công nghệ khác nhau và mỗi tactic được gán 1 ID và 1 description
2.1.1.3 Techniques và Sub-Techniques
Techniques là cách mà đối thủ đạt được tactic (từ quan điểm của đối thủ chứ không phải
là của defender) Có những technique là duy nhất cho một tactic, nhưng cũng có những technique đồng thời được sử dụng cho cả hai hoặc nhiều tactic
Sub-technique mô tả cụ thể hơn về hành vi của đối thủ được sử dụng để đạt được mục tiêu Một sub-technique chỉ thuộc về một technique duy nhất Được thiết kế để giảm các thay đổi đối với technique khi 1 biến thể và nền tảng mới được thêm vào
Sub technique thường xuất hiện ở các technique đa nền tảng (platform), biểu thị cách
mà technique đó thực hiện trên các nền tảng khác nhau (như việc khai thác trên Windows
sẽ khác trên Linux)
Trang 122.1.1.4 Data Sources và Detections
Data source được thu thập bởi sensor hoặc logging system (thông tin thu thập bởi sensor/log) Được sử dụng để thu thập thông tin liên quan đến việc xác định hành động của đối thủ Là nơi để thu thập dữ liệu(file, command, driver, named pipe, )
Detections là các quy tắc, nguyên tắc hoặc mô hình mà người dùng và nhà quản trị mạng
sử dụng để phát hiện các hoạt động tấn công trong dữ liệu được thu thập từ các Data Sources
2.1.1.5 Groups và Software
Các group có liên quan đến hoạt động xâm nhập được theo dõi bởi một tên chung Một
số nhóm có nhiều tên liên quan đến các hoạt động tương tự (group là một nhóm người hay một tổ chức chịu trách nhiệm cho một hoặc nhiều cuộc tấn công , có thể được gọi bằng nhiều cái tên khác nhau)
Software là tool hoặc malware mà kẻ thù sử dụng trong quá trình xâm nhập
2.1.2 Lợi ích của việc sử dụng MITRE ATT&CK
Community Perspective:
• MITRE ATT&CK cung cấp phương pháp tiếp cận dựa vào cộng đồng đối với an ninh mạng Nó thúc đẩy sự cộng tác và chia sẻ thông tin giữa các chuyên gia, nhà nghiên cứu và tổ chức an ninh mạng Bằng cách đóng góp và cộng tác trong cộng đồng ATT&CK, các chuyên gia bảo mật có thể cùng nhau nâng cao cơ sở kiến thức, cải thiện thông tin tình báo về mối đe dọa và hiểu rõ hơn về các mối đe dọa mạng mới nổi và hành vi của kẻ thù
Common Language:
• ATTT&CK thiết lập một ngôn ngữ chung để mô tả và phân loại các hoạt động đe dọa mạng
• Ngôn ngữ chung này giúp tăng cường giao tiếp và hiểu biết giữa các nhóm bảo mật, cho phép phát hiện và ứng phó với mối đe dọa hiệu quả hơn giữa các tổ chức và ngành khác nhau Việc có một vốn từ vựng dùng chung để mô tảcác mối đe dọa trên mạng sẽ tạo điều kiện thuận lợi cho sự cộng tác, trao đổi thông tin và đo điểm chuẩn giữa các chuyên gia bảo mật một cách liền mạch
Trang 13Quantitative Scorecard:
• Thẻ điểm định lượng là một tính năng có giá trị của ATTT&CK cho phép các tổ chức đánh giá tình trạng và hiệu quả bảo mật của họ
• Bằng cách sắp xếp các khả năng phòng thủ với Chiến thuật và Kỹ thuật của ATT&CK, các nhóm bảo mật có thể đo lường và theo dõi khả năng phát hiện và ngăn chặn của họ đối với các loại tấn công cụ thể Thẻ điểm giúp các tổ chức xác định các điểm yếu và ưu tiên cải thiện để bảo vệ tốt hơn trước các mối đe dọa phổ biến và có liên quan nhất
2.1.3 Vận hành MITRE ATT&CK
Cyber Threat Intelligence:
• CTI (Cyber Threat Intelligence) là tất cả về việc hiểu rõ những gì mà các đối thủ thực hiện
• CTI có thể là một đoạn code, một bài report, hay một bài viết blog, từ những nguồn khác nhau mà các nhà phân tích trích xuất được CTI đó có liên quan đến technique nào, và tổng hợp được tất cả technique sử dụng
Detection and Analysis:
• Phần này tập trung vào tầm quan trọng của khả năng phát hiện và phân tích hiệu quả Đội ngũ an ninh học cách phát triển và triển khai các quy tắc phát hiện, sử dụng các công cụ phân tích hành vi, và phân tích các bản ghi log bảo mật để xác định và phản ứng với các mối đe dọa tiềm ẩn
Threat Emulation:
• Red team sẽ bắt chước một threat đã biết từ quan sát và đánh giá khả năng phòng thủ từ quan điểm của đối thủ
• Mô phỏng mối đe dọa liên quan đến việc giả lập các kịch bản tấn công thực tế để kiểm tra khả năng phòng thủ của tổ chức Bằng việc thực hiện các bài tập mô phỏng mối đe dọa, các tổ chức có thể đánh giá tình trạng bảo mật của mình, xác định điểm yếu và nâng cao sẵn sàng phản ứng sự cố
2.2 Các Technique có Data Source là Network Traffic
Đọc và hiểu lý thuyết của các techniques và sub-techniques có data source là network