Báo cáo này tậptrung vào việc tạo ra một môi trường mô phỏng để điều tra một cuộc tấn công APTgiả mạo, trong đó mục tiêu chính là truy cập, lấy cắp và tiêu thụ dữ liệu nhạy cảm từ một ng
Kỹ thuật và chiến thuật tấn công
Giới thiệu về APT và các cuộc tấn công APT
1.1.1 Mô tả sơ lược về APT
APT (Advanced Persistent Threat) là thuật ngữ dùng để chỉ một tập hợp các quá trình tấn công hệ thống máy tính bí mật và liên tục, thường được sắp xếp bởi một người hoặc một nhóm người nhắm vào một thực thể cá biệt Tấn công APT thường nhắm tới các tổ chức tư nhân, nhà nước hoặc cả hai vì các động cơ kinh doanh hoặc chính trị Mục tiêu của APT có thể rất đa dạng, từ việc trộm cắp dữ liệu nhạy cảm như thông tin cá nhân hoặc tài liệu kinh doanh đến việc gây hại cho hệ thống mạng như tấn công từ chối dịch vụ (DDoS) hoặc tiêm phần mềm độc hại vào hệ thống.
Một cuộc tấn công APT thường bắt đầu bằng việc xâm nhập vào hệ thống mạng của một tổ chức mục tiêu thông qua các kỹ thuật như lừa đảo email, khai thác lỗ hổng phần mềm, Khi đã xâm nhập thành công, kẻ tấn công thường sẽ tiến hành thu thập thông tin, di chuyển ngang qua hệ thống mạng, và tìm cách duy trì quyền truy cập để không bị phát hiện
1.1.2 Một số cuộc tấn công APT trên thế giới
A Cuộc tấn công DEV-0530 (H0lyGh0st Ransomware): a Tên cuộc tấn công: Cuộc tấn công Ransomware DEV-0530 (còn được biết đến với tên gọi H0lyGh0st). b Thủ phạm: Nhóm tội phạm DEV-0530 (tự gọi là "H0lyGh0st"). c Kỹ thuật tấn công: Sử dụng phương pháp "double extortion" bằng cách mã hóa dữ liệu và đe dọa công khai dữ liệu nếu không trả tiền chuộc Nghiên cứu cho thấy DEV-0530 có liên kết với nhóm APTPLUTONIUM (còn được gọi là DarkSeoul và Andariel) Các tấn công của DEV-0530 được phân loại vào hai gia đình mã độc mới: SiennaPurple và SiennaBlue bởi Trung tâm Tình báo Mối đe dọa Microsoft (MSTIC). d Thời gian tấn công: Từ tháng 9 năm 2021 đến nay. e Mục tiêu: Các tổ chức doanh nghiệp vừa và nhỏ trên toàn cầu, bao gồm các tổ chức sản xuất, ngân hàng, trường học và công ty tổ chức sự kiện. f Thiệt hại: Rò rỉ thông tin và ảnh hưởng đến tính bảo mật của các tổ chức, đặc biệt là các tổ chức tài chính và ngân hàng
B Cuộc tấn công IRIDIUM/Sandworm (Prestige Ransomware Attack): a Tên cuộc tấn công: Cuộc tấn công ransomware Prestige. b Thủ phạm: Nhóm tội phạm IRIDIUM (còn được biết đến với tên Sandworm hay Hades). c Kỹ thuật tấn công: i Sử dụng ransomware mới có tên là "Prestige" để tấn công các ngành vận tải và logistic ở Ukraine và Ba Lan. ii Trước khi triển khai ransomware, nhóm IRIDIUM đã sử dụng các công cụ như RemoteExec và Impacket WMIexec để thực hiện các hoạt động tấn công và thu thập thông tin đăng nhập đặc quyền. iii Sử dụng các công cụ mã nguồn mở như winPEAS để tăng cường quyền đặc quyền và lấy thông tin chứng thực đặc quyền cao. iv Đánh cắp thông tin đăng nhập bằng cách dump bộ nhớ của tiến trình LSASS và sao lưu cơ sở dữ liệu Active Directory. d Thiệt hại: i Các tổ chức trong ngành vận tải và logistic ở Ukraine và Ba Lan bị mã hóa dữ liệu và yêu cầu thanh toán tiền chuộc. ii Sự chồng chéo về nạn nhân giữa các cuộc tấn công sử dụng Prestige và malware HermeticWiper. iii Rủi ro rò rỉ thông tin quan trọng và ảnh hưởng đến tính khả dụng của hệ thống do bị tấn công ransomware.
C Cuộc tấn công TA423/Red Ladon: a Tên cuộc tấn công: Cuộc tấn công tình nghi của nhóm TA423/Red Ladon. b Thủ phạm tình nghi: Nhóm tội phạm TA423 (còn được gọi là Red Ladon hoặc APT40). c Kỹ thuật tấn công: i Sử dụng chiến dịch gián điệp mạng nhắm vào các tổ chức chính phủ, năng lượng và sản xuất trong khu vực châu Á-Thái Bình Dương. ii Triển khai các email lừa đảo (phishing) để đưa các mục tiêu đến một trang web tin tức giả mạo. iii Xây dựng trang web giả mạo để phát tán mã độc được biết đến là ScanBox. d Thiệt hại: i ScanBox được sử dụng để thu thập thông tin chi tiết về trình duyệt đang được sử dụng bởi nạn nhân. ii Các plugin của ScanBox được cài đặt sau đó có chức năng ghi nhật ký phím, xác định plugin trình duyệt, xác định vân tay trình duyệt và thực hiện kết nối trực tiếp với các nút bị nhiễm qua NATs để bypass tường lửa và các giải pháp bảo mật khác. iii Đây là một cuộc tấn công gián điệp nghiêm trọng nhằm vào các tổ chức chính phủ và doanh nghiệp trong khu vực châu Á-Thái Bình Dương, nhằm lấy thông tin chi tiết về các hoạt động và tài nguyên của các tổ chức này.
D Cuộc tấn công APT31: a Tên cuộc tấn công: Cuộc tấn công vào các công ty năng lượng và truyền thông của Nga. b Thủ phạm: Nhóm tội phạm APT31. c Kỹ thuật tấn công: i Sử dụng tài liệu độc hại để tấn công nhiều công ty năng lượng và truyền thông tại Nga. ii Sử dụng mã độc để thu thập thông tin về các bộ chuyển mạng và dữ liệu của hệ thống bị nhiễm bệnh. iii Sử dụng các máy chủ đám mây (cloud servers) để điều khiển phần mềm độc hại. iv Sử dụng Yandex.Disk làm máy chủ điều khiển và điều hành (C&C server). d Thiệt hại: i Xâm nhập và thu thập thông tin từ nhiều công ty quan trọng tại Nga trong khoảng thời gian từ tháng 11 năm 2021 đến tháng 6 năm 2022. ii Sử dụng các tệp tin hợp pháp để truyền điều khiển cho các thư viện độc hại và gửi các gói khởi tạo tới máy chủ điều khiển và điều hành. iii Sử dụng các thành phần của Yandex.Browser để lây nhiễm và ký số hóa hợp pháp.
Các cuộc tấn công APT này không chỉ dẫn đến thiệt hại về mặt kinh tế mà còn có thể ảnh hưởng đến an ninh quốc gia, quan hệ quốc tế và uy tín của các tổ chức và nền kinh tế trên toàn cầu Việc phát hiện và ngăn chặn các cuộc tấn công APT đòi hỏi các biện pháp bảo mật mạnh mẽ và sự hợp tác chặt chẽ giữa các tổ chức an ninh mạng quốc tế.
1.1.3 Một số cuộc tấn công APT tại Việt Nam
A Cuộc tấn công vào Vietnam Airlines (nhóm 1937cN): a Tên cuộc tấn công: Cuộc tấn công tình nghi vào Vietnam Airlines. b Thủ phạm tình nghi: nhóm 1937cN - nhóm tin tặc có nguồn gốc từ Trung Quốc. c Kỹ thuật tấn công: Sử dụng phishing và các phần mềm độc hại để xâm nhập vào hệ thống của Vietnam Airlines. d Thiệt hại: Rò rỉ thông tin khách hàng và thông tin quan trọng của hãng hàng không.
B Cuộc tấn công vào các tổ chức chính phủ (APT32 - OceanLotus): a Tên cuộc tấn công: Cuộc tấn công tình nghi vào các tổ chức chính phủ. b Thủ phạm tình nghi: APT32 (OceanLotus). c Kỹ thuật tấn công: Sử dụng các kỹ thuật tấn công định hướng và phần mềm độc hại để tiến hành xâm nhập. d Thiệt hại: Rò rỉ thông tin nhạy cảm và ảnh hưởng đến hoạt động của các cơ quan chính phủ.
Các cuộc tấn công APT tại Việt Nam thường có tính chất rất phức tạp và có thể gây ra những thiệt hại nghiêm trọng đối với các tổ chức và doanh nghiệp Việc nâng cao nhận thức và triển khai các biện pháp bảo mật hiệu quả là rất cần thiết để ngăn chặn và đối phó với các mối đe dọa này trong lĩnh vực an ninh mạng tại ViệtNam.
Kỹ thuật và chiến thuật tấn công
Kỹ thuật và chiến thuật sẽ được chia theo các bước tương ứng với cyberkill chain
Cyberkill chain là một khung tấn công mạng được thiết kế để xác định và ngăn chặn các xâm nhập vào hệ thống mạng Khái niệm này dựa trên mô hình của quân sự và bao gồm các bước mà một kẻ tấn công cần phải thực hiện để đạt được mục tiêu của mình Khung tấn công này đã được phát triển bởi Lockheed Martin vào năm 2011 và được sử dụng rộng rãi trong ngành công nghiệp an ninh mạng.
Các bước trong cyberkill chain bao gồm:
1 Thu thập thông tin (Reconnaissance): Kẻ tấn công thu thập thông tin về hệ thống và mục tiêu, thường thông qua các công cụ Open-Source Intelligence và các trang web mạng xã hội.
2 Vũ khí hóa (Weaponization): Kẻ tấn công tạo ra các công cụ hoặc phần mềm độc hại để sử dụng trong cuộc tấn công, bao gồm cả việc tạo ra các tệp văn bản chứa mã độc.
3 Phân phối (Delivery): Mã độc hoặc công cụ tấn công được chuyển đến mục tiêu thông qua các phương tiện như email hoặc các thiết bị lưu trữ như USB.
4 Khai thác (Exploitation): Kẻ tấn công sử dụng các lỗ hổng đã tìm thấy để xâm nhập vào hệ thống mục tiêu.
5 Cài đặt (Installation): Mã độc hoặc phần mềm độc hại được triển khai trên hệ thống mục tiêu.
6 Điều khiển & Kiểm soát (Command & Control): Kẻ tấn công thiết lập các kênh điều khiển từ xa để kiểm soát và điều khiển hệ thống đã bị xâm nhập.
7 Thực hiện mục tiêu (Actions on Objectives): Kẻ tấn công thực hiện các hành động để đạt được mục tiêu cuối cùng, chẳng hạn như lấy thông tin quan trọng hoặc gây ra sự cố.
Command and Control Server, thường được viết tắt là C2 Server, là một phần quan trọng của hệ thống tấn công mạng Khi một máy tính hoặc thiết bị bị nhiễm malware hoặc botnet, nó cần một cách để kết nối với người tấn công hoặc các hệ thống kiểm soát Đây là nơi mà C2 Server đóng vai trò C2 Server cung cấp một giao diện mà người tấn công có thể sử dụng để gửi lệnh tới các máy nạn nhân và thu thập dữ liệu từ chúng Đồng thời, C2 Server cũng có thể điều khiển các hành động của máy nạn nhân, như là tải và chạy các phần mềm độc hại mới hoặc thực hiện cuộc tấn công khác.
Thông thường một server C2 sẽ không đứng độc lập một mình, mà sẽ có một hạ tầng về cả phần cứng lẫn phần mềm hỗ trợ để có thể hoạt động hiệu quả Đầu tiên hạ tầng đơn giản nhất đối với các loại C2 phổ biến hiện nay như Cobalt Strike, Mythic, sẽ có 2 phần là server và client:
- Server: đóng vai trò là C2 server chính, vừa giao tiếp với client (attacker) vừa giao tiếp với mục tiêu
- Client: đóng vai trò là attacker, kết nối đến Server để thực hiện tấn công
Hình 1.2 Hạ tầng C2 facing internet Ưu và nhược điểm của hạ tầng này:
- Ưu điểm: Đơn giản, chi phí thấp
- Nhược điểm: C2 Server công khai ra internet, rủi ro bị phát hiện và hackback cực kỳ cao
Ta thấy nhược điểm lớn nhất của mô hình trên là IP của C2 Server công khai ra internet, do đó ta sẽ có hạ tầng thứ 2 để khắc phục yếu điểm trên.
Hạ tầng thứ 2 vẫn là mô hình client-server nhưng sẽ có thêm 1 redirector đống vai trò là “người giữ cửa” cho hệ thống C2
Hình 1.3 Hạ tầng C2 Redirector Ưu và nhược điểm của hạ tầng này:
- Ưu điểm: C2 Server nằm trong mạng nội bộ, không thể bị truy cập từ internet
- Nhược điểm: tốn nhiều chi phí, độ phức tạp trung bình Đôi khi để đảm bảo an toàn hơn ta có thể config redirector chỉ forward những request đến từ victim, tránh việc bị scan từ những máy khác
Ngoài ra ta còn nhiều cách setup hạ tầng khác với những ưu nhược điểm riêng, phù hợp từng tính huống riêng biệt như: Domain Fronting, C2 Profiles, Ở đây vì hạn chế về chi phí và cơ sở hạ tầng nên nhóm sẽ sử dụng mô hình hạ tầng thứ nhất (C2 server facing internet) để demo Để dựng được hạ tầng demo,nhóm sẽ deploy một VPS (IP là 20.102.88.44) đống vai trò là C2 server, một máyKali linux đống vai trò là attacker, kèm theo đó là một máy windows 10 đống vai trò là mục tiêu bị tấn công Sau khi demo tấn công độc lập hoàn tất, nhóm sẽ dựng một hệ thống phát hiện xâm nhập để điều tra hành vi của kẻ tấn công.
Cobalt Strike (CBS) là một C2 mã nguồn đóng dành cho các hoạt động, chiến dịch red-team Nó cung cấp nhiều tính năng và công cụ khác nhau hỗ trợ mọi giai đoạn trong quá trình tấn công từ weaponize, delevery đến leo thang đặc quyền, lateral movement, Đối với Cobalt Strike C2 server sẽ được gọi là teamserver, còn client vẫn được gọi là client
Một số tính năng đáng chú ý của Cobalt Strike như sau:
- Tạo listeners: trong CBS để có thể khiến máy mục tiêu giao tiếp được với C2 ta cần 1 listener, đây giống như một service được tạo trên teamserver để xử lý các callback từ victim CBS hỗ trợ nhiều protocol khác nhau để tạo listeners như HTTP/HTTPS, TCP, SMB,
- Beacon: beacon là thuật ngữ dùng để chỉ các payload tấn công của CBS, nó có thể là đoạn shell code hoặc là một file thực thi nhằm mục đích callback về teamserver để attacker dễ dàng điều khiển từ xa máy nạn nhân CBS hỗ trợ 2 loại beacon là stageless và stager o Stageless: là loại beacon tĩnh, khi thực thi sẽ gọi về teamserver và thực hiện kết nối lâu dài o Stager: là loại beacon động, nó chỉ chứa một phần payload, khi được thực thi sẽ gọi về teamserver để tải đầy đủ của payload rồi sau đó mới thực hiện kết nối lâu dài
- Post-exploit module: CBS cung cấp đầy đủ những tính năng từ cơ bản đến nâng cao giúp cho quá trình post-exploit Một số có thể kể đến như
- Execute assembly: CBS cung cấp một tính năng cho phép load file thực thi vào memory và thực thi mà không cần phải upload file lên máy nạn nhân, điều này mở ra nhiều khả năng để tùy chỉnh và tự tạo công cụ để có thể sử dụng linh hoạt cho nhiều mục đích khác nhau
Phòng thủ và ngăn chặn
Giới thiệu hệ thống EDR (Endpoint Detection and Response)
Hệ thống EDR (Endpoint Detection and Response) là một công nghệ an ninh thông tin dùng để phát hiện, phản ứng và giải quyết các mối đe dọa trên các thiết bị kết nối mạng (endpoint) như máy tính, máy chủ, hoặc thiết bị di động EDR thu thập dữ liệu từ các endpoint và sử dụng các thuật toán phân tích thông minh để phát hiện các hành vi bất thường hoặc các dấu hiệu của một cuộc tấn công.
EDR là một công cụ quan trọng trong việc bảo vệ hạ tầng mạng của tổ chức vì nó cung cấp khả năng phát hiện và phản ứng nhanh chóng đối với các mối đe dọa mới và tiềm ẩn Trong một môi trường mạng ngày nay, các cuộc tấn công ngày càng phức tạp và tiên tiến, do đó việc có một hệ thống EDR có thể giúp tổ chức nắm bắt và ngăn chặn các cuộc tấn công này trước khi chúng gây ra thiệt hại.
1.1.1 Giới thiệu mô hình Wazuh
Wazuh là 1 project mã nguồn dùng cho việc bảo vệ an ninh Được xây dựng từ các thành phần là OSSEC HIDS, OpenSCAP và Elastic Stack như Hình 2-1
Hình 2.7.Cấu trúc của hệ thống Wazuh
OSSEC HIDS : host-based Intrusion Detection System (HIDS) được dùng cho việc phát hiện xâm nhập, hiển thị và giám stas Nó dựa vào 1 multi-platform agent cho việc đẩy dữ liệu hệ thống (log message, file hash và phát hiện bất thường) tới 1 máy quản lý trung tâm, nơi sẽ phân tích và xử lý, dựa trên các cảnh báo an ninh Các agent truyền event data event data tới máy quản lý trung tâm thông qua kênh được bảo mật và xác thực OSSEC HIDS cung cấp syslog server trung tâm và hệ thống giám sát không cần agent, cung cấp việc giám sát tới các event và thay đổi trên các thiết bị không cài được agent như firewall, switch, router, access point, thiết bị mạng
OpenSCAP: OpenSCAP là 1 OVAL (Open Vulnerability Assesment Language) và XCCDF (Extensible Configuration Checklist Description Format) được dùng để kiểm tra cấu hình hệ thống và phát hiện các ứng dụng dễ bị tấn công.
Nó được biết đến như là một công cụ được thiết kế để kiểm tra việc tuân thủ an ninh của hệ thống sử dụng các tiêu chuẩn an ninh dùng cho môi trường doanh nghiệp
ELK Stack: Sử dụng cho việc thu thập, phân tích, index, store, search và hiển thị dữ liệu log.
Wazuh được cấu thành bởi ba thành phần chính, mỗi thành phần đóng một vai trò riêng biệt trong việc đảm bảo một giải pháp quản lý thông tin và sự kiện bảo mật (SIEM) mạnh mẽ và toàn diện:
- Indexer: Indexer là cột sống của Wazuh, có trách nhiệm lưu trữ và quản lý một lượng lớn dữ liệu bảo mật một cách hiệu quả Nó đóng vai trò quan trọng trong việc hỗ trợ việc truy xuất và phân tích dữ liệu một cách nhanh chóng.
- Server: Hành động như một đơn vị xử lý chính, Server tiếp nhận và phân tích dữ liệu được thu thập bởi các agent Nó thực hiện các hoạt động bảo mật cần thiết như phát hiện mối đe dọa, phản ứng với sự cố và quản lý tuân thủ.
- Dashboard: Dashboard là giao diện thân thiện với người dùng cung cấp một biểu đồ trực quan về dữ liệu bảo mật Nó cung cấp các bảng điều khiển được xây dựng sẵn để nhanh chóng có cái nhìn tổng quan về các sự kiện bảo mật, lỗ hổng, giám sát tính toàn vẹn tập tin, đánh giá cấu hình, giám sát cơ sở hạ tầng đám mây
Và dưới đây là các yêu cầu cũng như các bước để cài đặt Wazuh server all in one.
A Yêu cầu Để setup hệ thống wazuh sẽ cần thõa yêu cầu nhất định về cả phần cứng lẫn hệ điều hành sau đây:
- Phần cứng: Yêu cầu của phần cứng phụ thuộc rất nhiều về số lượng endpoint dữ liệu cần được phân tích cũng như các cánh báo mà wazuh nhận được hằng ngày Dưới đây là các yêu cầu về phần cứng để có thể giám sát được 100 endpoint và cho khả năng query các alert trong 90 ngày :
Agents CPU RAM Storage (90 days)
Bảng 2 1 Bảng yêu cầu phần cứng
- Hệ điều hành : Wazuh server hoạt động tốt trên hệ điều hành linux 64 bits, dưới đây là các phiên bản mà wazuh recommended
Red Hat Enterprise Linux 7, 8, 9 Ubuntu 16.04, 18.04, 20.04, 22.04
Bảng 2 2 Hệ điều hành hỗ trợ
Trong trường hợp sử dụng hệ điều hành mà wazuh yêu cầu, cần đảm bảo gói APT (Advanced Package Tool) được update tới phiên bản mới nhất thông qua câu lệnh: sudo apt update
Tạo một thư mục tên wazuh-installer để dễ dàng cho việc cài đặt : mkdir wazuh-installer
Chuyển vào thư mục vừa tạo để bắt đầu dùng các lệnh cài đặt cd wazuh-installer
Tải xuống wazuh-certs-tool.sh và config.yml : curl -sO https://packages.wazuh.com/4.7/wazuh-certs-tool.sh curl -sO https://packages.wazuh.com/4.7/config.yml
Chỉnh sửa file config.yml, thay ip bằng ip của máy đang chạy lệnh, lần lượt ở indexer, server và dashboard.
Chạy /wazuh-certs-tool.sh để tạo certificate bash /wazuh-certs-tool.sh -A
Nén lại các file cần thiết: tar -cvf /wazuh-certificates.tar -C /wazuh-certificates/. rm -rf /wazuh-certificates
Cài đặt package dependencies: apt-get install debconf adduser procps apt-get install gnupg apt-transport-https
Cài đặt GPG key : curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | gpg no- default-keyring keyring gnupg-ring:/usr/share/keyrings/wazuh.gpg import && chmod 644 /usr/share/keyrings/wazuh.gpg
Thêm repository: echo "deb [signed-by=/usr/share/keyrings/wazuh.gpg] https://packages.wazuh.com/4.x/apt/ stable main" | tee -a
/etc/apt/sources.list.d/wazuh.list
Update the package information: apt-get update
Cài đặt gói wazuh indexer: apt-get -y install wazuh-indexer
Cấu hình wazuh indexer bằng cách chỉnh sửa file /etc/wazuh-indexer/opensearch.yml và thay thế các giá trị network.host, node.name, cluster.initial_master_nodes
Deploying certificate mkdir /etc/wazuh-indexer/certs tar -xf /wazuh-certificates.tar -C /etc/wazuh-indexer/certs/ ./$NODE_NAME.pem /$NODE_NAME-key.pem /admin.pem /admin-key.pem mv -n /etc/wazuh-indexer/certs/$NODE_NAME.pem /etc/wazuh-indexer/ certs/indexer.pem mv -n /etc/wazuh-indexer/certs/$NODE_NAME-key.pem /etc/wazuh- indexer/certs/indexer-key.pem chmod 500 /etc/wazuh-indexer/certs chmod 400 /etc/wazuh-indexer/certs/* chown -R wazuh-indexer:wazuh-indexer /etc/wazuh-indexer/certs
Starting the service systemctl daemon-reload systemctl enable wazuh-indexer systemctl start wazuh-indexer systemctl status wazuh-indexer
/usr/share/wazuh-indexer/bin/indexer-security-init.sh
Installing the Wazuh manager: apt-get -y install wazuh-manager systemctl daemon-reload systemctl enable wazuh-manager systemctl start wazuh-manager systemctl status wazuh-manager
Như vậy là hoàn thành quá trình cài đặt Wazuh Server
Điều tra và ứng phó sự cố
A Giám sát và xử lý cảnh báo:
System Monitor (Sysmon) là trình điều khiển thiết bị và dịch vụ hệ thống
Windows, sau khi được cài đặt trên hệ thống, sẽ tồn tại trong suốt quá trình khởi động lại hệ thống để giám sát và ghi nhật ký hoạt động của hệ thống vào nhật ký sự kiện Windows Nó cung cấp thông tin chi tiết về việc tạo quy trình, kết nối mạng và những thay đổi về thời gian tạo tệp Bằng cách thu thập các sự kiện mà nó tạo ra bằng Windows Event Collection hoặc SIEM và sau đó phân tích chúng, ta có thể xác định hoạt động độc hại hoặc bất thường cũng như hiểu cách những kẻ xâm nhập và phần mềm độc hại hoạt động trên mạng của bạn Dịch vụ này chạy như một quy trình được bảo vệ, do đó không cho phép nhiều tương tác ở chế độ người dùng Lưu ý rằng Sysmon không cung cấp phân tích về các sự kiện mà nó tạo ra cũng như không cố gắng che giấu bản thân khỏi những kẻ tấn công.
Tải về tại: https://learn.microsoft.com/en-us/sysinternals/downloads/sysmon
FastIR thu thập các artefact khác nhau trên Windows một cách trực tiếp và ghi lại kết quả trong tệp csv hoặc json Với việc phân tích các artefact này, có thể phát hiện sớm sự xâm phạm.
Tải về tại: https://github.com/SekoiaLab/Fastir_Collector
TCPView là một chương trình Windows hiển thị danh sách chi tiết về tất cả các điểm cuối TCP và UDP trên hệ thống, bao gồm các địa chỉ cục bộ và từ xa cũng như trạng thái của các kết nối TCP TCPView cũng báo cáo tên của tiến trình sở hữu điểm cuối TCPView cung cấp một tập hợp con được trình bày thuận tiện và nhiều thông tin hơn của chương trình Netstat đi kèm với Windows.
Tải về tại: https://learn.microsoft.com/en-us/sysinternals/downloads/tcpview
Tiện ích này, có kiến thức toàn diện nhất về vị trí tự động khởi động của bất kỳ màn hình khởi động nào, cho bạn biết chương trình nào được cấu hình để chạy các ứng dụng Windows tích hợp khác nhau như Internet Explorer, Explorer và media người chơi Các chương trình và trình điều khiển này bao gồm các chương trình và trình điều khiển trong thư mục khởi động của bạn, Run, RunOnce và các khóa Sổ đăng ký khác Autoruns báo cáo các tiện ích mở rộng shell Explorer, thanh công cụ, đối tượng trợ giúp trình duyệt, thông báo Winlogon, dịch vụ tự động khởi động và hơn thế nữa Autoruns vượt xa các tiện ích tự khởi động khác. Tải về tại: https://learn.microsoft.com/en-us/sysinternals/downloads/autoruns
Process Monitor là một công cụ giám sát nâng cao dành cho Windows, hiển thị hệ thống tệp, Sổ đăng ký và hoạt động của quy trình/luồng theo thời gian thực Nó kết hợp các tính năng của hai tiện ích Sysinternals kế thừa, Filemon và Regmon, đồng thời bổ sung một danh sách cải tiến phong phú bao gồm lọc phong phú và không phá hủy, các thuộc tính sự kiện toàn diện như ID phiên và tên người dùng, thông tin quy trình đáng tin cậy, ngăn xếp luồng đầy đủ với biểu tượng tích hợp hỗ trợ cho từng thao tác, ghi nhật ký đồng thời vào một tệp và hơn thế nữa Các tính năng mạnh mẽ độc đáo của nó sẽ biến Process Monitor trở thành tiện ích cốt lõi trong bộ công cụ khắc phục sự cố hệ thống và săn tìm phần mềm độc hại.
Tải về tại: https://learn.microsoft.com/en-us/sysinternals/downloads/procmon
Hayabusa là một công cụ tạo dòng thời gian điều tra nhanh chóng về nhật ký sự kiện của Windows và công cụ săn tìm mối đe dọa do nhóm Bảo mật Yamato ở Nhật Bản tạo ra Hayabusa có nghĩa là "chim ưng peregrine" trong tiếng Nhật và được chọn là loài chim ưng peregrine là loài động vật nhanh nhất thế giới, săn mồi giỏi và có khả năng huấn luyện cao Nó được viết bằng Rust và hỗ trợ đa luồng để nhanh nhất có thể Chúng tôi đã cung cấp một công cụ để chuyển đổi quy tắc Sigma sang định dạng quy tắc Hayabusa Các quy tắc phát hiện Hayabusa tương thích với Sigma được viết bằng YML để có thể dễ dàng tùy chỉnh và mở rộng nhất có thể Hayabusa có thể được chạy trên các hệ thống chạy đơn lẻ để phân tích trực tiếp, bằng cách thu thập nhật ký từ một hoặc nhiều hệ thống để phân tích ngoại tuyến hoặc bằng cách chạy tạo phẩm Hayabusa với Velociraptor để tìm kiếm mối một dòng thời gian CSV duy nhất để dễ dàng phân tích trong LibreOffice,
Timeline Explorer, Elastic Stack, Timesketch, v.v
Tải về tại: https://github.com/Yamato-Security/hayabusa
1.2.3 Cài đặt hệ thống giám sát:
Sau một vài lần cấu hình và demo thử nghiệm, nhóm nhận thấy rằng
Windows Security log mặc định không ghi nhận tấn công Do đó nhóm sẽ dùng công cụ Sysmon để giám sát hệ thống.
Cài đặt Sysmon trên agent với rule từ https://github.com/olafhartong/sysmon-modular
1.2.4 Tình huống: Ở đây nhóm sẽ giả lập tình huống hệ thống đã bị compromise và attacker đã thực hiện xong mục tiêu, sau đó hệ thống giám sát phát hiện sự cố và tiến hành điều tra và ngăn chặn.
Wazuh ghi nhận cảnh báo “suspicious windows cmd shell execution” từ agent 002
Hình 2.8.Wazuh ghi nhận cảnh bảo từ agent 002
Nhận thấy đây là sự cố, lập tức tiến hành chuẩn bị công cụ và truy cập vào agent bị sự cố Sau đó khoanh vùng các máy bị compromised trong mạng.
Danh sách các máy bị compromised:
Bảng 2 3 Danh sách các máy bị compromised
Sử dụng công cụ TCPView quan sát các kết nối mạng, ta thấy CV.docx.exe kết nối tới máy chủ C2 có IP là: 20.102.88.44
Hình 2.9 CV.docx.exe thiết lập kết nối tới máy chủ 20.102.88.44
Dùng công cụ FastIR thu thập các artifact quan trọng như event log, startup files,….
Hình 2.10 Công cụ FastIR thu thập và xử lý artifactDùng công cụ Autoruns check persistence, ta thấy có tập tin tên là “a.abcd” nằm trong thư mục startup.
Hình 2.11 Attacker gain persistence tại startup folder FastIR cũng đồng thời collect tập tin auto run tại thư mục startup
Hình 2.12 FastIR collect tập tin autorun
Tiếp theo ta sẽ tiến hành điều tra nguyên nhân sự cố và mục đích, hành động của adversary.
Người dùng tải về CV.docx.exe và vô tình click vào, sau đó mã độc kết nối tới C2 server và attacker bắt đầu compromise thiết bị.
Dùng công cụ Hayabusa để parse event log theo rule.
Hình 2.13 Hayabusa parse event log Dựa vào Security Event này, ta có thể xác định được thời gian xảy ra sự cố là vào khoảng 22:07.
Hình 2.14 Security Event cảnh báo sự cố
Dùng công cụ Timeline Explorer để đọc file result.csv mà ta đã dùng Hayabusa parse trước đó Ta có thể thấy vào 22:05 thì người dùng đã click vào file
Hình 2.15 Cảnh báo người dùng thực thi file mã độc
Sau đó malware sử dụng kỹ thuật Dll Sideloading để load vcruntime140.dll. Đây là dll giả mạo vì vcruntime140.dll thường nằm trong system32 hoặc syswow64.
Hình 2.17 Cảnh báo malware sử dụng kỹ thuật Dll Sideloading
Theo order thì CV.docx.exe nếu không kích hoạt safe dll search mode sẽ load vcruntime140.dll nằm trong cùng directory trước rồi mới tìm kiếm các thư mục khác.
Tiếp theo nó cố gắng kết nối tới máy chủ C2 vào lúc 22:05 và 22:06 Dựa vào port thì ta có thể đoán đây là https beacon
Hình 2.19 Cảnh bảo kết nối tới máy chủ C2
Hình 2.20 Nội dung chi tiết cảnh báo
Hình 2.21 Cảnh báo attacker thực hiện lệnh copy
Attacker copy CV.docx.exe vào thư mục “C:\Users\yobdas\AppData\Local\ Microsoft\Windows\Explorer” và đổi tên thành inno_updater.exe.
Hình 2.22 Attacker copy CV.docx.exe vào thư mục Explorer
Hình 2.23 Tập tin inno_updater tại thư mục Explorer Attacker cũng copy vcruntime140.dll vào thư mục trên.
Hình 2.24 Cảnh báo attacker thực hiện lệnh copy
Hình 2.25 Attacker copy vcruntime140.dll vào thư mục Explorer
Attacker tạo tập tin có tên là a.abcd với nội dung là “123” nằm trong thư mục startup Đó cũng là tập tin auto run mà ta đã thấy bên trên.
Hình 2.26 Cảnh báo attacker thực hiện lệnh cmd
Hình 2.27 Attacker tạo tập tin a.abcd tại Startup Folder
Hình 2.28 Nội dung tập tin a.abcdTiếp theo attacker sử dụng kỹ thuật thay đổi liên kết file mặc định (Mitre ID:T1546.001), để mỗi khi khởi động tập tin có đuôi là “.abcd” thì mặc định
Tức là mỗi khi máy tính khởi động, nó sẽ chạy file “a.abcd” và file này sẽ mặc định chạy “inno_updater.exe”.
Hình 2.29 Cảnh báo thực thi process
Hình 2.30 Attacker thay đổi file mặc định liên kết với đuôi abcd trong registry
Hình 2.31 Cảnh báo thực thi process
Hình 2.32 Attacker thay đổi file mặc định liên kết với đuôi abcd trong registry
Sau các bước gain persistence trên hệ thống, attacker bắt đầu do thám và thực hiện mục tiêu
Hình 2.33 Cảnh báo attacker thực hiện kỹ thuật User Directory
Hình 2.34 Attacker dùng lệnh whoami Sau một khoảng thời gian ngắn không hoạt động
Hình 2.35 Cảnh báo kết nối tới máy chủ C2 Attacker thực hiện exfiltrate tập tin quan trọng
Hình 2.36 Cảnh báo thực hiện web request
Hình 2.37 Attacker thực hiện Exfiltration qua Telegram
Kết thúc chuỗi tấn công.
- Đánh cắp dữ liệu quan trọng từ hệ thống
- Fishing người dùng bằng tập tin 2 đuôi và hy vọng người dùng click vào
- Sau khi người dùng click vào -> Dll Sideload vcruntime140.dll -> Kết nối tới máy chủ C2 20.102.88.44
- Từ máy chủ C2 bắt đầu điều khiển máy người dùng thực hiện các thao tác gain persistence, discovery và exfiltration.
Phân tích động hành vi của CV.docx.exe
CV.docx.exe load vcruntime140.dll
Hình 2.38 CV.docx.exe load vcruntime140.dll CV.docx.exe kết nối tới C2 server.
Cô lập hệ thống bị compromised
1.2.9 Biện pháp khắc phục sau sự cố
Rà soát và xoá các mã độc còn tồn tại trong hệ thống.
Khôi phục lại các hệ thống và dữ liệu bị ảnh hưởng về trạng thái sạch sẽ.Xác minh tính ổn định của hệ thống quan trọng.
