HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG NGUYỄN DIỆP ANH NGHIÊN CỨU PHƯƠNG PHÁP PHÁT HIỆN TIẾN TRÌNH BẤT THƯỜNG TRÊN MÁY NGƯỜI DÙNG Chuyên ngành: Hệ thống thông tin Mã số: 8.48.01.04 TÓM TẮT LUẬN VĂN THẠC SỸ ( Theo định hướng ứng dụng) Hà Nội - 2021 Luận văn hồn thành tại: HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG Người hướng dẫn khoa học: TS ĐỖ XUÂN CHỢ Phản biện 1: TS Hoàng Xuân Dậu Phản biện 2: PGS TS Nguyễn Hà Nam Luận văn bảo vệ trước Hội đồng chấm luận văn thạc sĩ Học viện Cơng nghệ Bưu Viễn thông Vào lúc: 11 00 phút ngày 28 tháng năm 2021 Có thể tìm hiểu luận văn tại: Thư viện Học viện Cơng nghệ Bưu Viễn thơng I MỞ ĐẦU Tính cấp thiết đề tài Các nguy an tồn thơng tin (ATTT) ngày gia tăng không số lượng, quy mơ cơng mà cịn mức độ nguy hiểm chúng gây cho quan tổ chức doanh nghiệp Tại Việt Nam theo thống kê từ Cục An Tồn Thơng Tin năm 2019 tổng số 148 cổng, trang thông tin điện tử quan đơn vị có tới 2647 lỗ hổng, điểm yếu bao gồm: 19 lỗ hổng mức độ nghiêm trọng, 52 lỗ hổng mức cao, 270 lỗ hổng mức trung bình, 924 lỗ hổng mức thấp, 1382 lỗ hổng để lộ thông tin Điều thể biện pháp, kỹ thuật nhằm đảm bảo ATTT cho hệ thống thông tin tổ chức, quan mang lại hiệu chưa thực tốt Bên cạnh đó, theo thống kê từ cục An Tồn Thơng Tin năm 2019 có tới 95% cố, nguy ATTT lỗi người dùng cơng lừa đảo chiếm 96%, cơng sử dụng mã độc chiếm 92,4% Đặc biệt, báo cáo tổng kết năm 2019 theo ý kiến đại diện Bộ Thông Tin Truyền Thông, công vào người dùng đã, vẫn, phương thức công hiệu Hiện nay, hệ thống đảm bảo ATTT truyền thống như: phần mềm giám sát phát mã độc (Anti AV), hệ thống tường lửa, hệ thống phát ngăn chặn xâm nhập (IDS/IPS) phát sớm phát ngăn chặn cơng, cịn nhiều hạn chế Đối với phần mềm Anti AV tích hợp cơng nghệ phát mã độc tiên tiến dựa phân tích dấu hiệu hành vi kết hợp với cơng cụ ảo hóa Tuy nhiên, trước thay đổi liên tục cách thức phát tán cơng mã độc hệ thống Anti AV mang lại hiệu cao Đặc biệt hệ thống IDS/IPS gặp phải khó khăn phải giám sát phân tích lượng liệu lớn để phát dấu hiệu bất thường mạng Điều dẫn đến hệ thống IDS/IPS thường phát ngăn chặn công kẻ công giai đoạn đánh cắp liệu Bên cạnh đó, đặc điểm chung hệ thống đảm bảo ATTT truyền thống chưa cung cấp nhiều dịch vụ ứng phó hỗ trợ xử lý cố ATTT hệ thống thông tin Từ lý trên, học viện lựa chọn đề tài “Nghiên cứu phương pháp phát tiến trình bất thường máy người dùng” Tổng quan vấn đề nghiên cứu Hiện nghiên cứu lý thuyết liên quan đến phát tiến trình bất thường máy người dùng cịn hạn chế Tuy nhiên, liên quan đến vấn đề phát mã độc máy Workstation sản phẩm phần mềm Anti Virus xuất số sản phẩm hỗ trợ Phát Phản hồi Điểm cuối (Endpoint detection & Response- EDR) Sản phẩm EDR có chức phát theo dõi cố bất thường Enduser để từ đưa kịch ứng phó cố Theo đó, có số giải pháp sản phẩm EDR sau: Sản phẩm EDR Apex One Trend Micro có khả tự động phát ngăn chặn nhiều mối đe dọa điểm cuối có thể, mà không cần can thiệp thủ công từ người dùng Apex One tiến hành phát ngăn chặn việc khai thác lỗ hổng hệ điều hành trước mối đe dọa xâm nhập vào điểm cuối với vá ảo cập nhật liên tục trí thơng minh nhân tạo từ Trend Micro’s Zero Day Initiative Tương tự Apex One Trend Micro, sản phẩm Palo Alto Networks Traps Palo Alto ngăn chặn mối đe dọa ednpoint, phối hợp với bảo mật cloud network để ngăn chặn công mạng Traps ngăn chặn việc khởi chạy tệp thực thi độc hại, tệp DLLs tệp Office nhiều phương pháp ngăn ngừa, giảm bề mặt cơng tăng tính xác việc ngăn chặn phần mềm độc hại Cách tiếp cận ngăn chặn phần mềm độc hại biết chưa biết từ việc lây nhiễm endpoint cách kết hợp: WildFire threat intelligence, Local analysis via machine learning, WildFire inspection and analysis, Granular child process protection, Periodic scanning for dormant malware Kaspersky EDR theo dõi liên tục phân tích tượng bất thường, trình khả nghi máy trạm nhân viên phản ứng với mối đe doạ chế độ thủ công, chế độ thụ động Ngồi ra, Kaspersky EDR cho phép kiểm sốt cố điểm cuối mạng, phát mã độc hành vi trái phép nhận biết mức bảo vệ mạng, đồng thời phản ứng nhanh với chúng Ngồi có số giải pháp khác như: VMware Carbon Black EDR, Falcon, Malwarebytes Endpoint Detection and Response Mục đích nghiên cứu - Nghiên cứu phương pháp phát tiến trình bất thường máy trạm - Thực nghiệm đánh giá phương pháp phát tiến trình máy trạm Đối tượng phạm vi nghiên cứu - Các giải pháp công nghệ EDR - Một số luật phát tiến trình bất thường máy trạm Phương pháp nghiên cứu Luận văn tập trung vào nghiên cứu tìm hiểu lý thuyết giải pháp cơng nghệ EDR Bên cạnh đó, luận văn tìm hiểu cách thức để áp dụng tập luật để phát tiến trình bất thường máy người dùng sử dụng hệ điều hành Window II NỘI DUNG Dự kiến luận văn cấu trúc với chương sau: Chương 1: Giới thiệu hệ điều hành máy người dùng 1.1 Tổng quan hệ điều hành 1.2 Phân loại hệ điều hành 1.3 Kết luận chương Chương 2: Nghiên cứu phương pháp thu thập tiến trình hệ điều hành 2.1 Một số phương pháp kỹ thuật thu thập tiến trình Windows 2.2 Một số phương pháp kỹ thuật thu thập tiến trình Linux 2.3 Sử dụng giải pháp ELK để thu thập tiến trình bất thường 2.4 Kết luận chương Chương 3: Cài đặt thử nghiệm phát tiến trình bất thường máy người dùng sử dụng hệ điều hành Window 3.1 Cài đặt cấu hình Elastic Search 3.2 Cài đặt cấu hình Kibana 3.3 Cài đặt cấu hình Logstash 3.4 Cài đặt công cụ thu thập vận chuyển tiến trình hệ điều hành Windows 3.5 Cài đặt cơng cụ giám sát tiến trình 3.6 Thực nghiệm đánh giá 3.7 Kết luận chương III KẾT LUẬN LUẬN VĂN CHƯƠNG 1: GIỚI THIỆU VỀ HỆ ĐIỀU HÀNH TRONG MÁY NGƯỜI DÙNG 1.1 Tổng quan hệ điều hành 1.1.1 Khái niệm hệ điều hành Hệ điều hành hệ thống chương trình hoạt động người sử dụng (user) phần cứng máy tính Mục tiêu hệ điều hành cung cấp mơi trường để người sử dụng thi hành chương trình Nó làm cho máy tính dễ sử dụng hơn, thuận lợi hiệu Hệ điều hành phần quan trọng hầu hết hệ thống máy tính Một hệ thống máy tính thường chia làm bốn phần chính: phần cứng, hệ điều hành, chương trình ứng dụng người sử dụng 1.1.2 Các chức hệ điều hành 1.2.1.1 Quản lý tiến trình Một tiến trình chương trình thực thi Một tiến trình phải sử dụng tài nguyên thời gian sử dụng CPU, nhớ, tập tin, thiết bị nhập xuất để hồn tất cơng việc Các tài nguyên cung cấp tiến trình tạo hay q trình thực thi Vai trị hệ điều hành việc quản lý tiến trình là: - Tạo hủy tiến trình người sử dụng hệ thống - Tạm dừng thực tiếp tiến trình - Cung cấp chế đồng tiến trình - Cung cấp chế giao tiếp tiến trình - Cung cấp chế kiểm sốt deadlock 1.2.1.2 Quản lý nhớ Hệ điều hành có vai trị sau việc quản lý nhớ chính: - Lưu trữ thơng tin vị trí nhớ sử dụng tiến trình sử dụng - Quyết định tiến trình nạp vào nhớ chính, nhớ dùng - Cấp phát thu hồi nhớ cần thiết 1.2.1.3 Quản lý nhớ phụ Vai trò hệ điều hành việc quản lý nhớ phụ: - Quản lý vùng trống đĩa - Định vị lưu trữ - Lập lịch cho đĩa 1.2.1.4 Quản lý hệ thống vào/ra Một hệ thống vào/ra bao gồm: - Thành phần quản lý nhớ vùng đệm, lưu trữ tạm thời vùng chứa - Giao tiếp điều khiển thiết bị (device driver) tổng quát - Bộ điều khiển cho thiết bị xác định 1.2.1.5 Quản lý hệ thống tập tin Vai trò hệ điều hành quản lý tập tin: - Tạo xóa tập tin - Tạo xóa thư mục - Hỗ trợ thao tác tập tin thư mục - Ánh xạ tập tin hệ thống lưu trữ phụ - Sao lưu dự phòng tập tin thiết bị lưu trữ 1.1.3 Các tính chất hệ điều hành Các hệ điều hành đại ngày có tính chất sau: - Tin cậy - An toàn - Hiệu - Tổng quát theo thời gian - Thuận tiện 1.2 Một số hệ điều hành máy người dùng 1.2.1 Giới thiệu hệ điều hành Windows Microsoft Windows tên họ hệ điều hành dựa giao diện người dùng đồ hoạ phát triển phân phối Microsoft Nó bao gồm vài dịng hệ điều hành, số phục vụ phần định ngành công nghiệp máy tính 1.2.1.1 Quản lý tiến trình windows Một xử lý máy tính chạy Windows có hai chế độ khác nhau: chế độ người dùng chế độ kernel Bộ xử lý chuyển đổi hai chế độ tùy thuộc vào loại mã chạy xử lý Các ứng dụng chạy chế độ người dùng thành phần hệ điều hành lõi chạy chế độ kernel Trong nhiều trình điều khiển chạy chế độ kernel, số trình điều khiển chạy chế độ người dùng User mode: Khi chương trình khởi tạo User Mode, Windows tạo tiến trình (process) cho chương trình Một tiến trình cung cấp cho chương trình không gian địa ảo (Virtual address space) Bởi khơng gian địa ảo tiến trình riêng biệt, nên chương trình khó thể thay đổi liệu thuộc chương trình khác Do chương trình chạy cách lập vậy, nên chương trình gặp cố cố giới hạn chương trình Những chương trình khác hệ điều hành không bị ảnh hưởng Không gian địa ảo tiến trình User Mode bị giới hạn Một chương trình chạy User Mode khơng xử lý địa ảo (Virtual address) dự trữ để sử dụng hệ điều hành Sự giới hạn không gian địa nhằm bảo vệ chương trình khỏi việc xử lý nhầm vào vùng liệu quan trọng, gây hại tới hệ điều hành Kernel mode: Tất mã chạy chế độ kernel chia sẻ không gian địa ảo Điều có nghĩa trình điều khiển chế độ kernel khơng bị lập với trình điều khiển khác hệ điều hành Nếu trình điều khiển chế độ kernel vơ tình ghi sai địa ảo, liệu thuộc hệ điều hành trình điều khiển khác bị xâm phạm Nếu trình điều khiển chế độ kernel gặp cố, toàn hệ điều hành gặp cố - Stack: chứa liệu tạm thời, thường chứa liệu dùng thời gian ngắn dùng lần - Heap: vùng nhớ cấp phát động cho tiến trình thời gian thực thi - Data: chứa biến global (biến dùng chung cấp tồn chương trình) static (loại biến dùng chung cấp struct) - Text: bao gồm hoạt động biểu thị giá trị Program Counter nội dung ghi vi xử lý Khi tiến trình thực thi, qua trạng thái khác Các giai đoạn khác hệ điều hành khác tên trạng thái khơng chuẩn hóa cụ thể Nhưng nhìn chung, tiến trình có năm trạng thái sau thời điểm: 10 - Start: trạng thái tiến trình tạo khởi động lần đầu - Ready: tiến trình chờ để chuyển cho vi xử lý Thường tiến trình khác chạy, CPU khơng cho phép tiến trình khác xen vào mà phải đợi tới lượt để đảm bảo tiến trình xử lý xong (lưu ý, tiến trình xử lý xong khơng có nghĩa kết thúc) Trạng thái thường xuất sau trạng thái Start - Running: trạng thái thực thi tiến trình, lập lịch Scheduler chuyển cho vi xử lý, vi xử lý tiến hành thực tính tốn dẫn - Wait: trạng thái xảy tiến trình cần chờ tài ngun để sử dụng, ví dụ chờ người dùng nhập liệu chờ đợi tệp tin sử dụng tiến trình khác (vấn đề thảo luận liên quan đến xử lý I/O) - Terminated: xảy tiến trình xử lý xong bị ngắt yêu cầu từ hệ thống người dùng, trạng thái gọi Exit 1.2.1.2 Cấu trúc tập tin thực thi Windows Cấu trúc PE File: Sau phần phổ biến quan trọng tập tin PE: - Section.text chứa hướng dẫn cho CPU thực thi Tất Section khác lưu trữ liệu thông tin hỗ trợ Nói chung, Section mà thực thi section chứa mã code chương trình - Section.rdata thường chứa thông tin hàm import export, thông tin thường cung cấp hai công cụ Dependency Walker Peview Section lưu trữ liệu thuộc loại read-only khác sử dụng chương trình Đơi tập tin chứa Section.idata edata, Section lưu trữ thông tin hàm import export - Section.data chứa liệu toàn chương trình, truy cập từ nơi chương trình Dữ liệu cục khơng lưu trữ Section nơi khác tập tin PE - Section.rsrc bao gồm tài nguyên sử dụng tiến trình thực thi, tài nguyên icon, images, menus, strings Các Strings lưu trữ Section.rsrc chương trình chính, nhiên chúng thường lưu trữ Section.rsrc để hỗ trợ đa ngôn ngữ 11 1.2.2 Giới thiệu hệ điều hành Linux Linux tên gọi hệ điều hành máy tính tên hạt nhân hệ điều hành Phiên Linux Linus Torvalds viết vào năm 1991 1.2.2.1 Quản lý tiến trình Linux Những hệ thống máy tính ban đầu cho phép chương trình thực thi thời điểm Chương trình có tồn quyền điều khiển hệ thống có truy xuất tới tất tài nguyên hệ thống Những hệ thống máy tính cho phép nhiều chương trình nạp vào nhớ thực thi đồng hành Mỗi tiến trình Linux biểu diễn cấu trúc liệu task_struct Linux sử dụng task_vector để quản lý trỏ đến task_struct, mặc định có 512 phần tử Khi tiến trình tạo ra, task_struct cấp phát nhớ thêm vào vector_task Linux hỗ trợ hai loại tiến trình loại bình thường loại thời gian thực 1.2.2.2 Cấu trúc tập tin thực thi Linux Cấu trúc tập tin thực thi linux có tên gọi Executable and Linkable Format (ELF format) định dạng tập tin tiêu chuẩn phổ biến cho tập tin thực thi, mã đối tượng, thư viện dùng chung kết xuất lõi ELF thiết kế có tính linh hoạt, khả mở rộng, hỗ trợ đa tảng cho định dạng kích thước địa khác Thiết kế ELF không bị giới hạn xử lý, tập lệnh kiến trúc phần cứng cụ thể Do đó, ELF sử dụng nhiều hệ điều hành khác như: Solaris, Ubuntu, OpenBSD, QNX, BeOS, Haiku Fuchsia 1.3 Kết luận chương Kết thúc chương 1, luận văn trình bày tổng quan hệ điều hành, trình bày chi tiết hai hệ điều hành phổ biến Windows Linux Mỗi hệ điều hành, luận vă nghiên cứu cấu trúc tập tin thực thi cách thức quản lý tiến trình Trong chương tiếp theo, luận văn tập trung nghiên cứu phương thức thu thập liệu liên quan tới tiến trình hệ thống 12 CHƯƠNG 2: NGHIÊN CỨU PHƯƠNG PHÁP THU THẬP TIẾN TRÌNH TRÊN HỆ ĐIỀU HÀNH 2.1 Một số phương pháp kỹ thuật thu thập tiến trình Windows 2.1.1 Process Monitor Process Monitor công cụ giám sát theo dõi dành cho hệ điều hành Windows phát triển từ hai công cụ Filemon Regmon, sử dụng để giám sát tệp hoạt động chúng Process Monitor công cụ giám sát hệ thống vô mạnh mẽ, với khả giám sát tập tin, cửa sổ đăng ký ứng dụng Process Monitor có khả thu thập nhiều liệu máy tính Windows, đặc biệt tập trung vào hoạt động (Input/Output) sau: - Registry: liên quan tới việc tạo, xóa, truy vấn registry - File System: liên quan tới hoạt động tạo, ghi, xóa tập tin - Network: hiển thị lưu lượng TCP/UDP - Process: thơng tin liên quan tới tiến trình khởi tạo, xóa, suspend… - Cấu hình: thơng tin liên quan tới nhớ, thời gian… 2.1.2 System Monitor Sysmon trình điều khiển thiết bị dịch vụ hệ thống Windows, sau cài đặt tồn toàn hệ thống để theo dõi ghi nhật ký hoạt động hệ thống vào nhật ký kiện Windows Sysmon cung cấp thông tin chi tiết process tạo, kết nối mạng thay đổi thời gian tạo tệp Bằng cách thu thập kiện mà tạo Windows Agent Collection tác nhân SIEM sau phân tích chúng để xác định hoạt động độc hại bất thường, từ tìm hiểu kẻ xâm nhập hoạt động mạng Tổng quan khả Sysmon: - Ghi nhật ký trình tạo tiến trình với đầy đủ dịng lệnh cho tiến trình tiến trình cha - Ghi lại giá trị băm tập tin khởi tạo tiến trình với giá trị mặc định SHA1, ngồi cịn có giá trị khác MD5, SHA256 IMPHASH - Lưu trữ nhiều giá trị băm - Lưu trữ giá trị GUID trình tạo kiện phép tổng hợp, phân tích tương quan kiện hệ điều hành Windows sử dụng lại PID 13 - Giá trị Session GUID kiện phép tổng hợp, phân tích tương quan kiện phiên đăng nhập - Nhật ký trình tải, trình điều khiển hệ thống, thư viện với chữ ký giá trị băm tập tin - Lưu nhật ký mở, đọc ổ đĩa - Lưu nhật ký kết nối mạng, bao gồm thơng tin tiến trình kết nối, địa IP, cổng, địa kết nối - Phát thay đổi thời gian tạo tập tin để thu thông tin liên quan tới kiện thay đổi tập tin Thay đổi thời gian tạo tập tin kỹ thuật hay mã độc sử dụng - Tự động tải lại cấu hình có thay đổi registry - Cơ chế lọc giúp loại trừ kiện cách linh hoạt - Theo dõi, giám sát hệ thống từ trình khởi động để nắm bắt toàn hoạt động tiến trình hệ thống Windows Hiện tại, Microsoft phát hành Sysmon phiên 11, người dùng tải từ trang chủ hệ thống microsoft thông qua địa chỉ: https://docs.microsoft.com/vi-vn/sysinternals/ Trang web Sysinternals tạo từ năm 1996 Mark Russinovich để lưu trữ tiện ích hệ thống thơng tin kỹ thuật tiến tiến ông Ngay chuyên gia an ninh mạng hàng đầu giới, hay nhà phát triển phần mềm Windows, truy cập địa chi web để tìm tiện ích, cơng cụ liên quan tới việc giám sát Windows Các tiến trình thu thập Sysmon Event Viewer: - Event ID 1: Process creation cung cấp thông tin mở rộng process tạo - Event ID 2: A process changed a file creation time đăng ký thời gian tạo tệp sửa đổi process kiện giúp theo dõi thời gian tạo thực tập tin Kẻ cơng thay đổi thời gian tạo tập tin để làm cho trơng giống cài đặt với hệ điều hành Lưu ý nhiều quy trình thay đổi hợp pháp thời gian tạo tệp, khơng thiết hoạt động độc hại - Event ID 3: Network connection kiện kết nối mạng ghi lại kết nối TCP / UDP máy Nó bị tắt theo mặc định Mỗi kết nối liên kết với quy trình thơng qua trường ProcessID ProcessGUID Sự kiện chứa tên máy chủ nguồn đích địa IP, số port trạng thái IPv6 14 - Event ID 4: Sysmon service state changed kiện thay đổi trạng thái dịch vụ Sysmon (đã bắt đầu dừng) - Event ID 5: Process terminated trình báo cáo kiện q trình kết thúc Nó cung cấp UtcTime, ProcessGuid ProcessID quy trình - Event ID 6: Driver loaded cung cấp thông tin driver tải hệ thống - Event ID 7: Image loaded nhật ký kiện tải hình ảnh module tải process cụ thể Sự kiện nên cấu hình cẩn thận giám sát tất kiện tải hình ảnh tạo số lượng lớn kiện - Event ID 8: CreateRemoteThread kiện CreatRemoteThread phát tiến trình tạo luồng tiến trình khác Kỹ thuật sử dụng phần mềm độc hại để tiêm mã ẩn quy trình khác Sự kiện q trình nguồn đích Nó cung cấp thông tin mã chạy luồng mới: StartAddress, StartModule StartFunction Lưu ý trường StartModule StartFunction suy ra, chúng trống địa bắt đầu nằm module tải hàm xuất biết - Event ID 9: RawAccessRead kiện RawAccessRead phát trình tiến hành hoạt động đọc từ ổ đĩa cách sử dụng ký hiệu “\\.\”, Kỹ thuật thường sử dụng phần mềm độc hại để lọc liệu tệp bị khóa để đọc, để tránh công cụ kiểm tra truy cập tệp Sự kiện trình nguồn thiết bị đích - Event ID 10: ProcessAccess q trình truy cập báo cáo kiện quy trình mở quy trình khác, hoạt động thường theo sau truy vấn thông tin đọc ghi khơng gian địa quy trình đích Điều cho phép phát cơng cụ hack đọc nội dung nhớ quy trình Local Security Agency (Lsass.exe) đánh cắp thông tin đăng nhập để sử dụng công Pass-the-Hash Việc kích hoạt tạo số lượng ghi nhật ký đáng kể có tiện ích chẩn đốn hoạt động liên tục mở quy trình để truy vấn trạng thái chúng, thường nên thực với lọc loại bỏ truy cập dự kiến 15 - Event ID 11: FileCreate hoạt động tạo tập tin ghi lại tập tin tạo ghi đè Sự kiện theo dõi vị trí tự khởi động thư mục Startup, thư mục tải xuống tạm thời nơi phổ biến khiến phần mềm độc hại bị loại bỏ trình lây nhiễm ban đầu - Event ID 12: RegistryEvent (Object create and delete) khóa đăng ký giá trị khởi tạo xóa operations map theo loại kiện này, hữu ích cho việc theo dõi thay đổi vị trí tự khởi động Sổ đăng ký phần mềm thay đổi độc hại - Event ID 13: RegistryEvent (Value Set) xác định sửa đổi giá trị Registry Sự kiện ghi lại giá trị ghi cho giá trị Registry loại DWORD QWORD - Event ID 14: RegistryEvent (Key and Value Rename) Registry key đổi tên operations map thành loại kiện này, ghi lại tên khóa giá trị đổi tên - Event ID 15: FileCreateStreamHash kiện ghi lại tạo dịng tệp tạo kiện ghi lại hàm băm nội dung tệp mà luồng gán nội dung luồng đặt tên - Event ID 17: PipeEvent (Pipe Created) kiện tạo đường ống tạo Phần mềm độc hại thường sử dụng đường ống đặt tên để liên lạc trình - Event ID 18: PipeEvent (Pipe Connected) kiện ghi lại kết nối đường ống thực máy khách máy chủ - Event ID 19: WmiEvent (WmiEventFilter activity detected) lọc kiện WMI đăng ký, phương thức phần mềm độc hại sử dụng để thực thi, kiện ghi lại không gian tên WMI, tên lọc biểu thức lọc - Event ID 20: WmiEvent (WmiEventConsumer activity detected) kiện ghi lại đăng ký người tiêu dùng WMI, ghi lại tên người dùng, nhật ký đích đến 16 - Event ID 21: WmiEvent (WmiEventConsumerToFilter activity detected) người tiêu dùng liên kết với lọc, kiện ghi lại tên người tiêu dùng đường dẫn lọc - Event ID 22: DNSEvent (DNS query) kiện tạo trình thực truy vấn DNS, cho dù kết thành công hay thất bại, lưu trữ hay không Sự kiện thêm từ Windows 8.1 khơng có sẵn Windows trở trước - Event ID 255: Error kiện tạo xảy lỗi Sysmon Chúng xảy hệ thống chịu tải nặng thực số nhiệm vụ định có lỗi dịch vụ Sysmon 2.2 Một số phương pháp kỹ thuật thu thập tiến trình Linux Cấu trúc sở Linux khác biệt hoàn toàn so với Windows Trong Windows trì hệ thống cấu trúc chuẩn, với cập nhật phiên phân tầng, Linux lại phức tạp nhiều Được viết ban đầu sinh viên Phần Lan Linus Torvalds, hạt nhân Linux ngày trở thành sở cho tất hệ điều hành Linux 2.2.1 Process Status Process Status (PS) tiện ích Unix/Linux dùng để theo dõi, giám sát thơng tin tiến trình chạy hệ thống PS sử dụng để liệt kê tiến trình chạy bao gồm PID (Process ID) tiến trình giúp hệ điều hành phân biệt tiến trình chạy hệ thống với số thông tin khác phụ thuộc vào tùy chọn khác PS đọc thơng tin liên quan tới tiến trình từ tập tin ảo đường dẫn /proc filesystem 2.2.2 Top Top công cụ Unix khác sử dụng rộng rãi giống PS có khả cập nhật thơng tin tiến trình theo thời gian thực Top công cụ sử dụng nhiều để theo dõi hiệu suất thời gian thực tiến trình hệ thống Unix kể từ giới thiệu từ năm 1984 BSD Unix4.1 2.2.3 XosView 17 Xosview OS Monitor (XosView) công cụ giám sát hiệu suất hệ thống thời gian thực cung cấp giao diện đồ họa cho hệ thống Unix Đây công cụ đơn giản so với công cụ mơ tả từ trước khơng giám sát tiến trình đơn lẻ, thay vào giám sát tồn hệ thống 2.2.4 TreePs TreePs cơng cụ giám sát tiến trình thời gian thực cung cấp đồ họa cho hệ thống Unix chạy X Window System TreePs có khả tự động cập nhật thông tin theo thời gian thực hoạt động tiến trình, lấy mẫu liệu cho tiến trình hoạt đồng nhiều hoạt động TreePs hiển thị tất trường từ cấu trúc tiến trình bao gồm: thời gian CPU chạy, nhớ sử dụng số thông tin tiến trình ProcessID, tiến trình cha 2.3 Kết luận chương Kết thúc chương 2, luận văn trình bày phương pháp, công cụ thu thập liệu nhật ký, thông tin liên quan tới tiến trình hệ thống Windows Linux Trong chương luận văn tập trung nghiên cứu, xây dựng ứng dụng phát tiến trình độc máy người dùng 18 CHƯƠNG CÀI ĐẶT VÀ THỬ NGHIỆM PHÁT HIỆN TIẾN TRÌNH BẤT THƯỜNG TRÊN MÁY NGƯỜI DÙNG SỬ DỤNG HỆ ĐIỀU HÀNH WINDOW 3.1 Cài đặt cơng cụ thu thập vận chuyển tiến trình hệ điều hành Window Để cài đặt Sysmon, luân văn thực tải tập tin cài đặt địa chỉ: https://docs.microsoft.com/en-us/sysinternals/downloads/Sysmon sử dụng tập tin cài đặt Sysmon chuyên gia an ninh mạng trung tâm ứng cứu cố Nhật Bản (JPCert) địa chỉ: https://github.com/SwiftOnSecurity/Sysmon-config Hình 3.1 Tập tin cấu hình Sysmon Để tiến hành cài đặt Sysmon với tập tin cấu hình cài đặt riêng biệt, luân văn thực câu lệnh sau: Sysmon –I –acceptcula –I Sysmonconfig-export.xml Thực gửi liệu Sysmon thu thập máy tính client máy chủ phân tích, ln văn sử dụng cơng cụ "Winlogbeat" để thực Trong cấu hình cài đặt WinlogBeat.yml sau: winlogbeat.event_logs: - name: "Microsoft-Windows-Sysmon/Operational" # It is necessary to delete the following default processors configuration: # processors: # # - script: lang: javascript 19 # id: Sysmon # file: ${path.home}/module/Sysmon/config/winlogbeat-Sysmon.js # Configure ElasticSearch Server IP address output.elasticsearch: hosts: ["Elasticserach server IP address:9200"] Hình 3.5 Cấu hình WinlogBeat Sau cấu hình thành cơng Winlogbeat, thực chạy lệnh sau để gửi liệu nhật ký event Sysmon thu thập máy tính Windows máy chủ phân tích liệu Winlogbeat.exe -e -c winlogbeat.yml 3.2 Cài đặt cơng cụ giám sát tiến trình Để xây dựng sở liệu tiến trình độc, luận văn sử dụng dấu hiệu thu thập từ Virustotal Các thành phần gồm: mã băm mã độc, IP độc, domain độc… Để xây dựng sở liệu dấu hiệu nhằm phát tiến trình độc, báo cáo tác giả sử dụng công cụ MongoDB MongoDB cài đặt nhiều hệ điều hành khác đề tài Ubuntu chọn làm hệ điều hành để xây dựng môi trường phát triển hệ thống, tính phổ biến, miễn phí dễ tùy chỉnh 3.2.1 Cài đặt Mongo DB Để cài đặt MongoDB Ubuntu cần thực bước sau: - Bước 1: Thêm MongoDB public GPG key - Bước 2: Thêm MongoDB repository vào thư mục sources.list.d - Bước 3: Cập nhật repositories - Bước 4: Cài đặt MongoDB - Bước 5: Chạy MongoDB 3.2.2 Cấu hình Mongo DB File cấu hình MongoDB lưu thư mục /etc/mongod.conf, viết định dạng YAML 3.2.3 Truy vấn MongoDB sử dụng Python 20 Trước sử dụng cần cài đặt python python-pip Sau chạy lệnh sau để cài đặt pymongo để kết nối với MongoDB: sudo pip install pymongo 3.3 Thực nghiệm đánh giá Cụ thể, ngày gần đây, tin tặc phát tán mã độc qua thư điện tử có đính kèm tập tin word có tiêu đề “Chi Thi cua Thu tuong nguyen xuan phuc.lnk” giả dạng thông báo Thủ tướng Chính phủ dịch COVID-19 Bảng 3.2 Thông tin chi tiết mã độc sử dụng Tập tin mã bbbeb1a937274825b0434414fa2d9ec629ba846b1e3e33a59c613b54d37 độc Hash Định dạng 5e4d2.rar 60C89B54029442C5E131F01FF08F84C9 Tập tin rar sau giải nén tập tin “Chi Thi cua thu tuong nguyen tập tin xuan phuc.lnk” Địa tải https://app.any.run/tasks/dd877b4d-8b36-48c0-af07-ce37fd9fee7b/ mã độc Tiến hành tải tập tin mã độc giải nén máy tính client, luận văn nhận tập tin “Chi thi cua thu tuong nguyen xuan phuc.lnk” Phân tích sơ tập tin mã độc, luận văn nhận định tập tin File.lnk định dạng file lnk Windows Fake icon tên file để đánh lừa người dùng Sau thực chạy tập tin mã độc, luận văn truy cập máy chủ phân tích liệu để tìm kiếm thơng tin tiến trình “Chi Thi cua thu tuong nguyen xuan phuc lnk”, luận văn thu thông tin tiến trình mã độc khởi tạo sau: Hình 3.13 Tiến trình mã độc khởi tạo 21 Kiểm tra liệu event log Sysmon lưu lại có thơng tin tiến trình sau: ParentProcessGuild: {cd262058-6cda-5ee5-5493-210000000000}, thực chạy commandline: C:\Windows\system32\cmd.exe /c for %x in (C:\Users\ADMINI~1\AppData\Local\Temp=C:\Users\Administrator) for /f "delims==" %i in ('dir "%x\Chi Thi cua thu tuong nguyen xuan phuc.lnk" /s /b') start mshta.exe "%i" Hình 3.14 Event tiến trình mã độc chạy Sysmon thu thập Sau event Process Create, Sysmon lưu trữ thêm hai event liên quan tới File Created sau: Hình 3.15 Event liên quan tiến trình mã độc Kiểm tra thơng tin hai event ta có từ tập tin doc, mã độc thực tạo hai tập tin có tên 3.exe http_dll.dll đường dẫn: C\users\Admin~1\AppData\Local\Temp\ Event có giá trị ProcessGuild trùng với giá trị ParentProcessGuild tập tin mã độc 22 Hình 3.16 Event liên quan tới tạo tập tin tiến trình mã độc Thực tìm kiếm liệu hệ thống, luận văn nhận thấy thông qua tập tin ioc dấu hiệu nhận biết mã độc, hệ thống phát nhiều kiện liên quan tới tiến trình mã độc Hình 3.17 Xác định tiến trình độc thơng qua tập tin IOC Phân tích chi tiết vào kiện CREATE_PROCESS cho thấy tiến trình sau gọi tập tin cmd.exe gọi them hai tiến trình khác là: “C\users\Admin~1\AppData\Local\Temp\3.exe” “C\users\Admin~1\AppData\Local\Temp\http_dll.dll” hình đây: 23 Hình 3.18 Hệ thống xây dựng lại tiến trình hoạt động mã độc Kiểm tra thơng tin chi tiết kiện cho thấy sau chạy tập tin mã độc, mã độc thực tạo tập tin 3.exe http_dll.dll đường dẫn C\users\Admin~1\AppData\Local\Temp\ hình đây: Hình 3.19 Hệ thống hiển thị thơng tin tiến trình mã độc tạo 02 tập tin Kiểm tra thông tin chi tiết tập tin 3.exe, luận văn nhận thấy tập tin 3.exe thực tạo registry gọi tập tin unsecapp.exe sau: 24 Hình 3.20 Hệ thống hiển thị thơng tin chi tiết tập tin 3.exe Thông tin chi tiết kiện tập tin 3.exe cho thấy rõ mã Hash tập tin tiến trình cha gọi tập tin Hình 3.21 Hệ thống hiển thị thông tin kiện tập tin 3.exe Kiểm tra thông tin kết nối network, luận văn không thu thập thông tin kết nối máy chủ điều khiển mã độc này, qua phân tích so sánh với kết phân tích cơng bố, nhận thấy tên miền máy chủ điều khiển khơng cịn hoạt động mã độc khơng thực kết nối thành công dẫn đến hệ thống không ghi nhận kiện Như vậy, qua việc sử dụng cơng cụ thu thập, phân tích tiến trình dựa kiện event Sysmon, luận văn triển khai phân tích nhận diện tập tin mã độc 3.4 Kết luận chương Trình bày tổng quan ứng dụng phát tiến trình bất thường máy người dùng bao gồm: hệ thống thu thập máy người dùng hệ thống giám sát tiến trình 25 Mơ tả chi tiết cách thức xây dựng cài đặt hệ thống thu thập liệu máy người dùng Thực kiểm thử hệ thống phát tiến trình bất thường sử dụng tập dấu hiệu KẾT LUẬN LUẬN VĂN Trên kết làm luận văn nghiên cứu phát triển theo hướng sau: - Nghiên cứu áp dụng số phương pháp phân tích hành vi bất thường tiến trình để phát mã độc - Tìm hiểu số công nghệ cho việc thu thập tiến trình máy người dùng sử dụng hệ điều hành khác  ... trợ xử lý cố ATTT hệ thống thông tin Từ lý trên, học viện lựa chọn đề tài ? ?Nghiên cứu phương pháp phát tiến trình bất thường máy người dùng? ?? Tổng quan vấn đề nghiên cứu Hiện nghiên cứu lý thuyết... nghiệm đánh giá phương pháp phát tiến trình máy trạm Đối tượng phạm vi nghiên cứu - Các giải pháp công nghệ EDR - Một số luật phát tiến trình bất thường máy trạm Phương pháp nghiên cứu Luận văn... chương luận văn tập trung nghiên cứu, xây dựng ứng dụng phát tiến trình độc máy người dùng 18 CHƯƠNG CÀI ĐẶT VÀ THỬ NGHIỆM PHÁT HIỆN TIẾN TRÌNH BẤT THƯỜNG TRÊN MÁY NGƯỜI DÙNG SỬ DỤNG HỆ ĐIỀU HÀNH