BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ THU THẬP VÀ PHÂN TÍCH THƠNG TIN AN TOÀN MẠNG Scenario #1 -APT Sinh viên thực hiện: Lê Dương Hùng -AT140121 Giảng viên : Lại Minh Tuấn Khoa An tồn thơng tin Hà Nội,2021 MỤC LỤC Kịch 1: Reconnaissance 1.1 Finding the IP Scanning Your Web Server (Part of 2)  Câu hỏi : What is the likely IP address of someone from the P01s0n1vy group scanning imreallynotbatman.com for web application vulnerabilities?( Địa IP người từ nhóm P01s0n1vy quét imreallynotbatman.com để tìm lỗ hổng ứng dụng web gì?) 1.1.1 - Xác định loại nguồn liên kết với giá trị tìm kiếm Sử dụng câu lệnh truy vấn : index=botsv1 imreallynotbatman.com | stats count by sourcetype | eventstats sum(count) as perc | eval percentage=round(count*100/perc,2)  Để truy cập vào trường sourcetype để tìm nguồn liên kết với imreallynotbatman.com - Tiến hành loại bỏ trường perc xếp thứ tự cho trường count: index=botsv1 imreallynotbatman.com | stats count by sourcetype | eventstats sum(count) as perc | eval percentage=round(count*100/perc,2) | fields – perc | sort - count Kết quả: Thu nguồn : suricata, stream:http, fgt_utm, iis 1.1.2 - Tìm địa IP nguồn liên kết Sử dụng câu lệnh truy vấn : index=botsv1 imreallynotbatman.com | stats count by src | eventstats sum(count) as perc | eval percentage=round(count*100/perc,2) Để truy cập vào trường src để tìm địa IP nguồn liên kết với imreallynotbatman.com - Tiến hành loại bỏ trường perc xếp thứ tự cho trường count: index=botsv1 imreallynotbatman.com | stats count by src | eventstats sum(count) as perc | eval percentage=round(count*100/perc,2) | fields – perc | sort - count  1.1.3 - Kết quả: thu địa IP nguồn liên kết 40.80.148.42, 192.168.250.70, 23.22.63.114 Chọn loại nguồn tìm kiếm địa nguồn Sử dụng câu lệnh truy vấn : index=botsv1 imreallynotbatman.com sourcetype=stream:http | stats count by src | eventstats sum(count) as perc | eval percentage=round(count*100/perc,2) - Tiến hành loại bỏ trường perc xếp thứ tự cho trường count: index=botsv1 imreallynotbatman.com sourcetype=stream:http | stats count by src | eventstats sum(count) as perc | eval percentage=round(count*100/perc,2) | fields perc | sort -count  Kết luận: Thu địa IP nguồn liên kết 40.80.148.42, 23.22.63.114 1.2 Finding the IP Scanning Your Web Server (Part of 2)  Câu hỏi: What is the likely IP address of someone from the P01s0n1vy group scanning imreallynotbatman.com for web application vulnerabilities? Địa IP thực scan domain imreallynotbatman.com để tìm kiếm lỗ hổng hệ thống máy chủ web? Thẩm định Lệnh truy vấn: 1.2.1 index=botsv1 imreallynotbatman.com src=40.80.148.42 sourcetype=suricata | stats count by signature | eventstats sum(count) as perc | eval percentage=round(count*100/perc,2) - Tiến hành loại bỏ trường perc xếp thứ tự cho trường count: index=botsv1 imreallynotbatman.com src=40.80.148.42 sourcetype=suricata | stats count by signature | eventstats sum(count) as perc | eval percentage=round(count*100/perc,2) | fields - perc | sort -count  Dựa vào kết thu thập được, địa IP 40.80.182.42 tiến hành dò quét trang web 1.2.2 - Tìm kiếm Stream sourcetype đếm src_ip Lệnh truy vấn : index=botsv1 imreallynotbatman.com sourcetype=stream* | stats count(src_ip) as Requests by src_ip | sort – Requests  KẾT LUẬN : Địa IP người từ nhóm P01s0n1vy qt imreallynotbatman.com để tìm lỗ hổng ứng dụng web 40.80.182.42 1.3 Identifying The Web Vulnerability Scanner  Câu hỏi: What company created the web vulnerability scanner used by P01s0n1vy? Công ty phát triển phần mềm thực dò quét mà kẻ công sử dụng? Looking at src_headers Truy vấn: 1.3.1 index=botsv1 src=40.80.148.42 sourcetype=stream:http |stats count by src_headers | eventstats sum(count) as perc | eval percentage=round(count*100/perc,2) | fields - perc | sort – count Ta thấy phần source header có nhiều keyword sau: Acunetix Web Vulnerability Scanner - Free Edition 1.3.2 Looking at http_user_agent strings Truy vấn: index=botsv1 src=40.80.148.42 sourcetype=stream:http | stats count by http_user_agent | eventstats sum(count) as perc | eval percentage=round(count*100/perc,2) | fields - perc | sort – count  Kết luận: Kẻ công sử dụng Acunetix để thực dò quét hệ thống máy chủ web 1.4 Dermining Which Web Server is the Target Câu hỏi:  What content management system is imreallynotbatman.com likely using? Domain imreallynotbatman.com sử dụng hệ thống CMS nào? Finding the Server IP ( Tìm IP máy chủ ) Truy vấn : index=botsv1 src=40.80.148.42 sourcetype=stream:http | stats count by dest | eventstats sum(count) as perc | eval percentage=round(count*100/perc,2) | fields - perc | sort – count 1.4.1 Trong hai địa IP địa 192.168.250.70 có lượng traffic lớn 100%, địa IP server bị dò quét Digging into the URL (Đào sâu vào URL) Truy vấn : index=botsv1 dest=192.168.250.70 sourcetype=stream:http |stats count by uri | eventstats sum(count) as perc | eval percentage=round(count*100/perc,2) | fields - perc | sort - count 1.4.2 5.1.4 Taking the Extra Step and Capturing the Source of the Executable  Kết luận: File thực thi bị tải lên là: 3791.exe 5.2 Determining the Hash of the Uploaded File  Câu hỏi What is the MD5 hash of the executable uploaded? Mã MD5 file thực thi gì? 5.2.1 sourcetypes That Contain a File Name (kiểu nguồn có chứa tên tệp) 5.2.2 Find With Sysmon (Part of 2) (Tìm với Sysmon) 5.2.3 Find With Sysmon (Part of 2) (Tìm với Sysmon) 5.2.4 Finding MD5 in Sysmon (Tìm MD5 với Sysmon)  Kết luận: Mã MD5: AAE3F5A29935E6ABCC2C2754D12A9AF0 Kịch 6: Command & Control 6.1 Identifying the Fully Qualified Domain Name of the System that Defaced the Web Server  Câu hỏi This attack used dynamic DNS to resolve to the malicious IP What fully qualified domain name (FQDN) is associated with this attack? Cuộc công sử dụng DNS động để phân giải địa IP độc hại Tên miền đầy đủ (FQDN) có liên quan đến cơng này? 6.1.1 Finding the sourcetypes that saw this file (Tìm kiểu nguồn xem tệp này) 6.1.2 Drilling down into stream:http to see URL (Đi sâu vào luồng: http để xem URL) 6.1.3 What if I Don’t Have the File Name?  Kết luận: DNS phân giả địa IP công là: prankglassinebracket.jumpingcrab.com Kịch 7: Action on Objectives 7.1 Identifying the File that Defaced Our Web Server (Part of 2)  Câu hỏi What is the name of the file that defaced the imreallynotbatman.com website? Tên tập tin làm thay đổi giao diện website imreallynotbatman.com gì? 7.1.1 Web Server is Destination (Máy chủ Web đích) 7.1.2 Web Server is Source (Máy chủ Web nguồn) 7.1.3 URLs in suricata 7.1.4 URIs in stream:http  Kết luận: Nghi ngờ file poisonivy-is-coming-for-you-batman.jpeg làm thay đổi giao diện website 7.2 Validating Using Firewall Logs the File that Defaced Our Web Server (Part of 2)  Câu hỏi What is the name of the file that defaced the imreallynotbatman.com website? Tên tập tin làm thay đổi giao diện website imreallynotbatman.com gì? 7.2.1 Clicking on src 7.2.2 Clicking on dest 7.2.3 Destination is not 192.168.250.70 7.2.4 Source is not 192.168.250.70 7.2.5 Filter on Web Site Categorization  Kết luận: File poisonivy-is-coming-for-you-batman.jpeg làm thay đổi giao diện website Sau điều tra, phân tích theo bước hướng dẫn ta mơ hình tổng quan kết q trình thực sau: ... Enterprises? 2 .1. 1 Robtex- FQDN Sử dụng Robtex để tra cứu thông tin liên quan đến domain mà ta quan tâm 2 .1. 2 ThreatCrowd Sử dụng ThreatCrowd để tra cứu thông tin liên quan đến domain dạng hình ảnh 2 .1. 3... perc | eval percentage=round(count *10 0/perc,2) | fields – perc | sort - count  1. 1.3 - Kết quả: thu địa IP nguồn liên kết 40.80 .14 8.42, 19 2 .16 8.250.70, 23.22.63 .11 4 Chọn loại nguồn tìm kiếm địa... 40.80 .14 8.42, 23.22.63 .11 4 1. 2 Finding the IP Scanning Your Web Server (Part of 2)  Câu hỏi: What is the likely IP address of someone from the P01s0n1vy group scanning imreallynotbatman.com