Các phương pháp phân tích

Một phần của tài liệu Bài giảng Kỹ thuật theo dõi, giám sát an toàn mạng: Phần 2 (Trang 90 - 100)

b. Tri thức mã nguồn mở

4.3.1 Các phương pháp phân tích

4.3.1.1 Điều tra quan hệ

Thuật ngữ “điều tra” ở đây có thể liên tưởng tới một cuộc điều tra của cảnh sát. Đó là vì quá trình điều tra một vi phạm an ninh thông tin và điều tra tội phạm khá giống nhau. Trong thực tế, cách tiếp cận mà các nhà điều tra bên cảnh sát thường sử dụng để tìm hiểu được cặn kẽ về tội phạm có thể được dùng để làm khung cho một phương pháp phân tích. Điều này được gọi là điều tra quan hệ.

Các phương pháp quan hệ được dựa trên việc xác định các mối quan hệ tuyến tính giữa các thực thể. Đây là loại điều tra dựa trên các mối quan hệ tồn tại giữa các đầu mối và các cá nhân liên quan đến tội phạm. Một mạng lưới các máy tính có thể liên tưởng tới một mạng lưới của con người. Tất cả mọi thứ được kết nối, và mỗi hành động được thực hiện có thể dẫn đến hành động khác xảy ra.

Điều này có nghĩa rằng nếu các chuyên gia phân tích có thể xác định đủ các mối quan hệ giữa các thực thể, họ có thể tạo ra một trang web cho phép xem hình ảnh đầy đủ về những gì đang xảy ra trong quá trình điều tra một vụ việc.

Quá trình điều tra quan hệ gồm bốn bước (Hình 4.46).

Bước 1: Điều tra các đối tượng chính và thực hiện điều tra sơ bộ về các cảnh báo

Trong một cuộc điều tra của cảnh sát, cơ quan pháp luật thường được thông báo về một sự kiện theo một đơn khiếu nại, thường được gửi đi từ đồn cảnh sát. Đơn khiếu nại này đưa ra thông tin về các đối tượng liên quan đến việc khiếu nại và bản chất của việc khiếu nại riêng của mình.

Khi đến hiện trường, điều đầu tiên một điều tra viên làm là xác định các đối tượng (chính) tham gia và xác định liệu đơn khiếu nại có giá trị điều tra thêm hay không. Xác định này được thực hiện dựa trên luật pháp. Và phán đoán ban đầu của điều tra viên là liệu có khả năng vụ việc tồn tại yếu tố vi phạm pháp luật hay không. Nếu cho rằng khả năng này tồn tại, điều tra viên sẽ bắt đầu thu thập thông tin từ mỗi đối tượng liên quan, bao gồm các xác minh rằng họ có dấu hiệu hợp pháp, xem hồ sơ hình sự trước đó, và thực hiện kiểm tra sơ bộ để xác định xem họ đang sở hữu vũ khí hoặc vật bất hợp pháp.

Hình 4.46 Phương pháp phân tích điều tra quan hệ

Trong một cuộc điều tra NSM, các chuyên gia phân tích thường được thông báo về một sự kiện từ dữ liệu cảnh báo, bao gồm cả các thông báo được tạo ra bởi một IDS. Cảnh báo này thường bao gồm các máy tính có liên quan với các sự kiện và tính chất của các cảnh báo. Trong trường hợp này, các cảnh báo tương tự như khiếu nại, và các máy chủ cũng tương tự như các đối tượng. Trong một chuỗi các sự kiện tương tự, các chuyên gia phân tích NSM phải thực hiện một xác định sơ bộ là liệu cảnh báo có giá trị điều tra thêm hay không. Thông thường, điều này có nghĩa là kiểm tra chi tiết các luật hoặc cơ chế phát hiện gây ra các cảnh báo, và xác định liệu những lưu lượng gắn với nó có thực sự phù hợp với cảnh báo không. Về cơ bản, đây là một nỗ lực để nhanh chóng xác định có dương tính giả xảy ra hay không. Nếu những cảnh báo không phải là dương tính giả, bước tiếp theo của việc phân tích nên bắt đầu với việc thu thập thông tin về các đối tượng chính gắn với các cảnh báo: các địa chỉ IP của các tài nguyên mạng tin cậy và nguy hiểm. Điều này bao gồm việc thu thập TI chiến thuật và các tài nguyên cần bảo vệ như đã thảo luận trong phần trước.

Bước 2: Điều tra mối quan hệ chính và tương tác hiện tại

Khi điều tra viên đã điều tra cả hai đối tượng, anh ta sẽ điều tra các mối quan hệ giữa các đối tượng này, bao gồm các mối quan hệ trước đó cũng như các tương tác hiện tại. Ví dụ, khi xem xét một đơn khiếu nại, điều tra viên sẽ cố gắng xác định xem hai đối tượng đã ở trong một mối quan hệ như thế nào, thời gian của mối quan hệ đó, các đối tượng sống chung với nhau hay không,... Sau đó, điều tra viên sẽ xác định những hành động xảy ra dẫn đến việc khiếu nại, khi nào sự kiện dẫn tới căng thẳng như hiện tại, và những gì xảy ra sau đó.

Các chuyên gia phân tích NSM sẽ làm điều tương tự để điều tra mối quan hệ cơ bản giữa các máy tính cần bảo vệ và máy tính nguy hiểm. Họ bắt đầu bằng việc xác định bản chất các kết nối trước đó giữa các máy. Các câu hỏi sau đây có thể đưa ra:

 Hai máy tính này đã từng liên lạc với nhau trước đó?

 Nếu có thì cổng, giao thức, và các dịch vụ nào có liên quan?

Tiếp theo, các chuyên gia phân tích sẽ điều tra kỹ lưỡng các kết nối gắn với các cảnh báo ban đầu. Đây là nơi mà dữ liệu từ nhiều nguồn được lấy và phân tích để tìm kiếm các kết nối, bao gồm các hoạt động như sau:

 Thu thập dữ liệu PCAP

 Thực hiện phân tích gói

 Thu thập dữ liệu PSTR

 Trích xuất các tệp tin và thực hiện phân tích phần mềm độc hại

 Tạo thống kê từ dữ liệu phiên

Trong một số trường hợp, lúc này các chuyên gia phân tích có thể xác định liệu một sự cố đã xảy ra hay không. Khi đó, các điều tra có thể kết thúc ở đây. Nếu vụ việc không được định nghĩa rõ ràng vào thời điểm này hay không có quyết định cụ thể nào, các bước tiếp theo sẽ được thực hiện.

Bước 3: Điều tra các đối tượng thứ cấp và mối quan hệ

Khi một điều tra viên đang điều tra các đối tượng chính và mối quan hệ giữa chúng, thông thường họ sẽ xác định các đối tượng thứ cấp. Đây là những cá nhân có liên quan đến việc khiếu nại theo một cách nào đó, và có thể bao gồm các cộng sự của đối tượng làm đơn khiếu nại, hoặc các nhân chứng khác. Khi các đối tượng này được xác định, các điều tra thường được hỗ trợ thông qua thực hiện các bước điều tra tương tự được nêu trong hai bước đầu tiên, bao gồm một cuộc điều tra của các đối tượng này, cũng như các mối quan hệ giữa họ và các đối tượng chính.

Trong một cuộc điều tra NSM, điều này xảy ra thường xuyên. Ví dụ, khi đang điều tra mối quan hệ giữa hai máy tính, một chuyên gia phân tích có thể thấy rằng các máy tính cần được bảo vệ đã giao tiếp với các máy tính nguy hại khác hoặc ngược lại. Hơn nữa, phân tích các tệp tin độc hại có thể mang lại các địa chỉ IP để lộ nguồn các liên lạc gây nghi vấn khác. Những máy tính này đều được coi là đối tượng thứ cấp.

Khi đối tượng thứ cấp được xác định, chúng cần được điều tra theo cách tương tự như các đối tượng chính. Tiếp đó, các mối quan hệ giữa các đối tượng thứ cấp và các đối tượng chính cần được kiểm tra.

Bước 4: Điều tra bổ sung về quan hệ của các đối tượng

Tại thời điểm này, việc điều tra các đối tượng và các mối quan hệ nên lặp lại nhiều lần khi cần thiết, và có thể đòi hỏi các đối tượng mức ba hoặc mức bốn. Khi thực hiện, nên đánh giá các đối tượng và các mối quan hệ một cách đầy đủ trên cơ sở của mỗi cấp độ, điều tra đầy đủ mỗi mức trước khi chuyển sang mức kế tiếp, nếu không sẽ rất dễ dàng mất dấu và bỏ quên các kết nối quan trọng khi xem xét các máy tính khác. Khi kết thúc, có thể mô tả mối quan hệ giữa các đối tượng và cách các hoạt động độc hại đã xảy ra.

Để minh họa quy trình điều tra quan hệ, xét một kịch bản như sau:

Bước 1: Điều tra các đối tượng chính và thực hiện điều tra sơ bộ về các khiếu nại

Các chuyên gia phân tích được thông báo rằng một sự kiện bất thường đã được phát hiện với các cảnh báo Snort sau đây:

ET WEB_CLIENT PDF With Embedded File

Trong cảnh báo này, IP nguồn là 192.0.2.5 (máy tính A nguy hiểm) và địa chỉ IP đích là 172.16.16.20 (Host B cần bảo vệ). Đây là những đối tượng chính. Việc kiểm tra sơ bộ về liên lạc gắn với hoạt động này chỉ ra rằng có một tệp tin PDF được tải về. Các dữ liệu PCAP cho chuỗi liên lạc thu được, và các tệp tin PDF được chiết xuất từ các tệp tin bằng cách sử dụng Wireshark. Các chuỗi băm MD5 của tệp tin PDF được gửi đến Team Cymru Malware Hash Registry, và nó chỉ ra rằng 23% các engine phát hiện vi-rút cho rằng tập tin này là độc hại. Dựa trên điều này, nên thực hiện các quyết định tiếp tục điều tra sau đó.

Bước tiếp theo là thu thập dữ liệu một cách thân thiện và có chiến thuật đe dọa tình báo liên quan đến cả hai máy chủ. Quá trình này sẽ xác định các thông tin sau đây:

 Thông tin về các tài nguyên mạng cần bảo vệ cho 172.16.16.20:

 Hệ thống này là một máy trạm của người dùng đang chạy Windows 7

 Hệ thống không có các dịch vụ nghe hoặc mở cổng

 Người dùng hệ thống này lướt web thường xuyên, và nhiều thông báo tài sản mới tồn tại trong dữ liệu PRADS

 TI đối với 192.0.2.5:

 IPVoid trả về 0 kết quả trên các danh sách đen đối với địa chỉ IP này

 URLVoid tìm thấy 5 kết quả trên các danh sách đen cho tên miền nơi các tệp tin PDF đã được tải về

 Dữ liệu NetFlow chỉ ra rằng địa chỉ IP này đã không liên lạc với bất kỳ thiết bị nào khác trên mạng được bảo vệ

Hình 4.47 Các đối tượng chính ban đầu Bước 2: Điều tra mối quan hệ chính và tương tác hiện tại

Để điều tra các mối quan hệ giữa 172.16.16.20 và 192.0.2.5, hành động đầu tiên được thực hiện là một phân tích các dữ liệu gói tin cho liên lạc đã xảy ra vào khoảng thời gian có cảnh báo. Gói dữ liệu sẽ được tải về cho liên lạc giữa hai máy này với khoảng thời gian thiết lập để lấy dữ liệu từ 10 phút trước khi cảnh báo xảy ra tới 10 phút sau khi cảnh báo xảy ra. Sau khi thực hiện phân tích gói tin trên dữ liệu này, xác định được rằng máy tính được bảo vệ đã được chuyển hướng đến máy tính độc hại từ một quảng cáo của bên thứ ba trên một trang web hợp pháp. Các máy tính được bảo vệ tải tệp tin về, và giao tiếp với các máy tính không còn nguy hiểm.

Hình 4.48 Quan hệ của các đối tượng chính

Các bước tiếp theo thực hiện để điều tra mối quan hệ giữa 172.16.16.20 và 192.0.2.5 là kiểm tra các tệp tin PDF đã được tải về. Tệp tin PDF này được gửi lên một Cuckoo sandbox để thực hiện phân tích mã độc tự động. Các phân tích hành vi của tập tin này chỉ ra rằng PDF này có chứa một tệp tin thực thi. Các tệp tin thực thi có chứa địa chỉ IP 192.0.2.6 trong cấu hình của nó. Không có thông tin khác được xác định từ các phân tích phần mềm độc hại về tập tin này.

Tại thời điểm này, đã hoàn thành việc điều tra của các đối tượng chính và mối quan hệ giữa chúng. Trong khi tất cả mọi thứ đều cho thấy rằng đây là một sự cố, chúng ta vẫn chưa thể hoàn toàn chắc chắn điều này. Tuy nhiên, đã xác định được một đối tượng thứ cấp, vì vậy chúng ta cần sẽ chuyển sang bước tiếp theo của cuộc điều tra với dữ liệu đó.

Bước 3: Điều tra các đối tượng thứ cấp và mối quan hệ

Đã xác định được đối tượng thứ cấp 192.0.2.6 mã hóa trong tệp tin thực thi đã được gắn trong tệp tin PDF được tải xuống bởi đối tượng chính. Bây giờ, cần phải điều tra đối tượng bằng cách thu thập thông tin TI đối với địa chỉ IP này:

TI đối với 192.0.2.6:

 IPVoid trả về 2 kết quả phù hợp trên danh sách đen cho địa chỉ IP này.

 Dữ liệu NetFlow cho thấy đối tượng chính 172.16.16.20 đã liên lạc với máy tính này. Giao tiếp xảy ra khoảng ba mươi phút sau cảnh báo ban đầu.

 Dữ liệu NetFlow chỉ ra rằng hai máy tính được bảo vệ khác trên mạng của tổ chức đã giao tiếp với địa chỉ IP này theo định kỳ với lưu lượng thấp trong vài ngày qua. Địa chỉ của chúng là 172.16.16.30 và 172.16.16.40.

Hình 4.49 Quan hệ của các đối tượng chính và thứ cấp

Dựa vào các thông tin trên, nhận thấy rằng vấn đề này có thể nguy hiểm hơn chúng ta nghĩ lúc đầu. Tiếp theo, cần phải xác định mối quan hệ giữa đối tượng thứ cấp 192.0.2.6 và đối tượng

chính 172.16.16.20. Dựa trên thông tin TI biết rằng giao tiếp xảy ra giữa hai thiết bị. Bước tiếp theo là thu thập dữ liệu PCAP về liên lạc xảy ra giữa các máy tính. Khi dữ liệu này được thu thập, phân tích cho thấy mặc dù các thiết bị này giao tiếp trên cổng 80, nhưng chúng không sử dụng các giao thức HTTP, thay vào đó, chúng đang sử dụng một giao thức sửa đổi, và có thể thấy rằng các lệnh đã được thực thi cho hệ thống này. Những lệnh này dẫn đến các hệ thống được bảo vệ đã truyền đi các thông tin hệ thống cho máy tính nguy hiểm. Tại thời điểm này cũng nhận thấy có một cuộc gọi lại (call back) định kỳ được truyền đến máy tính nguy hiểm.

Lúc này, chúng ta đã có đủ thông tin để quyết định rằng nên khai báo một sự cố, và xác định là 172.16.16.20 đã bị tổn hại (Hình 4.49). Trong một số trường hợp, việc điều tra có thể kết thúc ở đây. Tuy nhiên, hãy nhớ là đã xác định hai máy tính bổ sung (bây giờ được xác định là các đối tượng mức ba) đã giao tiếp với IP 192.0.2.6 nguy hiểm. Điều này có nghĩa là có thể các máy tính đó cũng có thể bị tổn hại.

Bước 4: Điều tra bổ sung về quan hệ của các đối tượng

Một kiểm tra về các gói dữ liệu truyền giữa các máy tính mức ba và 172.16.16.20 tiết lộ rằng nó cũng đang tham gia vào hành vi callback như đã được xác định trong các máy tính được bảo vệ (Hình 4.50). Do vậy, có thể xác định rằng các máy tính được bảo vệ ở mức ba cũng đang bị tổn hại.

Tổng kết về sự cố:

Kịch bản này được dựa trên một sự cố thực sự xảy ra trong một doanh nghiệp. Việc sử dụng quy trình phân tích hệ thống để xác định các máy tính và xây dựng các mối quan hệ giữa chúng không chỉ cho phép chúng ta xác định liệu một tấn công xảy ra hay không, mà còn cho chúng ta tìm các máy tính khác cũng đã bị tổn hại nhưng không được xác định trong các cảnh báo ban đầu. Đây là một ví dụ điển hình về một quá trình có cấu trúc có thể giúp một chuyên gia phân tích thực hiện công việc điều tra từ A đến Z mà không bị sai sót hoặc quá tải thông tin. Rất dễ bị lạc lối trong một kịch bản như thế này, do vậy, điều quan trọng là tiếp cận từng bước như dự định và không đi quá xa khỏi con đường đang đi.

4.3.1.2 Chẩn đoán khác biệt

Mục tiêu của một chuyên gia phân tích NSM là phân loại các cảnh báo được tạo ra bởi cơ chế phát hiện và điều tra các nguồn dữ liệu để thực hiện các kiểm tra có liên quan, nghiên cứu để xem liệu có vi phạm an ninh mạng nào đã xảy ra hay không. Mục tiêu này rất tương tự với mục tiêu của một bác sĩ, là phân loại các dấu hiệu biểu hiện của một bệnh nhân và điều tra nhiều nguồn dữ

Một phần của tài liệu Bài giảng Kỹ thuật theo dõi, giám sát an toàn mạng: Phần 2 (Trang 90 - 100)

Tải bản đầy đủ (PDF)

(103 trang)