SlideShare a Scribd company logo

Threat hunting.pptx

Download as PPTX, PDF
S
SugarCane18

Hunting trên OS Windows

Technology
1 of 29
SĂN TÌM MỐI ĐE DỌA TRONG HỆ THỐNG CNTT (THREAT HUNTING)
WHAT Săn tìm mối đe dọa là gì? 01
Săn tìm mối đe dọa là việc chủ động xác định các - Mối đe dọa bỏ lọt - Mối đe dọa đang diễn ra mà không được xử lý Bên trong hệ thống công nghệ thông tin của tổ chức
- Công nghệ bảo vệ, giám sát không phát hiện được - Kỹ thuật tấn công mới - Kỹ thuật tấn công tinh vi (APT) - Sai sót trong quá trình giám sát, phân tích, xử lý cảnh báo - Có cảnh báo nhưng không xử lý - Người xử lý sai Nguyên nhân các mối đe dọa bị bỏ lọt
WHY Tại sao cần phải săn tìm các mối đe dọa? 02
Sự cố
Có tỉ lệ nhỏ các mối đe dọa vượt qua được tất cả các giải pháp, công nghệ bảo mật Cần phải xử lý rủi ro này Phát hiện sớm để giảm thiểu thiệt hại Bù đắp những giải pháp còn thiếu
HOW Làm thế nào để thực hiện săn tìm mối đe dọa? 03
Dựa trên: - Indicator of attack (IoA) - Tactics, techniques and procedures (TTPs) – MITRE ATT&CK - Giả thiết (hypothesis) 3.1 Săn tìm có cấu trúc Structured hunting
3.1 Săn tìm phi cấu trúc Unstructured hunting Dựa trên bất thường
WHEN WHERE Tần suất và hệ thống cần thực hiện săn tìm? 04
5 Cấp độ 4 Cấp độ 3 Cấp độ 2 Hệ thống thông tin cấp độ 1 1 lần / năm 2 lần / năm 2 lần / năm 4 lần / năm 4 lần / năm Nguồn: https://vision.fireeye.com/editions/11/11-m-trends.html#
PRACTICE Chia sẻ kinh nghiệm thực hiện của VSEC 05
Giả thiết: - Kẻ tấn công đã tấn công thành công vào trong hệ thống - Kẻ tấn công thực hiện tạo các persistence mã độc trên hệ thống Cơ sở: - Tỉ lệ rất lớn (>80%) các cuộc tấn công sâu vào hệ thống đều có sử dụng kỹ thuật Persistence 2:43 PM 5.1 Săn tìm persistence mã độc
2:43 PM Thực hiện
2:43 PM Công cụ
2:43 PM Thực hiện quy mô lớn Triển khai script chạy công cụ autorunsc trên máy chủ, máy trạm Autorunsc File Server Chuyên gia phân tích trên SIEM theo các kỹ thuật Đẩy log (.csv hoặc .json) về file server Nạp log
Giả thiết: - Kẻ tấn công đã tấn công thành công vào máy chủ ứng dụng web - Kẻ tấn công thực hiện tạo webshell để dễ dàng thao tác và duy trì kiểm soát Cơ sở: - Tỉ lệ rất lớn các cuộc tấn công vào máy chủ ứng dụng web, sau khi thành công sẽ tạo webshell, đặc biệt là tấn công APT 2:43 PM 5.2 Săn tìm webshell
2:43 PM Thực hiện File Server Chuyên gia phân tích trên SIEM theo các kỹ thuật Nạp log Webshell Scanner Log truy cập ứng dụng web: - Access Log - WAF - Firewall Layer 7 - Phân tích file nghi ngờ - Các URL được truy cập lần đầu tiên - Các URL được truy cập với số lượng ít
Giả thiết: - Kẻ tấn công đã tấn công thành công vào trong hệ thống MS Exchange - Kẻ tấn công thực hiện tạo các persistence trên MS Exchange bằng transport agent Cơ sở: - https://www.welivesecurity.com/2019/05/07/turla-lightneuron-email-too-far/ - Săn tìm mã độc thông thường không phát hiện được 2:43 PM 5.3 Săn tìm persistence trên máy chủ email MS Exchange
2:43 PM Thực hiện - Kiểm tra log powershell (Windows PowerShell, Microsoft/Windows/PowerShell) có command Install- Transportagent - Kiểm tra file cấu hình Transport Agent agents.config - Exchange 2013: <ExchangeInstallFolder>TransportRolesAgentsagents.config - Exchange 2016: <ExchangeInstallFolder>TransportRolesSharedagents.config - Tìm kiếm các Transport Agent tại trường assemblyPath - Phân tích các Transport Agent: Các Transport Agent (file .dll) thường được ký số bởi Microsoft hoặc các vendor. File không được ký số là file nghi ngờ
Giả thiết: - Kẻ tấn công đã tấn công thành công vào trong hệ thống CNTT - Mã độc hoặc các công cụ tấn công khác thực hiện kết nối về C&C Cơ sở: - Mã độc hoặc các công cụ tấn công thường kết nối từ máy tính bị thỏa hiệp về phía C&C 2:43 PM 5.4 Săn tìm kết nối đến C&C
2:43 PM Thực hiện Chuyên gia phân tích trên SIEM Netflow DNS Firewall Proxy - IP, Domain đích có số lượng IP nguồn kết nối đến < 10 - IP, Domain đích có tần suất kết nối query đều đặn, khoảng thời gian kết nối, query ngắn < 24h
Giả thiết: - Kẻ tấn công đã tấn công thành công vào trong hệ thống AD - Kẻ tấn công tạo tài khoản đặc quyền trên hệ thống AD để duy trì truy cập Cơ sở: - Kẻ tấn công có xu hướng tấn công vào AD để dễ dàng kiểm soát toàn bộ hệ thống CNTT 2:43 PM 5.5 Săn tìm tài khoản đặc quyền nguy hại
2:43 PM Thực hiện Chuyên gia phân tích trên SIEM Windows Event Logs Event ID cần phân tích: 4720, 4728, 4732, 4672, 4735, 4735, 4755, 4780, 4724, 4723 Thực hiện thủ công trên hệ thống AD
OUT COME Kết quả 06
2:43 PM Săn tìm mối đe dọa Hệ thống an toàn Hệ thống bị tấn công Ứng cứu, xử lý sự cố
2:43 PM
THANKS FOR WATCHING

Recommended

Vu tuananh
Vu tuananhVu tuananh
Vu tuananhVũ Anh
 
Báo cáo lần 1
Báo cáo lần 1Báo cáo lần 1
Báo cáo lần 1Anhh Hữu
 
Vu tuananh
Vu tuananhVu tuananh
Vu tuananhVũ Anh
 
SYSTEM HACKING - TUẦN 2
SYSTEM HACKING - TUẦN 2SYSTEM HACKING - TUẦN 2
SYSTEM HACKING - TUẦN 2Con Ranh
 
SYSTEM HACKING - TUẦN 1
SYSTEM HACKING - TUẦN 1SYSTEM HACKING - TUẦN 1
SYSTEM HACKING - TUẦN 1Con Ranh
 
pentest là gì
pentest là gì pentest là gì
pentest là gì laonap166
 
Service-Threat-Hunting-of-viettel-1231511222.pdf
Service-Threat-Hunting-of-viettel-1231511222.pdfService-Threat-Hunting-of-viettel-1231511222.pdf
Service-Threat-Hunting-of-viettel-1231511222.pdfbiherok177
 
Tổng kết Báo cáo thực tập Athena - Hoàng Thanh Quý
Tổng kết Báo cáo thực tập Athena - Hoàng Thanh QuýTổng kết Báo cáo thực tập Athena - Hoàng Thanh Quý
Tổng kết Báo cáo thực tập Athena - Hoàng Thanh QuýQuý Đồng Nast
 

Recommended

Vu tuananh
Vu tuananhVu tuananh
Vu tuananhVũ Anh
 
Báo cáo lần 1
Báo cáo lần 1Báo cáo lần 1
Báo cáo lần 1Anhh Hữu
 
Vu tuananh
Vu tuananhVu tuananh
Vu tuananhVũ Anh
 
SYSTEM HACKING - TUẦN 2
SYSTEM HACKING - TUẦN 2SYSTEM HACKING - TUẦN 2
SYSTEM HACKING - TUẦN 2Con Ranh
 
SYSTEM HACKING - TUẦN 1
SYSTEM HACKING - TUẦN 1SYSTEM HACKING - TUẦN 1
SYSTEM HACKING - TUẦN 1Con Ranh
 
pentest là gì
pentest là gì pentest là gì
pentest là gì laonap166
 
Service-Threat-Hunting-of-viettel-1231511222.pdf
Service-Threat-Hunting-of-viettel-1231511222.pdfService-Threat-Hunting-of-viettel-1231511222.pdf
Service-Threat-Hunting-of-viettel-1231511222.pdfbiherok177
 
Tổng kết Báo cáo thực tập Athena - Hoàng Thanh Quý
Tổng kết Báo cáo thực tập Athena - Hoàng Thanh QuýTổng kết Báo cáo thực tập Athena - Hoàng Thanh Quý
Tổng kết Báo cáo thực tập Athena - Hoàng Thanh QuýQuý Đồng Nast
 
Dự Đoán Lỗ Hổng Phần Mềm Dựa Trên Kỹ Thuật Khai Phá Dữ Liệu _08300812092019
Dự Đoán Lỗ Hổng Phần Mềm Dựa Trên Kỹ Thuật Khai Phá Dữ Liệu _08300812092019Dự Đoán Lỗ Hổng Phần Mềm Dựa Trên Kỹ Thuật Khai Phá Dữ Liệu _08300812092019
Dự Đoán Lỗ Hổng Phần Mềm Dựa Trên Kỹ Thuật Khai Phá Dữ Liệu _08300812092019hanhha12
 
Dự Đoán Lỗ Hổng Phần Mềm Dựa Trên Kỹ Thuật Khai Phá Dữ Liệu
Dự Đoán Lỗ Hổng Phần Mềm Dựa Trên Kỹ Thuật Khai Phá Dữ Liệu Dự Đoán Lỗ Hổng Phần Mềm Dựa Trên Kỹ Thuật Khai Phá Dữ Liệu
Dự Đoán Lỗ Hổng Phần Mềm Dựa Trên Kỹ Thuật Khai Phá Dữ Liệu nataliej4
 
Báo cáo thực tập - Lần 1 - Hoàng Thanh Quý
Báo cáo thực tập - Lần 1 - Hoàng Thanh QuýBáo cáo thực tập - Lần 1 - Hoàng Thanh Quý
Báo cáo thực tập - Lần 1 - Hoàng Thanh QuýQuý Đồng Nast
 
Bao caothuctap
Bao caothuctapBao caothuctap
Bao caothuctapLong Prồ
 
Damballa automated breach defense for sales
Damballa automated breach defense for salesDamballa automated breach defense for sales
Damballa automated breach defense for saleslabmentor
 
Slide báo cáo cuối kì system hacking-Trần Nguyễn Lộc
Slide báo cáo cuối kì system hacking-Trần Nguyễn LộcSlide báo cáo cuối kì system hacking-Trần Nguyễn Lộc
Slide báo cáo cuối kì system hacking-Trần Nguyễn LộcLoc Tran
 
Bài giảng hack web.ppt
Bài giảng hack web.pptBài giảng hack web.ppt
Bài giảng hack web.pptSninhCng1
 
Slide báo cáo: System Hacking
Slide báo cáo: System HackingSlide báo cáo: System Hacking
Slide báo cáo: System HackingHuynh Khang
 
Báo cáo system hacking
Báo cáo system hackingBáo cáo system hacking
Báo cáo system hackingHuynh Khang
 
Báo cáo tổng kết thực tập athena
Báo cáo tổng kết thực tập athenaBáo cáo tổng kết thực tập athena
Báo cáo tổng kết thực tập athenaQuý Đồng Nast
 
CEHv9_Finish 01 - Ethical Hacking.pdf
CEHv9_Finish 01 - Ethical Hacking.pdfCEHv9_Finish 01 - Ethical Hacking.pdf
CEHv9_Finish 01 - Ethical Hacking.pdfPeterTh3
 
Ids
Ids Ids
Ids ducmanhkthd
 
Tuan vq bao cao thuc tap_ system hacking
Tuan vq bao cao thuc tap_ system hackingTuan vq bao cao thuc tap_ system hacking
Tuan vq bao cao thuc tap_ system hackingv7q3t
 
RÀ SOÁT ĐIỀU TRA MÃ độc trong hacking .pdf
RÀ SOÁT ĐIỀU TRA MÃ độc trong hacking .pdfRÀ SOÁT ĐIỀU TRA MÃ độc trong hacking .pdf
RÀ SOÁT ĐIỀU TRA MÃ độc trong hacking .pdfbienxanhlunglinh1
 
Bảo mật ứng dụng web
Bảo mật ứng dụng webBảo mật ứng dụng web
Bảo mật ứng dụng webNguyễn Thế Vinh
 
Bài 4: Bảo mật máy chủ, ứng dụng, dữ liệu và mạng - Giáo trình FPT
Bài 4: Bảo mật máy chủ, ứng dụng, dữ liệu và mạng - Giáo trình FPTBài 4: Bảo mật máy chủ, ứng dụng, dữ liệu và mạng - Giáo trình FPT
Bài 4: Bảo mật máy chủ, ứng dụng, dữ liệu và mạng - Giáo trình FPTMasterCode.vn
 
Báo cáo cuối kì system hacking-Trần Nguyễn Lộc
Báo cáo cuối kì system hacking-Trần Nguyễn LộcBáo cáo cuối kì system hacking-Trần Nguyễn Lộc
Báo cáo cuối kì system hacking-Trần Nguyễn LộcLoc Tran
 
Ossec – host based intrusion detection system
Ossec – host based intrusion detection systemOssec – host based intrusion detection system
Ossec – host based intrusion detection systemHai Dinh Tuan
 
Bao mat cho cac may tinh cua to chuc
Bao mat cho cac may tinh cua to chucBao mat cho cac may tinh cua to chuc
Bao mat cho cac may tinh cua to chucTư vấn môi trường
 
PHÂN TÍCH MỘT SỐ CUỘC TẤN CÔNG APT ĐIỂN HÌNH NHẮM VÀO VIỆT NAM 2017-2018
PHÂN TÍCH MỘT SỐ CUỘC TẤN CÔNG APT ĐIỂN HÌNH NHẮM VÀO VIỆT NAM 2017-2018PHÂN TÍCH MỘT SỐ CUỘC TẤN CÔNG APT ĐIỂN HÌNH NHẮM VÀO VIỆT NAM 2017-2018
PHÂN TÍCH MỘT SỐ CUỘC TẤN CÔNG APT ĐIỂN HÌNH NHẮM VÀO VIỆT NAM 2017-2018Security Bootcamp
 

More Related Content

Similar to Threat hunting.pptx

Dự Đoán Lỗ Hổng Phần Mềm Dựa Trên Kỹ Thuật Khai Phá Dữ Liệu _08300812092019
Dự Đoán Lỗ Hổng Phần Mềm Dựa Trên Kỹ Thuật Khai Phá Dữ Liệu _08300812092019Dự Đoán Lỗ Hổng Phần Mềm Dựa Trên Kỹ Thuật Khai Phá Dữ Liệu _08300812092019
Dự Đoán Lỗ Hổng Phần Mềm Dựa Trên Kỹ Thuật Khai Phá Dữ Liệu _08300812092019hanhha12
 
Dự Đoán Lỗ Hổng Phần Mềm Dựa Trên Kỹ Thuật Khai Phá Dữ Liệu
Dự Đoán Lỗ Hổng Phần Mềm Dựa Trên Kỹ Thuật Khai Phá Dữ Liệu Dự Đoán Lỗ Hổng Phần Mềm Dựa Trên Kỹ Thuật Khai Phá Dữ Liệu
Dự Đoán Lỗ Hổng Phần Mềm Dựa Trên Kỹ Thuật Khai Phá Dữ Liệu nataliej4
 
Báo cáo thực tập - Lần 1 - Hoàng Thanh Quý
Báo cáo thực tập - Lần 1 - Hoàng Thanh QuýBáo cáo thực tập - Lần 1 - Hoàng Thanh Quý
Báo cáo thực tập - Lần 1 - Hoàng Thanh QuýQuý Đồng Nast
 
Bao caothuctap
Bao caothuctapBao caothuctap
Bao caothuctapLong Prồ
 
Damballa automated breach defense for sales
Damballa automated breach defense for salesDamballa automated breach defense for sales
Damballa automated breach defense for saleslabmentor
 
Slide báo cáo cuối kì system hacking-Trần Nguyễn Lộc
Slide báo cáo cuối kì system hacking-Trần Nguyễn LộcSlide báo cáo cuối kì system hacking-Trần Nguyễn Lộc
Slide báo cáo cuối kì system hacking-Trần Nguyễn LộcLoc Tran
 
Bài giảng hack web.ppt
Bài giảng hack web.pptBài giảng hack web.ppt
Bài giảng hack web.pptSninhCng1
 
Slide báo cáo: System Hacking
Slide báo cáo: System HackingSlide báo cáo: System Hacking
Slide báo cáo: System HackingHuynh Khang
 
Báo cáo system hacking
Báo cáo system hackingBáo cáo system hacking
Báo cáo system hackingHuynh Khang
 
Báo cáo tổng kết thực tập athena
Báo cáo tổng kết thực tập athenaBáo cáo tổng kết thực tập athena
Báo cáo tổng kết thực tập athenaQuý Đồng Nast
 
CEHv9_Finish 01 - Ethical Hacking.pdf
CEHv9_Finish 01 - Ethical Hacking.pdfCEHv9_Finish 01 - Ethical Hacking.pdf
CEHv9_Finish 01 - Ethical Hacking.pdfPeterTh3
 
Tuan vq bao cao thuc tap_ system hacking
Tuan vq bao cao thuc tap_ system hackingTuan vq bao cao thuc tap_ system hacking
Tuan vq bao cao thuc tap_ system hackingv7q3t
 
RÀ SOÁT ĐIỀU TRA MÃ độc trong hacking .pdf
RÀ SOÁT ĐIỀU TRA MÃ độc trong hacking .pdfRÀ SOÁT ĐIỀU TRA MÃ độc trong hacking .pdf
RÀ SOÁT ĐIỀU TRA MÃ độc trong hacking .pdfbienxanhlunglinh1
 
Bài 4: Bảo mật máy chủ, ứng dụng, dữ liệu và mạng - Giáo trình FPT
Bài 4: Bảo mật máy chủ, ứng dụng, dữ liệu và mạng - Giáo trình FPTBài 4: Bảo mật máy chủ, ứng dụng, dữ liệu và mạng - Giáo trình FPT
Bài 4: Bảo mật máy chủ, ứng dụng, dữ liệu và mạng - Giáo trình FPTMasterCode.vn
 
Báo cáo cuối kì system hacking-Trần Nguyễn Lộc
Báo cáo cuối kì system hacking-Trần Nguyễn LộcBáo cáo cuối kì system hacking-Trần Nguyễn Lộc
Báo cáo cuối kì system hacking-Trần Nguyễn LộcLoc Tran
 
Ossec – host based intrusion detection system
Ossec – host based intrusion detection systemOssec – host based intrusion detection system
Ossec – host based intrusion detection systemHai Dinh Tuan
 
PHÂN TÍCH MỘT SỐ CUỘC TẤN CÔNG APT ĐIỂN HÌNH NHẮM VÀO VIỆT NAM 2017-2018
PHÂN TÍCH MỘT SỐ CUỘC TẤN CÔNG APT ĐIỂN HÌNH NHẮM VÀO VIỆT NAM 2017-2018PHÂN TÍCH MỘT SỐ CUỘC TẤN CÔNG APT ĐIỂN HÌNH NHẮM VÀO VIỆT NAM 2017-2018
PHÂN TÍCH MỘT SỐ CUỘC TẤN CÔNG APT ĐIỂN HÌNH NHẮM VÀO VIỆT NAM 2017-2018Security Bootcamp
 

Similar to Threat hunting.pptx (20)

Dự Đoán Lỗ Hổng Phần Mềm Dựa Trên Kỹ Thuật Khai Phá Dữ Liệu _08300812092019
Dự Đoán Lỗ Hổng Phần Mềm Dựa Trên Kỹ Thuật Khai Phá Dữ Liệu _08300812092019Dự Đoán Lỗ Hổng Phần Mềm Dựa Trên Kỹ Thuật Khai Phá Dữ Liệu _08300812092019
Dự Đoán Lỗ Hổng Phần Mềm Dựa Trên Kỹ Thuật Khai Phá Dữ Liệu _08300812092019
 
Dự Đoán Lỗ Hổng Phần Mềm Dựa Trên Kỹ Thuật Khai Phá Dữ Liệu
Dự Đoán Lỗ Hổng Phần Mềm Dựa Trên Kỹ Thuật Khai Phá Dữ Liệu Dự Đoán Lỗ Hổng Phần Mềm Dựa Trên Kỹ Thuật Khai Phá Dữ Liệu
Dự Đoán Lỗ Hổng Phần Mềm Dựa Trên Kỹ Thuật Khai Phá Dữ Liệu
 
Báo cáo thực tập - Lần 1 - Hoàng Thanh Quý
Báo cáo thực tập - Lần 1 - Hoàng Thanh QuýBáo cáo thực tập - Lần 1 - Hoàng Thanh Quý
Báo cáo thực tập - Lần 1 - Hoàng Thanh Quý
 
Bao caothuctap
Bao caothuctapBao caothuctap
Bao caothuctap
 
Damballa automated breach defense for sales
Damballa automated breach defense for salesDamballa automated breach defense for sales
Damballa automated breach defense for sales
 
Slide báo cáo cuối kì system hacking-Trần Nguyễn Lộc
Slide báo cáo cuối kì system hacking-Trần Nguyễn LộcSlide báo cáo cuối kì system hacking-Trần Nguyễn Lộc
Slide báo cáo cuối kì system hacking-Trần Nguyễn Lộc
 
Bài giảng hack web.ppt
Bài giảng hack web.pptBài giảng hack web.ppt
Bài giảng hack web.ppt
 
Slide báo cáo: System Hacking
Slide báo cáo: System HackingSlide báo cáo: System Hacking
Slide báo cáo: System Hacking
 
Báo cáo system hacking
Báo cáo system hackingBáo cáo system hacking
Báo cáo system hacking
 
Báo cáo tổng kết thực tập athena
Báo cáo tổng kết thực tập athenaBáo cáo tổng kết thực tập athena
Báo cáo tổng kết thực tập athena
 
CEHv9_Finish 01 - Ethical Hacking.pdf
CEHv9_Finish 01 - Ethical Hacking.pdfCEHv9_Finish 01 - Ethical Hacking.pdf
CEHv9_Finish 01 - Ethical Hacking.pdf
 
Ids
Ids Ids
Ids
 
Tuan vq bao cao thuc tap_ system hacking
Tuan vq bao cao thuc tap_ system hackingTuan vq bao cao thuc tap_ system hacking
Tuan vq bao cao thuc tap_ system hacking
 
RÀ SOÁT ĐIỀU TRA MÃ độc trong hacking .pdf
RÀ SOÁT ĐIỀU TRA MÃ độc trong hacking .pdfRÀ SOÁT ĐIỀU TRA MÃ độc trong hacking .pdf
RÀ SOÁT ĐIỀU TRA MÃ độc trong hacking .pdf
 
Bảo mật ứng dụng web
Bảo mật ứng dụng webBảo mật ứng dụng web
Bảo mật ứng dụng web
 
Bài 4: Bảo mật máy chủ, ứng dụng, dữ liệu và mạng - Giáo trình FPT
Bài 4: Bảo mật máy chủ, ứng dụng, dữ liệu và mạng - Giáo trình FPTBài 4: Bảo mật máy chủ, ứng dụng, dữ liệu và mạng - Giáo trình FPT
Bài 4: Bảo mật máy chủ, ứng dụng, dữ liệu và mạng - Giáo trình FPT
 
Báo cáo cuối kì system hacking-Trần Nguyễn Lộc
Báo cáo cuối kì system hacking-Trần Nguyễn LộcBáo cáo cuối kì system hacking-Trần Nguyễn Lộc
Báo cáo cuối kì system hacking-Trần Nguyễn Lộc
 
Ossec – host based intrusion detection system
Ossec – host based intrusion detection systemOssec – host based intrusion detection system
Ossec – host based intrusion detection system
 
Bao mat cho cac may tinh cua to chuc
Bao mat cho cac may tinh cua to chucBao mat cho cac may tinh cua to chuc
Bao mat cho cac may tinh cua to chuc
 
PHÂN TÍCH MỘT SỐ CUỘC TẤN CÔNG APT ĐIỂN HÌNH NHẮM VÀO VIỆT NAM 2017-2018
PHÂN TÍCH MỘT SỐ CUỘC TẤN CÔNG APT ĐIỂN HÌNH NHẮM VÀO VIỆT NAM 2017-2018PHÂN TÍCH MỘT SỐ CUỘC TẤN CÔNG APT ĐIỂN HÌNH NHẮM VÀO VIỆT NAM 2017-2018
PHÂN TÍCH MỘT SỐ CUỘC TẤN CÔNG APT ĐIỂN HÌNH NHẮM VÀO VIỆT NAM 2017-2018
 

Threat hunting.pptx

  • 1. SĂN TÌM MỐI ĐE DỌA TRONG HỆ THỐNG CNTT (THREAT HUNTING)
  • 2. WHAT Săn tìm mối đe dọa là gì? 01
  • 3. Săn tìm mối đe dọa là việc chủ động xác định các - Mối đe dọa bỏ lọt - Mối đe dọa đang diễn ra mà không được xử lý Bên trong hệ thống công nghệ thông tin của tổ chức
  • 4. - Công nghệ bảo vệ, giám sát không phát hiện được - Kỹ thuật tấn công mới - Kỹ thuật tấn công tinh vi (APT) - Sai sót trong quá trình giám sát, phân tích, xử lý cảnh báo - Có cảnh báo nhưng không xử lý - Người xử lý sai Nguyên nhân các mối đe dọa bị bỏ lọt
  • 5. WHY Tại sao cần phải săn tìm các mối đe dọa? 02
  • 7. Có tỉ lệ nhỏ các mối đe dọa vượt qua được tất cả các giải pháp, công nghệ bảo mật Cần phải xử lý rủi ro này Phát hiện sớm để giảm thiểu thiệt hại Bù đắp những giải pháp còn thiếu
  • 8. HOW Làm thế nào để thực hiện săn tìm mối đe dọa? 03
  • 9. Dựa trên: - Indicator of attack (IoA) - Tactics, techniques and procedures (TTPs) – MITRE ATT&CK - Giả thiết (hypothesis) 3.1 Săn tìm có cấu trúc Structured hunting
  • 10. 3.1 Săn tìm phi cấu trúc Unstructured hunting Dựa trên bất thường
  • 11. WHEN WHERE Tần suất và hệ thống cần thực hiện săn tìm? 04
  • 12. 5 Cấp độ 4 Cấp độ 3 Cấp độ 2 Hệ thống thông tin cấp độ 1 1 lần / năm 2 lần / năm 2 lần / năm 4 lần / năm 4 lần / năm Nguồn: https://vision.fireeye.com/editions/11/11-m-trends.html#
  • 13. PRACTICE Chia sẻ kinh nghiệm thực hiện của VSEC 05
  • 14. Giả thiết: - Kẻ tấn công đã tấn công thành công vào trong hệ thống - Kẻ tấn công thực hiện tạo các persistence mã độc trên hệ thống Cơ sở: - Tỉ lệ rất lớn (>80%) các cuộc tấn công sâu vào hệ thống đều có sử dụng kỹ thuật Persistence 2:43 PM 5.1 Săn tìm persistence mã độc
  • 17. 2:43 PM Thực hiện quy mô lớn Triển khai script chạy công cụ autorunsc trên máy chủ, máy trạm Autorunsc File Server Chuyên gia phân tích trên SIEM theo các kỹ thuật Đẩy log (.csv hoặc .json) về file server Nạp log
  • 18. Giả thiết: - Kẻ tấn công đã tấn công thành công vào máy chủ ứng dụng web - Kẻ tấn công thực hiện tạo webshell để dễ dàng thao tác và duy trì kiểm soát Cơ sở: - Tỉ lệ rất lớn các cuộc tấn công vào máy chủ ứng dụng web, sau khi thành công sẽ tạo webshell, đặc biệt là tấn công APT 2:43 PM 5.2 Săn tìm webshell
  • 19. 2:43 PM Thực hiện File Server Chuyên gia phân tích trên SIEM theo các kỹ thuật Nạp log Webshell Scanner Log truy cập ứng dụng web: - Access Log - WAF - Firewall Layer 7 - Phân tích file nghi ngờ - Các URL được truy cập lần đầu tiên - Các URL được truy cập với số lượng ít
  • 20. Giả thiết: - Kẻ tấn công đã tấn công thành công vào trong hệ thống MS Exchange - Kẻ tấn công thực hiện tạo các persistence trên MS Exchange bằng transport agent Cơ sở: - https://www.welivesecurity.com/2019/05/07/turla-lightneuron-email-too-far/ - Săn tìm mã độc thông thường không phát hiện được 2:43 PM 5.3 Săn tìm persistence trên máy chủ email MS Exchange
  • 21. 2:43 PM Thực hiện - Kiểm tra log powershell (Windows PowerShell, Microsoft/Windows/PowerShell) có command Install- Transportagent - Kiểm tra file cấu hình Transport Agent agents.config - Exchange 2013: <ExchangeInstallFolder>TransportRolesAgentsagents.config - Exchange 2016: <ExchangeInstallFolder>TransportRolesSharedagents.config - Tìm kiếm các Transport Agent tại trường assemblyPath - Phân tích các Transport Agent: Các Transport Agent (file .dll) thường được ký số bởi Microsoft hoặc các vendor. File không được ký số là file nghi ngờ
  • 22. Giả thiết: - Kẻ tấn công đã tấn công thành công vào trong hệ thống CNTT - Mã độc hoặc các công cụ tấn công khác thực hiện kết nối về C&C Cơ sở: - Mã độc hoặc các công cụ tấn công thường kết nối từ máy tính bị thỏa hiệp về phía C&C 2:43 PM 5.4 Săn tìm kết nối đến C&C
  • 23. 2:43 PM Thực hiện Chuyên gia phân tích trên SIEM Netflow DNS Firewall Proxy - IP, Domain đích có số lượng IP nguồn kết nối đến < 10 - IP, Domain đích có tần suất kết nối query đều đặn, khoảng thời gian kết nối, query ngắn < 24h
  • 24. Giả thiết: - Kẻ tấn công đã tấn công thành công vào trong hệ thống AD - Kẻ tấn công tạo tài khoản đặc quyền trên hệ thống AD để duy trì truy cập Cơ sở: - Kẻ tấn công có xu hướng tấn công vào AD để dễ dàng kiểm soát toàn bộ hệ thống CNTT 2:43 PM 5.5 Săn tìm tài khoản đặc quyền nguy hại
  • 25. 2:43 PM Thực hiện Chuyên gia phân tích trên SIEM Windows Event Logs Event ID cần phân tích: 4720, 4728, 4732, 4672, 4735, 4735, 4755, 4780, 4724, 4723 Thực hiện thủ công trên hệ thống AD
  • 27. 2:43 PM Săn tìm mối đe dọa Hệ thống an toàn Hệ thống bị tấn công Ứng cứu, xử lý sự cố