3. Săn tìm mối đe dọa là việc chủ động xác định các
- Mối đe dọa bỏ lọt
- Mối đe dọa đang diễn ra mà không được xử lý
Bên trong hệ thống công nghệ thông tin của tổ
chức
4. - Công nghệ bảo vệ, giám sát không phát hiện được
- Kỹ thuật tấn công mới
- Kỹ thuật tấn công tinh vi (APT)
- Sai sót trong quá trình giám sát, phân tích, xử lý cảnh báo
- Có cảnh báo nhưng không xử lý
- Người xử lý sai
Nguyên nhân các mối đe dọa bị bỏ lọt
7. Có tỉ lệ nhỏ các mối đe dọa vượt qua được
tất cả các giải pháp, công nghệ bảo mật
Cần phải xử lý rủi ro này
Phát hiện sớm để giảm thiểu thiệt hại
Bù đắp những giải pháp còn thiếu
12. 5
Cấp độ 4
Cấp độ 3
Cấp độ 2
Hệ thống thông tin cấp độ 1
1 lần / năm
2 lần / năm
2 lần / năm
4 lần / năm
4 lần / năm
Nguồn: https://vision.fireeye.com/editions/11/11-m-trends.html#
14. Giả thiết:
- Kẻ tấn công đã tấn công thành công vào trong hệ thống
- Kẻ tấn công thực hiện tạo các persistence mã độc trên hệ
thống
Cơ sở:
- Tỉ lệ rất lớn (>80%) các cuộc tấn công sâu vào hệ thống đều có
sử dụng kỹ thuật Persistence
2:43 PM
5.1 Săn tìm persistence mã độc
17. 2:43 PM
Thực hiện quy mô lớn
Triển khai script chạy
công cụ autorunsc trên
máy chủ, máy trạm
Autorunsc File Server
Chuyên gia phân tích trên SIEM theo các kỹ thuật
Đẩy log (.csv hoặc
.json) về file server
Nạp log
18. Giả thiết:
- Kẻ tấn công đã tấn công thành công vào máy chủ ứng dụng
web
- Kẻ tấn công thực hiện tạo webshell để dễ dàng thao tác và duy
trì kiểm soát
Cơ sở:
- Tỉ lệ rất lớn các cuộc tấn công vào máy chủ ứng dụng web, sau
khi thành công sẽ tạo webshell, đặc biệt là tấn công APT
2:43 PM
5.2 Săn tìm webshell
19. 2:43 PM
Thực hiện
File Server
Chuyên gia phân tích
trên SIEM theo các
kỹ thuật
Nạp log
Webshell Scanner
Log truy cập ứng
dụng web:
- Access Log
- WAF
- Firewall Layer 7
- Phân tích file nghi ngờ
- Các URL được truy cập lần đầu tiên
- Các URL được truy cập với số lượng ít
20. Giả thiết:
- Kẻ tấn công đã tấn công thành công vào trong hệ thống MS
Exchange
- Kẻ tấn công thực hiện tạo các persistence trên MS Exchange
bằng transport agent
Cơ sở:
- https://www.welivesecurity.com/2019/05/07/turla-lightneuron-email-too-far/
- Săn tìm mã độc thông thường không phát hiện được
2:43 PM
5.3 Săn tìm persistence trên máy chủ
email MS Exchange
21. 2:43 PM
Thực hiện
- Kiểm tra log powershell (Windows PowerShell,
Microsoft/Windows/PowerShell) có command Install-
Transportagent
- Kiểm tra file cấu hình Transport Agent agents.config
- Exchange 2013: <ExchangeInstallFolder>TransportRolesAgentsagents.config
- Exchange 2016: <ExchangeInstallFolder>TransportRolesSharedagents.config
- Tìm kiếm các Transport Agent tại trường assemblyPath
- Phân tích các Transport Agent: Các Transport Agent (file .dll) thường
được ký số bởi Microsoft hoặc các vendor. File không được ký số là file
nghi ngờ
22. Giả thiết:
- Kẻ tấn công đã tấn công thành công vào trong hệ thống CNTT
- Mã độc hoặc các công cụ tấn công khác thực hiện kết nối về
C&C
Cơ sở:
- Mã độc hoặc các công cụ tấn công thường kết nối từ máy tính
bị thỏa hiệp về phía C&C
2:43 PM
5.4 Săn tìm kết nối đến C&C
23. 2:43 PM
Thực hiện
Chuyên gia phân tích trên SIEM
Netflow
DNS
Firewall
Proxy
- IP, Domain đích có số lượng IP
nguồn kết nối đến < 10
- IP, Domain đích có tần suất kết nối
query đều đặn, khoảng thời gian
kết nối, query ngắn < 24h
24. Giả thiết:
- Kẻ tấn công đã tấn công thành công vào trong hệ thống AD
- Kẻ tấn công tạo tài khoản đặc quyền trên hệ thống AD để duy
trì truy cập
Cơ sở:
- Kẻ tấn công có xu hướng tấn công vào AD để dễ dàng kiểm
soát toàn bộ hệ thống CNTT
2:43 PM
5.5 Săn tìm tài khoản đặc quyền nguy hại
25. 2:43 PM
Thực hiện
Chuyên gia phân tích trên SIEM
Windows
Event Logs
Event ID cần phân tích: 4720, 4728,
4732, 4672, 4735, 4735, 4755, 4780,
4724, 4723
Thực hiện thủ công trên hệ thống AD