phương pháp sử dụng zeek để phát hiện các kỹ thuật mitre attck

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (784.77 KB, 55 trang )

<span class="text_page_counter">Trang 1</span><div class="page_container" data-page="1">

<b>PHƯƠNG PHÁP SỬ DỤNG ZEEK ĐỂ PHÁT HIỆN CÁC KỸ THUẬT MITRE ATT&CK</b>

<b>Nguyễn Hoàng SơnCHAT2P14</b>

<b>GVHD: TS. Lại Minh Tuấn</b>

</div><span class="text_page_counter">Trang 2</span><div class="page_container" data-page="2">

<b>Giới thiệu<sup>Phương pháp nghiên cứu</sup></b>

<b>Tìm hiểu và thảo luậnTriển khai và kết luận</b>

<b>NỘI DUNG</b>

</div><span class="text_page_counter">Trang 3</span><div class="page_container" data-page="3">

<b>Giới thiệu</b>

<b>01</b>

</div><span class="text_page_counter">Trang 4</span><div class="page_container" data-page="4">

<b>Cơ sở dữ liệu rộng lớn của MITRE ATT&CK () về các Chiến thuật, Kỹ thuật và Quy trình (TTPs) cung cấp một kho lưu trữ mã nguồn mở về các hành vi của kẻ tấn công áp dụng cho các lĩnh vực an ninh thông tin như Tình báo Đe dọa, Mơ phỏng Đối thủ, Phân tích Khoảng trống và Phát hiện & Phân tích (Strom et al., 2018)</b>

</div><span class="text_page_counter">Trang 5</span><div class="page_container" data-page="5">

<b>Hiện nay, một số lỗ hổng trong các môi trường mạng dựa trên IoT, các thiết bị đầu cuối, các thiết bị hạ tầng và các yếu tố khác tạo nơi trú ẩn thích hợp cho kẻ tấn công mạng khi những thiết bị này bị cấu hình sai hoặc bị chiếm đoạt do thiếu sự giám sát và thu thập thông tin liên tục về hoạt động của các thiết bị này.</b>

</div><span class="text_page_counter">Trang 6</span><div class="page_container" data-page="6">

<b>Trong nghiên cứu này sẽ điều tra khả năng sử dụng Network Service Extraction (NSE) mã nguồn mở bằng việc sử dụng Zeek IDS để phát hiện những kỹ thuật MITRE ATT&CK trong quá trình diễn ra. Việc này cũng sẽ khám phá ra những hạn chế của phương pháp này và đưa ra đề xuất cho nghiên cứu tiếp theo.</b>

</div><span class="text_page_counter">Trang 7</span><div class="page_container" data-page="7">

<b>Phương pháp nghiên cứu</b>

<b>02</b>

</div><span class="text_page_counter">Trang 8</span><div class="page_container" data-page="8">

<b>Trong nghiên cứu này sử dụng môi trường sandbox và các bản ghi gói tin của các cuộc tấn cơng thực tế. </b>

<b>Việc sử dụng các bản ghi công khai trong việc phân tích và kiểm tra các kỹ thuật MITRE ATT&CK đảm bảo tính truy cập và khả năng lặp lại của kết quả và cung cấp một sự đa dạng về tình huống và trường hợp sử dụng mạng để kiểm tra tính hiệu quả và độ chính xác của các phát hiện và phân tích.</b>

</div><span class="text_page_counter">Trang 9</span><div class="page_container" data-page="9">

<b>2.1 Môi trường mô phỏng:</b>

</div><span class="text_page_counter">Trang 10</span><div class="page_container" data-page="10">

<b>Trong môi trường này, các máy Windows 10 VM và máy chủ Ubuntu 18 hoạt động như các máy khách. Các máy chủ Windows Server 2016 R2 cung cấp phần lớn lưu lượng trung tâm dữ liệu. Máy chủ Ubuntu chạy môi trường demo ELK và Samba để mô phỏng một môi trường hỗn hợp với các hệ điều hành khác nhau.</b>

<b>Các kịch bản shell đơn giản được sử dụng để mô phỏng lưu lượng mạng thông qua duyệt web, truy cập ứng dụng, hoạt động của điều khiển tên miền, chuyển tập tin và quản lý thông thường.</b>

</div><span class="text_page_counter">Trang 11</span><div class="page_container" data-page="11">

<b>Cisco Configuration Guides and software version 17.1 hướng dẫn triển khai các thiết bị hạ tầng mạng đã được hướng dẫn cài đặt. </b>

<b>Các phần chính của hướng dẫn cấu hình sử dụng là IP Addressing (Địa chỉ IP), IP Routing (Định tuyến IP), Security Configuration (Cấu hình bảo mật) và Basic System Management (Quản lý hệ thống cơ bản)</b>

</div><span class="text_page_counter">Trang 12</span><div class="page_container" data-page="12">

<b>2.2 Phương pháp bắt ghi gói tin:</b>

<b>Các gói tin bắt được từ nhiều kho lưu trữ có sẵn cơng khai đã được sử dụng để hình thành các phương pháp phát hiện và kiểm tra tính ứng dụng của chúng.</b>

<b>Một cảm biến Zeek với phần mở rộng TLS mới được triển khai và sử dụng để phân tích các nhật ký và cung cấp các bộ dữ liệu phù hợp cho nhiều kỹ thuật khác nhau được xem xét trong nghiên cứu này.</b>

</div><span class="text_page_counter">Trang 13</span><div class="page_container" data-page="13">

<b>Tìm hiểu và thảo luận</b>

<b>03</b>

</div><span class="text_page_counter">Trang 14</span><div class="page_container" data-page="14">

<b>MITRE ATT&CK là một khung công việc (framework) phát triển bởi Viện Nghiên cứu MITRE, tập trung vào việc mô tả và phân loại các kỹ thuật tấn công (TTPs - Tactics, Techniques, and Procedures) được sử dụng bởi kẻ tấn công. ATT&CK là viết tắt của "Adversarial Tactics, Techniques, and Common Knowledge".</b>

<b>3.1 MITRE ATT&CK:</b>

</div><span class="text_page_counter">Trang 15</span><div class="page_container" data-page="15">

</div><span class="text_page_counter">Trang 16</span><div class="page_container" data-page="16">

<b>Ưu điểm và Nhược điểm của việc tập trung vào Endpoint trong phát hiệnƯu điểm:</b>

 <b>Tầm nhìn chi tiết</b>

 <b>Thách thức với mã hóa</b>

 <b>Triển khai linh hoạt</b>

 <b>Phát hiện và bảo vệ toàn diện</b>

 <b>Telemetry và Forensics</b>

</div><span class="text_page_counter">Trang 17</span><div class="page_container" data-page="17">

<b>Ưu điểm và Nhược điểm của việc tập trung vào Endpoint trong phát hiện</b>

</div><span class="text_page_counter">Trang 18</span><div class="page_container" data-page="18">

<b>3.2 Sử dụng Network Service Extraction cho việc phát hiện các hoạt động tấn công mạng</b>

<b>Việc sử dụng NSE giúp cung cấp thông tin chi tiết về cách các máy chủ và thiết bị trong mạng tương tác và trao đổi dữ liệu. Nó có thể được sử dụng để phân tích lưu lượng mạng, xác định các hoạt động bất thường, phát hiện các mơ hình tấn cơng và hỗ trợ trong cơng tác phân tích an ninh mạng.</b>

</div><span class="text_page_counter">Trang 19</span><div class="page_container" data-page="19">

<b>Ứng dụng truyền thống của Network Service Extraction (NSE)</b>

<b>Trong ứng dụng cơ bản nhất, kết quả dựa trên NSE không tự động tạo ra cảnh báo. Ban đầu, người điều hành sẽ hiểu kết quả và đưa ra quyết định. Khi người điều hành hiểu rõ hơn về mơi trường, họ có thể bắt đầu điều chỉnh và cấu hình các cơng cụ NSE để triển khai các kịch bản và chữ ký đơn giản.</b>

<b>Các kịch bản và chữ ký này được triển khai một cách có ý thức để tự động hóa phân tích các mơ hình và sự kiện đã gặp phải.</b>

</div><span class="text_page_counter">Trang 20</span><div class="page_container" data-page="20">

<b>Thách thức đối với Network Service Extraction</b>

</div><span class="text_page_counter">Trang 21</span><div class="page_container" data-page="21">

<b><small>Vern Paxson bắt đầu phát triển công cụ mã nguồn mở hàng đầu dựa trên NSE, Bro IDS, vào năm 1995. Xây dựng dựa trên một bộ phần mềm dựa trên Linux/BSD, Bro được tạo ra để mở rộng, tùy chỉnh và hiệu suất. Nó đã tiếp tục phát triển và mở rộng khả năng của mình thơng qua một cộng đồng mã nguồn mở tích cực và sự hỗ trợ từ Corelight (một công ty cung cấp và hỗ trợ cao cấp được tạo ra bởi Paxson và các nhà đóng góp quan trọng khác) cũng như các khách hàng lớn sử dụng khả năng của nó. Bro đã được đổi tên thành Zeek vào năm 2018.</small></b>

</div><span class="text_page_counter">Trang 22</span><div class="page_container" data-page="22">

</div><span class="text_page_counter">Trang 23</span><div class="page_container" data-page="23">

<b>Để xác định các chiến thuật phù hợp nhất từ ma trận ATT&CK Enterprise, việc khảo sát các kỹ thuật bên trong mỗi chiến thuật đã ra chọn ba chiến thuật chính là các ứng cử viên hàng đầu cho nghiên cứu này.</b>

</div><span class="text_page_counter">Trang 24</span><div class="page_container" data-page="24">

</div><span class="text_page_counter">Trang 25</span><div class="page_container" data-page="25">

<b>Lateral Movement (TA0008)</b>

<b>Lateral Movement (TA0008) là một trong những tactic (chiến thuật) trong ma trận MITRE ATT&CK, được sử dụng để mô tả các kỹ thuật thường được sử dụng để di chuyển và mở rộng sự tấn công trong mạng nội bộ. Chiến thuật này tập trung vào việc khai thác các lỗ hổng và kiểm soát các hệ thống hoặc tài khoản để di chuyển từ một máy tính sang máy tính khác trong mạng mục tiêu.</b>

</div><span class="text_page_counter">Trang 26</span><div class="page_container" data-page="26">

<b>Lateral Movement (TA0008)</b>

<b>Các kỹ thuật phổ biến trong Lateral Movement bao gồm Pass the Hash, Remote Desktop Protocol (RDP) Hijacking, Windows Admin Shares, Windows Remote Management (WinRM), và các kỹ thuật tương tự.</b>

<b>Các kỹ thuật mà nó bao gồm có khả năng tiết lộ thơng qua ba cách chính: tấn công bằng vét cạn mật khẩu, lạm dụng giao thức lạ/lạc hậu và giao dịch bất thường giữa các máy chủ.</b>

</div><span class="text_page_counter">Trang 27</span><div class="page_container" data-page="27">

<b>Command & Control (TA0011)</b>

<b>Command & Control (TA0011) là một trong các tactic (chiến thuật) trong ma trận MITRE ATT&CK, mô tả các kỹ thuật và hoạt động được sử dụng để thiết lập và duy trì kênh điều khiển và điều hành (C2) của các cuộc tấn công tiên tiến và liên tục.</b>

</div><span class="text_page_counter">Trang 28</span><div class="page_container" data-page="28">

<b>Command & Control (TA0011)</b>

<b>Domain Fronting (T1172) là một kỹ thuật được sử dụng để che giấu và làm mờ thông tin về nguồn gốc của các truy cập mạng hoặc hoạt động mạng. Kỹ thuật này thường được sử dụng để bypass các biện pháp kiểm soát mạng, kiểm tra an ninh, hoặc kiểm soát nội dung trên mạng.</b>

</div><span class="text_page_counter">Trang 29</span><div class="page_container" data-page="29">

<b>Exfiltration (TA0010)</b>

<b>Exfiltration (TA0010) là một trong các chiến thuật được định nghĩa bởi MITRE ATT&CK để mô tả các phương pháp mà kẻ tấn cơng sử dụng để rị rỉ thông tin nhạy cảm hoặc dữ liệu ra khỏi mơi trường mục tiêu. Thơng tin có thể được rị rỉ thông qua nhiều phương tiện, bao gồm mạng, email, giao thức web, hoặc các kênh khác.</b>

</div><span class="text_page_counter">Trang 30</span><div class="page_container" data-page="30">

<b>Exfiltration (TA0010)</b>

<b>Các kỹ thuật rị rỉ thơng tin trong Exfiltration có thể bao gồm việc mã hóa dữ liệu, chuyển dữ liệu qua các giao thức không rõ ràng hoặc không phổ biến, sử dụng các phương thức giấu thông tin, hoặc thay đổi các định dạng tệp tin để ẩn dấu vết.</b>

</div><span class="text_page_counter">Trang 31</span><div class="page_container" data-page="31">

<b>3.4 Phương pháp kiểm thử </b>

<b>Phương pháp kiểm thử thay đổi tùy theo từng kỹ thuật, vì một số trường hợp kiểm thử khó thực hiện trực tiếp trong mơi trường sandbox và do đó chỉ được kiểm tra dựa trên các ghi nhận (captures).</b>

<b>Cấu hình Zeek được duy trì nhất quán, chỉ khác nhau ở việc triển khai các tập lệnh nào trong mỗi lần thực hiện kiểm tra.</b>

</div><span class="text_page_counter">Trang 32</span><div class="page_container" data-page="32">

<b>Thực nghiệm trên VM</b>

<b>Việc kiểm thử được thực hiện bằng cách sử dụng Zeek 3.1.3 được cài đặt trên một máy ảo Ubuntu 19.04</b>

<b>Quá trình Zeek được khởi động bằng lệnh zeekctl deploy để đảm bảo tất cả các tập lệnh được tải lại từ các tệp cấu hình và một tập mới các logs được ghi lại chỉ cho một kịch bản cụ thể.</b>

</div><span class="text_page_counter">Trang 33</span><div class="page_container" data-page="33">

<b>Phát lại và ghi nhật ký của dữ liệu bắt ghi</b>

<b>Playback and logging of capture là quá trình phát lại ghi nhận gói tin từ một tệp tin ghi nhận và ghi lại các thông tin liên quan vào logs.</b>

<b>Khi các gói tin được phát lại, Zeek (trước đây là Bro) được sử dụng để ghi lại và lưu trữ các thơng tin quan trọng từ các gói tin này vào logs.</b>

<b>Ví dụ, Lệnh "tcpreplay -i lo wmi_exec.pcap" là một câu lệnh trong hệ thống Linux được sử dụng để chạy lại các gói tin từ một tệp pcap (Packet Capture) có tên là "wmi_exec.pcap" trên giao diện loopback (lo) của máy tính</b>

</div><span class="text_page_counter">Trang 34</span><div class="page_container" data-page="34">

<b>Phân tích và xử lý các dữ liệu ghi lại bằng Zeek-Cut</b>

<b>Zeek-Cut là một công cụ được phát triển dựa trên Zeek, được sử dụng để phân tích và xử lý các file log được tạo ra bởi Zeek.</b>

<b>Zeek-Cut cung cấp các tính năng để trích xuất thơng tin cần thiết từ các file log Zeek và hiển thị nó theo định dạng dễ đọc hoặc định dạng tùy chỉnh.</b>

<b>Quá trình này nhằm chuyển đổi các dữ liệu log từ định dạng gốc (thường là định dạng văn bản không cấu trúc) sang dạng có cấu trúc và dễ dàng đọc hiểu</b>

</div><span class="text_page_counter">Trang 35</span><div class="page_container" data-page="35">

<b>Chuyển đổi từ Zeek-Cut sang Script</b>

<b>Đây là quá trình chuyển đổi từ việc sử dụng cơng cụ Zeek-Cut để cắt và trích xuất thơng tin từ logs sang việc viết các đoạn mã script tương ứng để tự động thực hiện các tác vụ phân tích và xử lý dữ liệu.</b>

<b>Thay vì phụ thuộc vào việc thủ công chạy lệnh Zeek-Cut để xử lý logs, việc viết script giúp tự động hóa quy trình này và tạo ra các kịch bản linh hoạt và dễ tái sử dụng cho việc xử lý logs trong q trình phân tích và phát hiện tấn cơng.</b>

</div><span class="text_page_counter">Trang 36</span><div class="page_container" data-page="36">

<b>3.5 Phân tích theo Kỹ thuật - tùy chọn các Script</b>

<b>Trong giai đoạn này, các kỹ thuật cụ thể được lựa chọn để tìm hiểu chi tiết và phát triển các kịch bản (scripts) đặc thù để phát hiện các kỹ thuật này bằng cách sử dụng Zeek.</b>

<b>Việc lựa chọn kỹ thuật cụ thể và tạo ra các kịch bản cho từng kỹ thuật giúp tập trung và chính xác hơn trong việc phát hiện các kỹ thuật tấn công của đối thủ trong môi trường mạng.</b>

</div><span class="text_page_counter">Trang 37</span><div class="page_container" data-page="37">

<b>3.5 Phân tích theo Kỹ thuật - tùy chọn các Script</b>

<b>Nghiên cứu này không đi sâu vào chi tiết của từng kỹ thuật, mà thay vào đó nó tập trung vào việc đề xuất cách tiếp cận và ứng dụng các kỹ thuật này trong các tình huống cụ thể. Ba trong số các phương pháp tiếp cận sau đây đã được phát triển thành tập lệnh cơ bản để thực hiện các tác vụ liên quan đến kỹ thuật đó và khơng đi sâu vào chi tiết của từng kỹ thuật.</b>

</div><span class="text_page_counter">Trang 38</span><div class="page_container" data-page="38">

<b>Lateral Movement: SSH (T1021) Brute-Force </b>

<b>Lateral Movement: SSH (T1021) Brute-Force là một phương pháp được sử dụng trong quá trình di chuyển từ một hệ thống vào hệ thống khác trong mạng. Kỹ thuật này tập trung vào việc thử đoán và tấn công vào các tài khoản SSH bằng cách sử dụng các mật khẩu yếu hoặc danh sách từ điển để đốn mật khẩu đúng.</b>

<b>Một ví dụ zeek-cut trích xuất các trường này từ log:</b>

<b>cat ssh.log | zeek-cut -c uid ts id.orig_h id.resp_h auth_attempts auth_success >> ssh_brute_data.txt</b>

</div><span class="text_page_counter">Trang 39</span><div class="page_container" data-page="39">

<b>Lateral Movement: SSH (T1021) Brute-Force </b>

<b>Lateral Movement: SSH (T1021) Brute-Force là một phương pháp được sử dụng trong quá trình di chuyển từ một hệ thống vào hệ thống khác trong mạng. Kỹ thuật này tập trung vào việc thử đốn và tấn cơng vào các tài khoản SSH bằng cách sử dụng các mật khẩu yếu hoặc danh sách từ điển để đốn mật khẩu đúng.</b>

<b>Một ví dụ zeek-cut trích xuất các trường này từ log:</b>

<b>cat ssh.log | zeek-cut -c uid ts id.orig_h id.resp_h auth_attempts auth_success >> ssh_brute_data.txt</b>

</div><span class="text_page_counter">Trang 40</span><div class="page_container" data-page="40">

<b>Lateral Movement: SSH (T1021) Brute-Force </b>

</div><span class="text_page_counter">Trang 41</span><div class="page_container" data-page="41">

<b>Lateral Movement: SSH (T1021) Brute-Force </b>

<b>Kết quả mô phỏng tấn công:</b>

</div><span class="text_page_counter">Trang 42</span><div class="page_container" data-page="42">

<b>Remote File Copy (T1105) </b>

<b>Remote File Copy là một kỹ thuật thuộc Lateral Movement và Command and Control trong MITRE ATT&CK Matrix. Kỹ thuật này mô tả việc sao chép tệp tin từ một máy tính đích (target machine) đến một máy tính tấn cơng (attacker-controlled machine) thông qua mạng. Điều này cho phép kẻ tấn công sao chép, đánh cắp hoặc lấy đi các tệp tin quan trọng từ máy tính đích.</b>

</div><span class="text_page_counter">Trang 43</span><div class="page_container" data-page="43">

<b>Remote File Copy (T1105) </b>

</div><span class="text_page_counter">Trang 44</span><div class="page_container" data-page="44">

<b>Remote File Copy (T1105) </b>

<b>Đây là một tệp script Zeek có tên"T1105_remote_file_copy.zeek" được sử dụng để phát hiện hoạt động sao chép tập tin từ xa không được phê duyệt thông qua giao thức SCP/SSH</b>

</div><span class="text_page_counter">Trang 45</span><div class="page_container" data-page="45">

<b>Remote File Copy (T1105) </b>

<b>Kết quả mô phỏng tấn công:</b>

</div><span class="text_page_counter">Trang 46</span><div class="page_container" data-page="46">

<b>3.6 Phân tích theo Kỹ thuật - Ý tưởng cho các Kỹ thuật bổ sung</b>

<b>Phần này đề cập đến các khái niệm để tiếp tục điều tra và nghiên cứu có thể cung cấp các phát hiện bổ sung và tăng cường giá trị của Zeek trong việc hỗ trợ phát hiện kỹ thuật ATT&CK.</b>

<b>Mục đích là tạo ra các ý tưởng và hướng đi mới để nghiên cứu và phát triển thêm các phương pháp phát hiện để cung cấp khả năng bảo vệ tốt hơn chống lại các hoạt động tấn công.</b>

</div><span class="text_page_counter">Trang 47</span><div class="page_container" data-page="47">

<b>Lateral Movement: RDP (Remote Desktop Protocol) (T1076) </b>

<b>Lateral Movement: RDP (Remote Desktop Protocol) (T1076) là một kỹ thuật được mô tả trong MITRE ATT&CK, nơi kẻ tấn công sử dụng giao thức RDP để tiến hành di chuyển ngang hệ thống trong mạng nội bộ. Kỹ thuật này thường được sử dụng sau khi kẻ tấn công đã có quyền truy cập vào một điểm trung gian trong mạng. </b>

</div><span class="text_page_counter">Trang 48</span><div class="page_container" data-page="48">

<b>Lateral Movement: SSH Hijacking (T1184)</b>

<b>Lateral Movement: SSH Hijacking (T1184) là một kỹ thuật trong MITRE ATT&CK Framework, mô tả việc kẻ tấn công sử dụng SSH (Secure Shell) để thực hiện di chuyển ngang bề mặt trong một mạng.</b>

<b>SSH Hijacking xảy ra khi kẻ tấn công đánh cắp hoặc chiếm quyền truy cập vào các phiên SSH hợp lệ giữa hai máy chủ đã thiết lập kết nối SSH.</b>

</div><span class="text_page_counter">Trang 49</span><div class="page_container" data-page="49">

<b>Command and Control: Port Knocking (T1205)</b>

<b>Port Knocking ( là một kỹ thuật phổ biến để liệt kê các dịch vụ và phương pháp phòng thủ của chúng trong một môi trường.</b>

<b>Cách quét Nmap hoặc các chuỗi gói tin tùy chỉnh được sử dụng để phát hiện trạng thái cổng và đánh giá phiên bản, hệ điều hành và thơng tin tình báo giá trị khác về các mạng mục tiêu.</b>

</div><span class="text_page_counter">Trang 50</span><div class="page_container" data-page="50">

<b>Exfiltration: Exfiltration Over Alternative Protocol (T1048)</b>

<b>Kỹ thuật này liên quan đến việc truyền dữ liệu bí mật ra khỏi mạng hoặc hệ thống của một tổ chức sử dụng các giao thức hoặc phương thức truyền tải khác thay vì các giao thức tiêu chuẩn được kiểm sốt hoặc theo dõi.</b>

</div><span class="text_page_counter">Trang 51</span><div class="page_container" data-page="51">

<b>Exfiltration: Data Encrypted (T1022)</b>

<b>Exfiltration: Data Encrypted (T1022) là một trong các kỹ thuật được liệt kê trong chuẩn MITRE ATT&CK và nó liên quan đến việc mã hóa dữ liệu trước khi truyền đi khỏi mạng hoặc hệ thống của một tổ chức. Mục tiêu chính của kỹ thuật này là che giấu thông tin quan trọng khỏi các biện pháp kiểm soát và giám sát mạng.</b>

</div><span class="text_page_counter">Trang 52</span><div class="page_container" data-page="52">