Professional Documents
Culture Documents
Threat Hunting
Threat Hunting
2 lần / năm
Cấp độ 3
1 lần / năm
Hệ thống thông tin cấp độ 1
Nguồn: https://vision.fireeye.com/editions/11/11-m-trends.html#
PRACTICE
05
Chia sẻ kinh nghiệm thực hiện của
VSEC
5.1 Săn tìm persistence mã độc
Giả thiết:
- Kẻ tấn công đã tấn công thành công vào trong hệ thống
- Kẻ tấn công thực hiện tạo các persistence mã độc trên hệ thống
Cơ sở:
- Tỉ lệ rất lớn (>80%) các cuộc tấn công sâu vào hệ thống đều có sử
dụng kỹ thuật Persistence
2:43 PM
Thực hiện
2:43 PM
Công cụ
2:43 PM
Thực hiện quy mô lớn
Nạp log
Đẩy log (.csv
hoặc .json) về file
File Server
Autorunsc server
Chuyên gia phân tích trên SIEM theo các kỹ thuật
Triển khai script chạy công
cụ autorunsc trên máy chủ,
máy trạm
2:43 PM
5.2 Săn tìm webshell
Giả thiết:
- Kẻ tấn công đã tấn công thành công vào máy chủ ứng dụng web
- Kẻ tấn công thực hiện tạo webshell để dễ dàng thao tác và duy trì
kiểm soát
Cơ sở:
- Tỉ lệ rất lớn các cuộc tấn công vào máy chủ ứng dụng web, sau khi
thành công sẽ tạo webshell, đặc biệt là tấn công APT
2:43 PM
Thực hiện
Webshell Scanner Fi l e n g h
i ng ờ
Nạp log
Log truy cập ứng
dụng web: lo g
- Access Log Đẩy File Server
- WAF
- Firewall Layer 7
2:43 PM
5.3 Săn tìm persistence trên máy chủ email
MS Exchange
Giả thiết:
- Kẻ tấn công đã tấn công thành công vào trong hệ thống MS Exchange
- Kẻ tấn công thực hiện tạo các persistence trên MS Exchange bằng
transport agent
Cơ sở:
- https://www.welivesecurity.com/2019/05/07/turla-lightneuron-email-too-far/
- Săn tìm mã độc thông thường không phát hiện được
2:43 PM
Thực hiện
- Kiểm tra log powershell (Windows PowerShell,
Microsoft/Windows/PowerShell) có command Install-
Transportagent
- Kiểm tra file cấu hình Transport Agent agents.config
- Exchange 2013: <ExchangeInstallFolder>\TransportRoles\Agents\agents.config
- Exchange 2016: <ExchangeInstallFolder>\TransportRoles\Shared\agents.config
- Tìm kiếm các Transport Agent tại trường assemblyPath
- Phân tích các Transport Agent: Các Transport Agent (file .dll) thường được ký
số bởi Microsoft hoặc các vendor. File không được ký số là file nghi ngờ
2:43 PM
5.4 Săn tìm kết nối đến C&C
Giả thiết:
- Kẻ tấn công đã tấn công thành công vào trong hệ thống CNTT
- Mã độc hoặc các công cụ tấn công khác thực hiện kết nối về C&C
Cơ sở:
- Mã độc hoặc các công cụ tấn công thường kết nối từ máy tính bị thỏa
hiệp về phía C&C
2:43 PM
Thực hiện
2:43 PM
5.5 Săn tìm tài khoản đặc quyền nguy hại
Giả thiết:
- Kẻ tấn công đã tấn công thành công vào trong hệ thống AD
- Kẻ tấn công tạo tài khoản đặc quyền trên hệ thống AD để duy trì truy
cập
Cơ sở:
- Kẻ tấn công có xu hướng tấn công vào AD để dễ dàng kiểm soát toàn
bộ hệ thống CNTT
2:43 PM
Thực hiện
2:43 PM
OUT COME
06
Kết quả
Hệ thống an toàn
2:43 PM
2:43 PM
THANKS FOR WATCHING