Scribd Logo
Upload

Welcome to Scribd!

  • Threat Hunting

    Uploaded by

    thienchanhuynh10
    20 views29 pages

    Original Title

    Threat hunting

    Copyright

    © © All Rights Reserved

    Available Formats

    PPTX, PDF, TXT or read online from Scribd

    Did you find this document useful?

    Is this content inappropriate?

    Report this Document

    Copyright:

    © All Rights Reserved
    Download as PPTX, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    Download as pptx, pdf, or txt
    20 views29 pages

    Threat Hunting

    Uploaded by

    thienchanhuynh10

    Copyright:

    © All Rights Reserved
    Download as PPTX, PDF, TXT or read online from Scribd
    Flag for inappropriate content
    Download as pptx, pdf, or txt
    of 29

    SĂN TÌM MỐI ĐE DỌA

    TRONG HỆ THỐNG CNTT


    (THREAT HUNTING)
    WHAT
    01
    Săn tìm mối đe dọa là gì?
    Săn tìm mối đe dọa là việc chủ động xác định các
    - Mối đe dọa bỏ lọt
    - Mối đe dọa đang diễn ra mà không được xử lý
    Bên trong hệ thống công nghệ thông tin của tổ chức
    Nguyên nhân các mối đe dọa bị bỏ lọt
    - Công nghệ bảo vệ, giám sát không phát hiện được
    - Kỹ thuật tấn công mới
    - Kỹ thuật tấn công tinh vi (APT)
    - Sai sót trong quá trình giám sát, phân tích, xử lý cảnh báo
    - Có cảnh báo nhưng không xử lý
    - Người xử lý sai
    WHY
    02
    Tại sao cần phải săn tìm các
    mối đe dọa?
    Sự cố
    Có tỉ lệ nhỏ các mối đe dọa vượt qua được tất
    cả các giải pháp, công nghệ bảo mật

    Cần phải xử lý rủi ro này


    Phát hiện sớm để giảm thiểu thiệt hại
    Bù đắp những giải pháp còn thiếu
    HOW
    03
    Làm thế nào để thực hiện
    săn tìm mối đe dọa?
    3.1 Săn tìm có cấu trúc
    Structured hunting
    Dựa trên:
    - Indicator of attack (IoA)
    - Tactics, techniques and procedures (TTPs) – MITRE ATT&CK
    - Giả thiết (hypothesis)
    3.1 Săn tìm phi cấu trúc
    Unstructured hunting

    Dựa trên bất thường


    WHEN
    WHERE
    04
    Tần suất và hệ thống cần
    thực hiện săn tìm?
    4 lần / năm 5

    4 lần / năm Cấp độ 4

    2 lần / năm
    Cấp độ 3

    2 lần / năm Cấp độ 2

    1 lần / năm
    Hệ thống thông tin cấp độ 1

    Nguồn: https://vision.fireeye.com/editions/11/11-m-trends.html#
    PRACTICE
    05
    Chia sẻ kinh nghiệm thực hiện của
    VSEC
    5.1 Săn tìm persistence mã độc
    Giả thiết:
    - Kẻ tấn công đã tấn công thành công vào trong hệ thống
    - Kẻ tấn công thực hiện tạo các persistence mã độc trên hệ thống
    Cơ sở:
    - Tỉ lệ rất lớn (>80%) các cuộc tấn công sâu vào hệ thống đều có sử
    dụng kỹ thuật Persistence

    2:43 PM
    Thực hiện

    2:43 PM
    Công cụ

    2:43 PM
    Thực hiện quy mô lớn

    Nạp log
    Đẩy log (.csv
    hoặc .json) về file
    File Server
    Autorunsc server
    Chuyên gia phân tích trên SIEM theo các kỹ thuật
    Triển khai script chạy công
    cụ autorunsc trên máy chủ,
    máy trạm

    2:43 PM
    5.2 Săn tìm webshell
    Giả thiết:
    - Kẻ tấn công đã tấn công thành công vào máy chủ ứng dụng web
    - Kẻ tấn công thực hiện tạo webshell để dễ dàng thao tác và duy trì
    kiểm soát
    Cơ sở:
    - Tỉ lệ rất lớn các cuộc tấn công vào máy chủ ứng dụng web, sau khi
    thành công sẽ tạo webshell, đặc biệt là tấn công APT

    2:43 PM
    Thực hiện
    Webshell Scanner Fi l e n g h
    i ng ờ

    Nạp log
    Log truy cập ứng
    dụng web: lo g
    - Access Log Đẩy File Server
    - WAF
    - Firewall Layer 7

    - Phân tích file nghi ngờ


    - Các URL được truy cập lần đầu tiên
    - Các URL được truy cập với số lượng ít
    Chuyên gia phân tích
    trên SIEM theo các kỹ
    thuật

    2:43 PM
    5.3 Săn tìm persistence trên máy chủ email
    MS Exchange
    Giả thiết:
    - Kẻ tấn công đã tấn công thành công vào trong hệ thống MS Exchange
    - Kẻ tấn công thực hiện tạo các persistence trên MS Exchange bằng
    transport agent
    Cơ sở:
    - https://www.welivesecurity.com/2019/05/07/turla-lightneuron-email-too-far/
    - Săn tìm mã độc thông thường không phát hiện được

    2:43 PM
    Thực hiện
    - Kiểm tra log powershell (Windows PowerShell,
    Microsoft/Windows/PowerShell) có command Install-
    Transportagent
    - Kiểm tra file cấu hình Transport Agent agents.config
    - Exchange 2013: <ExchangeInstallFolder>\TransportRoles\Agents\agents.config
    - Exchange 2016: <ExchangeInstallFolder>\TransportRoles\Shared\agents.config
    - Tìm kiếm các Transport Agent tại trường assemblyPath
    - Phân tích các Transport Agent: Các Transport Agent (file .dll) thường được ký
    số bởi Microsoft hoặc các vendor. File không được ký số là file nghi ngờ

    2:43 PM
    5.4 Săn tìm kết nối đến C&C
    Giả thiết:
    - Kẻ tấn công đã tấn công thành công vào trong hệ thống CNTT
    - Mã độc hoặc các công cụ tấn công khác thực hiện kết nối về C&C
    Cơ sở:
    - Mã độc hoặc các công cụ tấn công thường kết nối từ máy tính bị thỏa
    hiệp về phía C&C

    2:43 PM
    Thực hiện

    Netflow - IP, Domain đích có số lượng IP nguồn


    kết nối đến < 10
    DNS - IP, Domain đích có tần suất kết nối
    query đều đặn, khoảng thời gian kết
    Firewall
    nối, query ngắn < 24h
    Proxy Chuyên gia phân tích trên SIEM

    2:43 PM
    5.5 Săn tìm tài khoản đặc quyền nguy hại
    Giả thiết:
    - Kẻ tấn công đã tấn công thành công vào trong hệ thống AD
    - Kẻ tấn công tạo tài khoản đặc quyền trên hệ thống AD để duy trì truy
    cập
    Cơ sở:
    - Kẻ tấn công có xu hướng tấn công vào AD để dễ dàng kiểm soát toàn
    bộ hệ thống CNTT

    2:43 PM
    Thực hiện

    Windows Event ID cần phân tích: 4720, 4728, 4732,


    Event Logs 4672, 4735, 4735, 4755, 4780, 4724, 4723

    Chuyên gia phân tích trên SIEM

    Thực hiện thủ công trên hệ thống AD

    2:43 PM
    OUT COME
    06
    Kết quả
    Hệ thống an toàn

    Săn tìm mối đe dọa

    Hệ thống bị tấn công Ứng cứu, xử lý sự cố

    2:43 PM
    2:43 PM
    THANKS FOR WATCHING

    You might also like