+ Mô tả về quá trình phát hiện và tiếp nhận sự cố như thế nào?
Quản trị hệ thống nhanh chóng thông báo bộ phận ATTT phối hợp phân tích, kiểm tra nhanh phát hiện là sự cố
Ứng Dụng Mô Hình Mapreduce Phân Tích Và Xử Lý Malware.doc
Slide đào tạo ATTT.pdf
1. Ha Noi - 2021
ĐÀO TẠO VỀ DIỄN TẬP AN TOÀN THÔNG TIN MẠNG
Võ Văn Hoàng,
CEH, CHFI, GCIH, GSEC
2. DIẾN TẬP AN TOÀN THÔNG TIN MẠNG 2021
TRANG
NỘI DUNG Trang
q Malware.
q Cyber kill chain.
q Mô hình mạng truyền thống và hiện đại.
q Hệ thống giám sát an toàn thông tin
q Quy trình ứng cứu sự cố an toàn thông tin mạng.
q Thực hành về tấn công mã độc APT.
q Thực hành về phân tích, sơ cứu, xử lý sự cố tấn công mã độc.
q Thực hành về tấn công website.
q Thực hành về truy vết, xác định dấu hiệu tấn công trên website.
2
TRANG
3. DIẾN TẬP AN TOÀN THÔNG TIN MẠNG 2021
MALWARE
3
Phân loại mã độc
4. DIẾN TẬP AN TOÀN THÔNG TIN MẠNG 2021
MALWARE
4
Cách thức malware xâm nhập vào hệ thống?
5. DIẾN TẬP AN TOÀN THÔNG TIN MẠNG 2021
MALWARE
5
Một số cách thức chính để phát tán Malware
6. DIẾN TẬP AN TOÀN THÔNG TIN MẠNG 2021
MALWARE
6
E-Banking trojan
7. DIẾN TẬP AN TOÀN THÔNG TIN MẠNG 2021
MALWARE
7
Spear-Phishing email (link)
Spear-phishing
email with a
malicious link
User clicks the link HTML smuggling
technique drops
ZIP file
ZIP file contains
JavaScript file
downloader
Performs credential
theft and keylogging
Malicious
imgengine.dll
launched via DLL
sideloading
Downloads ZIP file
containing DLL files
JavaScript connects
to malicious site
8. DIẾN TẬP AN TOÀN THÔNG TIN MẠNG 2021
MALWARE
8
Spear-Phishing email (HTML attachment)
Spear-phishing
email with an HTML
attachment
User opens
attachment in
browser
HTML smuggling technique
drops password-protected
ZIP file
ZIP file contains
malicious JavaScript
JavaScript executes
encoded PowerShell
command
PowerShell calls back to
attacker’s server and
downloads TrickBot
User executes JavaScript by
providing the password from
the HTML attachment
9. DIẾN TẬP AN TOÀN THÔNG TIN MẠNG 2021
MALWARE
9
Smuggling attack
User opens
URL/attachment in
web browser
Malicious file
Website
Attacker sends phishing email
with URL or HTML attachment
HTML Smuggling
Browser decodes the encoded
JavaScript, loads page
JavaScript Blob downloads
malware and assembles it on
device
User’s device
10. DIẾN TẬP AN TOÀN THÔNG TIN MẠNG 2021
MALWARE
10
APT Lifecycle
11. DIẾN TẬP AN TOÀN THÔNG TIN MẠNG 2021
MALWARE
11
APT Attack
Air Gap Offline communication channel
Offline communication channel
Connected side
Air-gapped side
1
Initial compromise
(spearphishing, watering
hole attack)
Connected system
2
C&C Server
7
13
8
Exfiltrate
Send further
commands
Exfiltrate
Weaponize
USB drivers 6 9
Extract
exfiltrated data
Store Commands to
USB
12 Extract results from
USB
USB Drive
3 Compromise
Air gapped system
4
Perform reconnaissance and
information stealing
5 10
Copy stolen
information to USB
Read commands
and execute
11 Read commands
results to USB
Connected bidirectional
communication channel
Air gapped system
12. DIẾN TẬP AN TOÀN THÔNG TIN MẠNG 2021
CYBER KILL CHAIN
12
Cyber kill chain
13. DIẾN TẬP AN TOÀN THÔNG TIN MẠNG 2021
CYBER KILL CHAIN
13
Stuxnet
14. DIẾN TẬP AN TOÀN THÔNG TIN MẠNG 2021
CYBER KILL CHAIN
14
Stuxnet sử dụng 0-day
15. DIẾN TẬP AN TOÀN THÔNG TIN MẠNG 2021
CYBER KILL CHAIN
15
Regin
16. DIẾN TẬP AN TOÀN THÔNG TIN MẠNG 2021
CYBER KILL CHAIN
16
Epic turla
17. DIẾN TẬP AN TOÀN THÔNG TIN MẠNG 2021
CYBER KILL CHAIN
17
Epic Turla (tiếp)
18. DIẾN TẬP AN TOÀN THÔNG TIN MẠNG 2021
CYBER KILL CHAIN
18
Cyber kill chain và phòng thủ.
19. DIẾN TẬP AN TOÀN THÔNG TIN MẠNG 2021
MÔ HÌNH MẠNG
19
Mô hình mạng truyền thống
Mô hình mạng truyền thông với phân vùng DMZ
Mô hình kiến trúc mạng phân chia nội bộ
20. DIẾN TẬP AN TOÀN THÔNG TIN MẠNG 2021
MÔ HÌNH MẠNG
20
Mô hình mạng hiện đại
Mô hình mạng cách li dữ liệu bên trong
Mô hình kiến trúc mạng Zero-Trust
21. DIẾN TẬP AN TOÀN THÔNG TIN MẠNG 2021
GIÁM SÁT AN TOÀN THÔNG TIN
21
Công nghệ SIEM
22. DIẾN TẬP AN TOÀN THÔNG TIN MẠNG 2021
GIÁM SÁT AN TOÀN THÔNG TIN
22
Mô hình tập trung
23. DIẾN TẬP AN TOÀN THÔNG TIN MẠNG 2021
GIÁM SÁT AN TOÀN THÔNG TIN
23
Mô hình triển khai phân tán
24. DIẾN TẬP AN TOÀN THÔNG TIN MẠNG 2021
GIÁM SÁT AN TOÀN THÔNG TIN
24
Cơ chế hoạt động
LOG
LOG
LOG
L
O
G
L
O
G
L
O
G
L
O
G
E
N
C
R
Y
P
T
I
O
N
C
O
M
P
R
E
S
S
I
O
N
ANALYSIS
OFFENSES
ALERT
Response
ALERT
25. DIẾN TẬP AN TOÀN THÔNG TIN MẠNG 2021
GIÁM SÁT AN TOÀN THÔNG TIN
25
D
a
t
a
=
C
o
m
p
r
e
s
s
i
o
n
+
E
n
c
r
y
p
t
i
o
n
TRUNG
TÂM
GIÁM
SÁT AN
TOÀN
THÔNG
TIN
MẠNG
CNTT TRIỂN
KHAI GIÁM
SÁT ATTT
EC/FC/UBA
/VM/RM
Monitoring
Analysis
Alert
Anti-APT
26. DIẾN TẬP AN TOÀN THÔNG TIN MẠNG 2021
QUY TRÌNH ỨNG CỨU SỰ CỐ
26
Phân tích mô hình xử lý dữ liệu
27. DIẾN TẬP AN TOÀN THÔNG TIN MẠNG 2021
QUY TRÌNH ỨNG CỨU SỰ CỐ
27
Phân tích, xác định sự cố
1. Preparations
2. Identification
3. Containment
4. Eradication
5. Recovery
6. Lessions Learned
Incident Handling
1. Phân tích Log lớp mạng (Network
perimeter detection)
- Xác định sự kiện lớp mạng
- Firewall, routers, ….
2. Phân tích Log máy tính (Host
perimeter detection)
- Dữ liệu ra vào máy tính
- Firewall trên máy tính
3. Phân tích Log hệ điều
hành(System-level (host) detection)
- Hoạt động của hệ thống
- Các cảnh báo?sự kiện từ Log hệ thống
và ứng dụng
4. Phân tích Log Ứng dụng
(Application-level detection)
- Log ứng dụng: web app, app server,…
- Network usage
- Process and services
- Files
- Scheduled taks
- Accounts
- Log Entries
- Other unusual items
- Additional supporting tools
- Unusual network usage
- Unusual Processes
- Unusual Services
- Unusual Reg Key Entries
- Extra Startup items
- Unusual Accounts
- Unusual files
- Unusual Scheduled Taks
- Unusual Log Entries
- Others Unusual items
28. DIẾN TẬP AN TOÀN THÔNG TIN MẠNG 2021
QUY TRÌNH ỨNG CỨU SỰ CỐ
28
Phân tích, xác định sự cố
29. DIẾN TẬP AN TOÀN THÔNG TIN MẠNG 2021
QUY TRÌNH ỨNG CỨU SỰ CỐ
29
Xử lý sự cố
1. Preparations
2. Identification
3. Containment
4. Eradication
5. Recovery
6. Lessions Learned
Incident Handling
- Sơ cứu ban đầu, ngăn chặn ảnh hưởng ban đầu của tấn
công mạng trên máy tính.
- Phân loại tấn công mạng và cấp độ tấn công mạng
1. Sơ cứu ban đầu (Short-term Containment)
- Backup image phục vụ điều tra: memory, MD5…
- Xóa bỏ các tiến trình lạ, xác định là đấu hiệu mã độc
- Xóa bỏ registry key có liên quan mã độc
- Xóa bỏ các file, dll liên quan mã độc
- Thay đổi các mật khẩu:QLVB, các thông tin tài khoản #
2. Backup hệ thống (System Backup-up)
3. Phương án xử lý lâu dài (Long-term Containment)
- Cập nhật bản vá
- Tiếp tục theo dõi
- Phân tích mã độc: file, service, dll…
- Đánh giá hệ thống, các máy tính, trang thiết bị trong mạng
30. DIẾN TẬP AN TOÀN THÔNG TIN MẠNG 2021 30
THỰC HÀNH
31. DIẾN TẬP AN TOÀN THÔNG TIN MẠNG 2021
Trân trọng cám ơn!