Slide đào tạo ATTT.pdf

Ha Noi - 2021
ĐÀO TẠO VỀ DIỄN TẬP AN TOÀN THÔNG TIN MẠNG
Võ Văn Hoàng,
CEH, CHFI, GCIH, GSEC

DIẾN TẬP AN TOÀN THÔNG TIN MẠNG 2021
TRANG
NỘI DUNG Trang
q Malware.
q Cyber kill chain.
q Mô hình mạng truyền thống và hiện đại.
q Hệ thống giám sát an toàn thông tin
q Quy trình ứng cứu sự cố an toàn thông tin mạng.
q Thực hành về tấn công mã độc APT.
q Thực hành về phân tích, sơ cứu, xử lý sự cố tấn công mã độc.
q Thực hành về tấn công website.
q Thực hành về truy vết, xác định dấu hiệu tấn công trên website.
2
TRANG

MALWARE
3
Phân loại mã độc

MALWARE
4
Cách thức malware xâm nhập vào hệ thống?

MALWARE
5
Một số cách thức chính để phát tán Malware

MALWARE
6
E-Banking trojan

MALWARE
7
Spear-Phishing email (link)
Spear-phishing
email with a
malicious link
User clicks the link HTML smuggling
technique drops
ZIP file
ZIP file contains
JavaScript file
downloader
Performs credential
theft and keylogging
Malicious
imgengine.dll
launched via DLL
sideloading
Downloads ZIP file
containing DLL files
JavaScript connects
to malicious site

MALWARE
8
Spear-Phishing email (HTML attachment)
Spear-phishing
email with an HTML
attachment
User opens
attachment in
browser
HTML smuggling technique
drops password-protected
ZIP file
ZIP file contains
malicious JavaScript
JavaScript executes
encoded PowerShell
command
PowerShell calls back to
attacker’s server and
downloads TrickBot
User executes JavaScript by
providing the password from
the HTML attachment

MALWARE
9
Smuggling attack
User opens
URL/attachment in
web browser
Malicious file
Website
Attacker sends phishing email
with URL or HTML attachment
HTML Smuggling
Browser decodes the encoded
JavaScript, loads page
JavaScript Blob downloads
malware and assembles it on
device
User’s device

MALWARE
10
APT Lifecycle

MALWARE
11
APT Attack
Air Gap Offline communication channel
Offline communication channel
Connected side
Air-gapped side
1
Initial compromise
(spearphishing, watering
hole attack)
Connected system
2
C&C Server
7
13
8
Exfiltrate
Send further
commands
Exfiltrate
Weaponize
USB drivers 6 9
Extract
exfiltrated data
Store Commands to
USB
12 Extract results from
USB
USB Drive
3 Compromise
Air gapped system
4
Perform reconnaissance and
information stealing
5 10
Copy stolen
information to USB
Read commands
and execute
11 Read commands
results to USB
Connected bidirectional
communication channel
Air gapped system

CYBER KILL CHAIN
12
Cyber kill chain

CYBER KILL CHAIN
13
Stuxnet

CYBER KILL CHAIN
14
Stuxnet sử dụng 0-day

CYBER KILL CHAIN
15
Regin

CYBER KILL CHAIN
16
Epic turla

CYBER KILL CHAIN
17
Epic Turla (tiếp)

CYBER KILL CHAIN
18
Cyber kill chain và phòng thủ.

MÔ HÌNH MẠNG
19
Mô hình mạng truyền thống
Mô hình mạng truyền thông với phân vùng DMZ
Mô hình kiến trúc mạng phân chia nội bộ

MÔ HÌNH MẠNG
20
Mô hình mạng hiện đại
Mô hình mạng cách li dữ liệu bên trong
Mô hình kiến trúc mạng Zero-Trust

GIÁM SÁT AN TOÀN THÔNG TIN
21
Công nghệ SIEM

22
Mô hình tập trung

23
Mô hình triển khai phân tán

24
Cơ chế hoạt động
LOG
LOG
LOG
L
O
G
L
O
G
L
O
G
L
O
G
E
N
C
R
Y
P
T
I
O
N
C
O
M
P
R
E
S
S
I
O
N
ANALYSIS
OFFENSES
ALERT
Response
ALERT

25
D
a
t
a
=
C
o
m
p
r
e
s
s
i
o
n
+
E
n
c
r
y
p
t
i
o
n
TRUNG
TÂM
GIÁM
SÁT AN
TOÀN
THÔNG
TIN
MẠNG
CNTT TRIỂN
KHAI GIÁM
SÁT ATTT
EC/FC/UBA
/VM/RM
Monitoring
Analysis
Alert
Anti-APT

QUY TRÌNH ỨNG CỨU SỰ CỐ
26
Phân tích mô hình xử lý dữ liệu

27
Phân tích, xác định sự cố
1. Preparations
2. Identification
3. Containment
4. Eradication
5. Recovery
6. Lessions Learned
Incident Handling
1. Phân tích Log lớp mạng (Network
perimeter detection)
- Xác định sự kiện lớp mạng
- Firewall, routers, ….
2. Phân tích Log máy tính (Host
perimeter detection)
- Dữ liệu ra vào máy tính
- Firewall trên máy tính
3. Phân tích Log hệ điều
hành(System-level (host) detection)
- Hoạt động của hệ thống
- Các cảnh báo?sự kiện từ Log hệ thống
và ứng dụng
4. Phân tích Log Ứng dụng
(Application-level detection)
- Log ứng dụng: web app, app server,…
- Network usage
- Process and services
- Files
- Scheduled taks
- Accounts
- Log Entries
- Other unusual items
- Additional supporting tools
- Unusual network usage
- Unusual Processes
- Unusual Services
- Unusual Reg Key Entries
- Extra Startup items
- Unusual Accounts
- Unusual files
- Unusual Scheduled Taks
- Unusual Log Entries
- Others Unusual items

28
Phân tích, xác định sự cố

29
Xử lý sự cố
1. Preparations
2. Identification
3. Containment
4. Eradication
5. Recovery
6. Lessions Learned
Incident Handling
- Sơ cứu ban đầu, ngăn chặn ảnh hưởng ban đầu của tấn
công mạng trên máy tính.
- Phân loại tấn công mạng và cấp độ tấn công mạng
1. Sơ cứu ban đầu (Short-term Containment)
- Backup image phục vụ điều tra: memory, MD5…
- Xóa bỏ các tiến trình lạ, xác định là đấu hiệu mã độc
- Xóa bỏ registry key có liên quan mã độc
- Xóa bỏ các file, dll liên quan mã độc
- Thay đổi các mật khẩu:QLVB, các thông tin tài khoản #
2. Backup hệ thống (System Backup-up)
3. Phương án xử lý lâu dài (Long-term Containment)
- Cập nhật bản vá
- Tiếp tục theo dõi
- Phân tích mã độc: file, service, dll…
- Đánh giá hệ thống, các máy tính, trang thiết bị trong mạng

DIẾN TẬP AN TOÀN THÔNG TIN MẠNG 2021 30
THỰC HÀNH

Trân trọng cám ơn!

Slide đào tạo ATTT.pdf

Recomendados

Recomendados

Mais conteúdo relacionado

Mais procurados

Mais procurados (20)

Semelhante a Slide đào tạo ATTT.pdf

Semelhante a Slide đào tạo ATTT.pdf (20)

Slide đào tạo ATTT.pdf