Công ty bảo mật Red Canary (có trụ sở tại Hoa Kỳ) gần đây đã công bố Báo cáo phát hiện mối đe dọa năm 2021. Báo cáo bao gồm những ánh xạ của nhiều kỹ thuật tấn công mạng hàng đầu vào MITRE ATT&CK framework. Các phát hiện được trình bày bởi các nhà nghiên cứu Red Canary nhấn mạnh sự cần thiết phải hiểu đầy đủ về hệ thống của công ty. Về việc, dành thời gian để theo dõi những gì được cho là bình thường, phải xem xét và ghi lại những tập lệnh nào được sử dụng thường xuyên và những định danh của các sự kiện nào bị loại bỏ trong nhật ký sự kiện của Windows. Đặc biệt là những tập lệnh có liên quan đến các kỹ thuật tấn công được sử dụng nhiều nhất. Ngoài ra, triển khai Sysmon và lưu các tệp nhật ký vào một nơi lưu trữ ngoài, đảm bảo rằng hệ thống đang ghi nhật ký các sự kiện sẽ tiết lộ những gì kẻ tấn công có thể đang thực hiện trong hệ thống.
Dưới đây là các kỹ thuật tấn công phổ biến nhất trên Windows trong năm 2020:
1. Trình thông dịch lệnh và tập lệnh, hay được gọi là PowerShell (24%)
Khách hàng của Red Canary bị ảnh hưởng nhiều nhất bởi các cuộc tấn công sử dụng PowerShell và Windows Command Shell. Bởi những công cụ này có nguồn gốc từ Windows, rất khó để các công ty xác định rằng chúng được sử dụng cho cuộc tấn công, được gọi là tấn công sử dụng các công cụ có sẵn trên hệ thống (living off the land). Để theo dõi PowerShell và các cuộc tấn công dựa trên dòng lệnh, hãy sử dụng các công cụ như Sysmon để đảm bảo rằng các câu lệnh đang được ghi lại trong nhật ký.
Tìm kiếm các lệnh cmdlets đáng ngờ hoặc bất kỳ lệnh được làm rối mà cần được giải mã để được điều tra. Việc so sánh các mẫu PowerShell bình thường với các mẫu độc hại có thể mất thời gian. Hãy theo dõi sự kiện có ID là 4688 cho hành vi tạo tiến trình mới để cảnh báo về các tiến trình độc hại được tạo ra. Tìm hiểu về các tập lệnh và tiến trình PowerShell mà quản trị viên sử dụng thường xuyên để có thể lọc chúng ra và phát hiện các lệnh bất thường.
2. Thực thi tập tin đã được ký (19%)
Chuỗi tấn công tiếp theo sử dụng hai kỹ thuật: Rundll32 và Mshta. Cả hai đều cho phép kẻ tấn công tạo mã độc thông qua các tệp nhị phân được ký bởi một chứng chỉ đáng tin cậy. Một lần nữa, những kẻ tấn công sử dụng các chuỗi cuộc tấn công living off the land để tránh bị phát hiện. Việc phát hiện bất thường từ những tiến trình sử dụng Rundll32 là rất khó nên điều quan trọng nhất là cần phải thiết lập được một đường cơ sở trong tổ chức.
3. Tạo và sửa đổi tiến trình hệ thống (16%)
Tiếp theo là Windows Service được sử dụng bởi một mối đe dọa duy nhất: Blue Mockingbird - triển khai mã độc để khai thác tiền điện tử. Xem lại nhật ký Windows Event Log cho các sự kiện có ID là 4697, 7045 và 4688 khi một dịch vụ và tiến trình mới được tạo. Rà soát định kỳ các sự kiện này cũng giúp phát hiện những dịch vụ và tiến trình độc hại cũ.
4. Lập lịch hệ thống (16%)
Những kẻ tấn công sử dụng trình lập lịch để duy trì sự hiện diện bền bỉ trong hệ thống. Báo cáo của Red Canary chỉ ra rằng các doanh nghiệp nên rà soát các công việc được lập lịch chạy dưới quyền của hệ thống vì đây là cấu hình tấn công điển hình nhất mà họ đã thấy. ID sự kiện 106 và 140 trong Windows Event Log ghi lại khi một tác vụ mới được tạo hoặc cập nhật.
5. Trích xuất thông tin xác thực (7%)
Dịch vụ hệ thống cơ quan an ninh địa phương (Local Security Authority Subsystem Service - LSASS) thường được sử dụng để trích xuất mật khẩu với sự trợ giúp từ các công cụ như ProcDump và Mimikatz. Nếu doanh nghiệp sử dụng công cụ Sysmon để giám sát hoạt động của hệ điều hành thì có thể tìm các sự kiện có ID là 10 trong các sự kiện Sysmon ghi lại.
Ngoài ra, hãy sử dụng cài đặt Windows 10 Attack Surface Reduction để tìm kiếm quyền truy cập đáng ngờ tới LSASS sau khi doanh nghiệp đã thiết lập một cơ sở trong tổ chức của mình để tìm kiếm các chuỗi tấn công bất thường.
6. Tiêm vào tiến trình (7%)
Những kẻ tấn công sử dụng nhiều phương pháp để tiêm vào tiến trình để có thêm quyền truy cập vào hệ thống. Những hành vi như vậy có thể phát hiện được qua nhật ký của các công cụ giám sát như Sysmon hay EDR
7. Làm rối mã nguồn hoặc thông tin (6%)
Những kẻ tấn công rõ ràng muốn che dấu các hành động của họ và sử dụng các công cụ như mã hóa Base64 để che giấu các quá trình tấn công. Giám sát việc sử dụng PowerShell.exe hoặc Cmd.exe bất thường so với cơ sở mà tổ chức đã thiết lập. Loại tấn công này có thể khó xem xét vì các dấu hiệu về hoạt động độc hại cũng có thể trông giống như các tác vụ quản trị thông thường.
8. Tải thêm các công cụ xâm nhập vào hệ thống (5%)
Trong khi hầu hết các chuỗi tấn công đều dùng các công cụ có sẵn trên hệ thống, đôi khi những kẻ tấn công cũng cần tải thêm các công cụ khác phục vụ cho tấn công ngang hàng vào máy chủ. Họ thường sử dụng bitsadmin.exe trên Windows để chuyển các công cụ độc hại được sử dụng trong các chuỗi tấn công. Giám sát các tập lệnh chạy trên Windows giúp doanh nghiệp có thể phát hiện sớm các hành vi này.
9. Dịch vụ hệ thống (4%)
Những kẻ tấn công cũng sử dụng Windows Service Manager để chạy lệnh hoặc cài đặt dịch vụ. Giám sát sự kiện Sysmon có ID là 7 để biết các chuỗi tấn công sử dụng kỹ thuật này.
10. Nguỵ trang (4%)
Những kẻ tấn công cố gắng đánh lừa các công cụ giám sát bằng cách đổi tên các tiện ích hệ thống để vượt qua các kiểm soát và phát hiện. Đối với điều này, không tìm tên tệp mà tìm theo các tiến trình, các đường dẫn đã biết để xác định xem kẻ tấn công có đang cố gắng sử dụng kỹ thuật này hay không. Nếu công cụ giám sát hỗ trợ, hãy sử dụng các hệ thống so sánh giá trị băm của tệp vì chúng sẽ không bị lệch ngay cả khi tên tệp được thay đổi.