1. Trang chủ
  2. » Công Nghệ Thông Tin

Ứng dụng Security Onion trong giám sát an ninh mạng

51 2 0
Tài liệu đã được kiểm tra trùng lặp

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Tiêu đề Tìm Hiểu Bộ Công Cụ Security Onion Và Ứng Dụng Trong Giám Sát An Mạng
Tác giả Ngô Quang Thiên
Trường học Học Viện Kỹ Thuật Mật Mã
Chuyên ngành Công Nghệ Thông Tin
Thể loại Báo cáo Môn Học
Năm xuất bản 2021
Thành phố Hà Nội
Định dạng
Số trang 51
Dung lượng 5,13 MB
File đính kèm PCAPAZORult-infection_PCAP.zip (3 MB)

Cấu trúc

  • CHƯƠNG 1. TỔNG QUAN VỀ SECURITY ONION (5)
    • 1.1. Giới thiệu về Security Onion (5)
    • 1.2. Chức năng cốt lõi (6)
    • 1.3. Công cụ trong Security Onion (6)
      • 1.3.1. Công cụ phân tích (6)
      • 1.3.2. Công cụ hiển thị mạng (7)
      • 1.3.3. Công cụ hiển thị máy chủ (8)
      • 1.3.4. Elastic Stack (9)
  • CHƯƠNG 2. TRIỂN KHAI SECURITY ONION (10)
    • 2.1. Chế độ triển khai (10)
      • 2.1.1. Triển khai đánh giá (10)
      • 2.1.2. Triển khai độc lập (10)
      • 2.1.3. Triển khai phân tán (11)
    • 2.2. Các loại nút (12)
    • 2.3. Yêu cầu phần cứng (13)
      • 2.3.1. Triển khai độc lập (13)
      • 2.3.2. Triển khai phân tán (14)
    • 2.4. Phương pháp cài đặt (15)
  • CHƯƠNG 3. SGUIL TRONG SECURITY ONION (17)
    • 3.1. Giới thiệu (17)
    • 3.2. Kiến trúc (17)
    • 3.3. Luồng hoạt động (19)
    • 3.4. Bố cục bảng điều khiển (20)
    • 3.5. Làm việc với Sguil (21)
      • 3.5.1. Phân loại sự kiện (22)
      • 3.5.2. Truy vấn dữ liệu (27)
      • 3.5.3. Trích xuất gói tin (30)
      • 3.5.4. Báo cáo sự kiện (31)
      • 3.4.5. Tra cứu địa chỉ ip (32)
  • CHƯƠNG 4. ỨNG DỤNG SECURITY ONION TRONG GSANM (33)
    • 4.1. Phát hiện và phân tích hành vi phân phối phần mềm độc hại (33)
      • 4.1.1. Mô tả kịch bản (33)
      • 4.1.2. Thực nghiệm (34)
    • 4.2. Phát hiện và phân tích tấn công website (43)
      • 4.2.1. Mô tả kịch bản (43)
      • 4.2.2. Mô hình hệ thống (43)
      • 4.2.3. Thực nghiệm (43)
  • KẾT LUẬN (51)

Nội dung

- Hệ thống phát hiện và ngăn chặn xâm nhập dựa trên mạng/điểm cuối Hệ thống phát hiện xâm nhập dựa trên mạng và dựa trên điểm cuối IDS phân tích lưu lượng mạng hoặc hệ thống, đồng thời

TỔNG QUAN VỀ SECURITY ONION

Giới thiệu về Security Onion

Security Onion là một bản phân phối Linux mã nguồn mở miễn phí để phát hiện xâm nhập, giám sát và quản lý nhật ký Nó bao gồm bộ công cụ ELK (Elasticsearch, Logstash, Kibana), Snort, Suricata, Zeek, Wazuh, Sguil, Squert, CyberChef, Network Miner và nhiều công cụ bảo mật khác

Trong sơ đồ bên dưới, chúng ta thấy Security Onion trong mạng doanh nghiệp truyền thống với tường lửa, máy trạm và máy chủ Người quản trị có thể sử dụng Security Onion để theo dõi lưu lượng truy cập từ phía bên ngoài trung tâm dữ liệu để phát hiện kẻ xâm nhập một môi trường mạng, thiết lập lệnh và kiểm soát (Command and Control) hoặc có thể là xâm nhập dữ liệu Người quản trị cũng có thể muốn theo dõi lưu lượng truy cập trong một phân vùng để để phát hiện các động thái có nguy cơ từ bên trong Do ngày càng nhiều lưu lượng truy nhập trong mạng được mã hóa, việc khắc phục những điểm mù tới từ việc đó bằng cách bằng khả năng hiển thị bổ sung dưới dạng chuẩn đoán thiết bị đầu cuối là rất quan trọng Security Onion có thể sử dụng được nhật ký (logs) từ các máy chủ và máy trạm, sau đó có thể tìm kiếm bao quát toàn bộ môi trường mạng và nhật ký lưu trữ của máy chủ cùng một lúc

Hình 1.1 Sơ đồ hoạt động của SO trong môi trường mạng doanh nghiệp truyền thống

Chức năng cốt lõi

Security Onion là sự kết hợp liền mạch ba chức năng cốt lõi bao gồm: chụp toàn bộ gói tin, hệ thống phát hiện xâm nhập dựa trên mạng/điểm cuối và công cụ phân tích

Trong Security Onion việc thực hiện chụp toàn bộ gói được thực hiện thông qua netsniff-ng Netsniff-ng nắm bắt tất cả lưu lượng truy cập mạng mà cảm biến của Security Onion nhìn thấy và lưu trữ nhiều nhất có thể

- Hệ thống phát hiện và ngăn chặn xâm nhập dựa trên mạng/điểm cuối

Hệ thống phát hiện xâm nhập dựa trên mạng và dựa trên điểm cuối (IDS) phân tích lưu lượng mạng hoặc hệ thống, đồng thời cung cấp dữ liệu nhật ký và cảnh báo cho các sự kiện và hoạt động được phát hiện

Với tính năng chụp gói đầy đủ, nhật ký IDS và dữ liệu Bro, có một lượng dữ liệu khổng lồ trong tầm tay của nhà phân tích Security Onion tích hợp các công cụ như Sguil, Squert, Kibana, CapMe để giúp nhà phân tích hiểu rõ những dữ liệu này.

Công cụ trong Security Onion

Security Onion là một môi trường tích hợp được thiết kế với mục đích đơn giản hóa việc triển khai giải pháp NSM toàn diện Các công cụ được cài đặt và liên kết với nhau một cách tự động và chặt chẽ, giúp người dùng có thể triển khai hệ thống NSM một cách dễ dàng mà không cần mất quá nhiều thời gian và công sức của mình để tìm hiểu, nghiên cứu biện pháp tích hợp và ghép nối các công cụ lại với nhau trên một nền tảng

1.3.1 Công cụ phân tích Đa phần công cụ phân tích được tích hợp trong Security Onion được sử dụng trên trình duyệt Mặc định Security Onion sử dụng trình duyệt Chromium Các trình duyệt khác có thể hoạt động, tuy nhiên theo khuyến cáo nên sử dụng các trình duyệt dựa trên chromium để có khả năng tương thích tốt nhất

- Kibana: là một giao diện người dùng mã nguồn mở miễn phí, cho phép trực quan hóa dữ liệu trong Elasticsearch và điều hướng Elastic Stack

- CapMe: là một giao diện web cho phép xem bản ghi PCAP được hiển thị dưới dạng tcpflow, xem bản ghi PCAP được hiển thị bằng Bro, tải xuống một PCAP

- CyberChef: một ứng dụng web trực quan, đơn giản để thực hiện tất cả các hoạt động “cyber” trong một trình duyệt web Các hoạt động này bao gồm mã hóa đơn giản như XOR và Base64, mã hóa phức tạp hơn như AES, DES, tạo nhị phân, hexdumps, giải nén dữ liệu, tính toán băm, v.v… Công cụ này được thiết kế để cho phép các nhà phân tích kỹ thuật và phi kỹ thuật thao tác dữ liệu theo những cách phức tạp mà không cần phải xử lý các công cụ hoặc thuật toán phức tạp

- Squert: một ứng dụng web được sử dụng để truy vấn và xem dữ liệu sự kiện được lưu trữ trong cơ sở dữ liệu Sguil (thường là dữ liệu cảnh báo IDS) Squert là một công cụ trực quan cố gắng cung cấp ngữ cảnh bổ sung cho các sự kiện thông qua việc sử dụng siêu dữ liệu, biểu diễn chuỗi thời gian và tập kết quả có trọng số và nhóm hợp lý

- Sguil: được xây dựng bởi các nhà phân tích an ninh mạng Thành phần chính của

Sguil là GUI trực quan cung cấp quyền truy cập và các sự kiện thời gian thực, dữ liệu phiên và các bản ghi gói thô Sguil tạo điều kiện thuận lợi cho việc thực hành giám sát an ninh mạng và phân tích theo hướng sự kiện

- NetworkMiner: một công cụ phân tích mã nguồn mở NetworkMiner có thể được sử dụng như một công cụ thu thập gói/dò tìm mạng thụ động để phát hiện hệ điều hành, phiên, tên máy chủ, các cổng đang mở, v.v mà không đặt tạo ra bất kỳ lưu lượng mạng nào trên mạng NetworkMiner cũng có thể phân tích tệp PCAP để phân tích mạng ngoại tuyến và tái tạo/tập hợp lại các tệp và chứng chỉ đã truyền từ tệp PCAP

- Wireshark: một trình phân tích giao thức mạng hàng đầu và được sử dụng rộng rãi trên thế giới Nó cho phép xem những gì đang xảy ra trên mạng ở cấp độ vi mô Sự phát triển mạnh mẽ của Wireshark là nhờ sự đóng góp tình nguyện của các chuyên gia mạng trên toàn cầu và là sự tiếp nối của một dự án do Gerald Combs bắt đầu vào năm 199

1.3.2 Công cụ hiển thị mạng

- Snort: là một hệ thống ngăn chặn xâm nhập mã nguồn mở (IPS) hàng đầu trên thế giới Snort sử dụng một loạt các quy tắc giúp xác định hoạt động mạng độc hại và sử dụng các quy tắc đó để tìm các gói phù hợp với chúng và tạo cảnh báo cho người dùng Snort cũng có thể được triển khai nội tuyến để dừng các gói này Snort có ba mục đích sử dụng chính: như một trình kiểm tra gói như tcpdump, như một trình ghi gói - rất hữu ích cho việc gỡ lỗi lưu lượng mạng hoặc nó có thể được sử

8 dụng như một hệ thống ngăn chặn xâm nhập mạng toàn diện Snort có thể được tải xuống và định cấu hình để sử dụng cho mục đích cá nhân và doanh nghiệp

- Suricata: Suricata là công cụ phát hiện mối đe dọa mã nguồn mở độc lập hàng đầu Bằng cách kết hợp phát hiện xâm nhập (IDS), ngăn chặn xâm nhập (IPS), giám sát an ninh mạng (NSM) và xử lý PCAP, Suricata có thể nhanh chóng xác định, ngăn chặn và đánh giá ngay cả những cuộc tấn công tinh vi nhất

- Zeek (Bro): Zeek là một khung phân tích mạng mạnh mẽ khác nhiều so với IDS thông thường mà bạn có thể biết (Zeek là tên mới của hệ thống Bro) Zeek là một công cụ phân tích lưu lượng mạng mã nguồn mở thụ động Nhiều nhà khai thác sử dụng Zeek như một trình giám sát an ninh mạng (NSM) để hỗ trợ điều tra hoạt động đáng ngờ hoặc độc hại Zeek cũng hỗ trợ một loạt các nhiệm vụ phân tích lưu lượng ngoài miền bảo mật, bao gồm đo lường hiệu suất và khắc phục sự cố

- Netsniff-ng: là một bộ công cụ mạng Linux miễn phí Hiệu suất của nó đạt được nhờ cơ chế không sao chép (zero-copy), do đó khi nhận và truyền gói, hạt nhân không cần sao chép các gói từ không gian nhân sang không gian người dùng và ngược lại

1.3.3 Công cụ hiển thị máy chủ

- Beats: là người gửi dữ liệu nguồn mở mà bạn cài đặt làm agent trên máy chủ của mình để gửi dữ liệu hoạt động đến Elasticsearch

- Wazuh: là một giải pháp giám sát an ninh miễn phí, mã nguồn mở và sẵn sàng cho doanh nghiệp để phát hiện mối đe dọa, giám sát tính toàn vẹn, phản ứng sự cố và tuân thủ Security Onion sử dụng Wazuh làm Hệ thống phát hiện xâm nhập máy chủ (HIDS) Wazuh đang tự giám sát và bảo vệ Security Onion và cũng có thể thêm các tác nhân Wazuh để giám sát các máy chủ khác trên mạng của mình.

- Sysmon: System Monitor (Sysmon) là một dịch vụ hệ thống Windows và trình điều khiển thiết bị, sau khi được cài đặt trên hệ thống, vẫn thường trú trên hệ thống khởi động lại để theo dõi và ghi lại hoạt động của hệ thống vào nhật ký sự kiện Windows Nó cung cấp thông tin chi tiết về quá trình tạo, kết nối mạng và các thay đổi đối với thời gian tạo tệp.

TRIỂN KHAI SECURITY ONION

Chế độ triển khai

Security Onion cung cấp nhiều nhiều phương thức triển khai khác nhau cho các hệ thống từ nhỏ cho đến lớn Tùy vào nhu cầu mà người dùng lựa chọn chế độ triển khai phù hợp Ở cấp độ cao, Security Onion được triển khai dưới dạng các nút và có thể được bổ sung Điều này đồng nghĩa rằng hệ thống SO của ta có khả năng mở rộng không giới hạn theo chiều ngang

Loại triển khai lý tưởng cho môi trường lớp học hoặc các bài LAB nhỏ Sử dụng duy nhất một giao diện mạng để quản lý cũng như việc giám sát và ghi lại lưu lượng trực tiếp từ TAP hoặc cổng span Snort và Zeek được cấu hình để giám sát lưu lượng truy cập trên giao diện giám sát đó và tạo nhật ký Chế độ đánh giá được thiết kế để cài đặt nhanh nhằm đánh giá năng lực của Security Onion Nó hoàn toàn không được thiết kế để sử dụng trong môi trường doanh nghiệp

Triển khai độc lập tương tự như triển khai đánh giá ở chỗ tất cả các thành phần cùng chạy trên một thiết bị Loại triển khai này thường được sử dụng cho thử nghiệm, POC hoặc môi trường thuông lượng thấp và không có khả năng mở rộng Hình dưới đây cho thấy cấu hình độc lập với một máy khách (chẳng hạn như một nhà phân tích) truy cập

Hình 2.1 Mô hình triển khai SO chế độ độc lập

Triển khai độc lập là một lựa chọn tốt cho các nhân viên an ninh với yêu cầu hệ thống giám sát an ninh mạng đơn giản Ví dụ: họ chỉ cần theo dõi, giám sát trên một phân vùng mạng

Hình 2.2 Mô hình luồng dữ liệu trong triển khai độc lập

Triển khai phân tán tiêu chuẩn bao gồm một nút quản lý (Master), một hoặc nhiều nút cảm biến (Sensor) và nút lưu trữ (Storage) Kiến trúc này yêu cầu nhiều tài nguyên hơn để triển khai, nhưng nó cung cấp khả năng mở rộng và hiệu suất cao hơn, vì có thể thêm nhiều nút hơn vào hệ thống để xử lý nhiều lưu lượng hoặc nhật ký hơn

Hình 2.3 Mô hình triển khai SO chế độ phân tán

Tùy chọn này phù hợp với các yêu cầu mạng lớn hơn và phức tạp hơn Đây là mô hình triển khai được lựa chọn cho bất kỳ tổ chức nào có nhiều phân vùng mạng để giám sát, đặc biệt là trong trường hợp các mạng riêng biệt về mặt địa lý

Hình 2.4 Mô hình luồng dữ liệu trong triển khai phân tán tiêu chuẩn

Các loại nút

- Nút quản lý (Master): nút quản lý chạy bản sao cục bộ của chính Elasticsearch, quản lý cấu hình tìm kiếm cụm Điều này bao gồm các và nút lưu trữ nhưng không phải các nút cảm biến, vì chúng không chạy các thành phần của Elastic Stack Nhà phân tích kết nối với máy chủ từ một máy trạm để thực hiện các truy vấn và truy xuất dữ liệu

Nút quản lý chạy các thành phần sau:

- Nút cảm biến (Sensor): các nút cảm biến sử dụng Syslog-ng để chuyển tiếp tấp cả nhật ký tới Logstash trên nút quản lý, nơi chúng được lưu trữ trong Elasticsearch

13 trên nút quản lý hoặc nút lưu trữ Từ đó, dữ liệu có thể được truy vấn thông qua việc sử dụng tìm kiếm giữa các cụm

Các nút cảm biến chạy các thành phần sau:

- Nút lưu trữ (Storage): là loại nút đảm nhiệm vai trò lưu trữ dữ liệu cho hệ thống

Các nút lưu trữ mở rộng khả năng lưu trữ và xử lý của nút quản lý Khi được cấu hình, các nút Lưu trữ sẽ được thêm vào cấu hình tìm kiếm cụm của nút quản lý, do đó dữ liệu nằm trên các nút này có thể được truy vấn từ nút quản lý

Các nút lưu trữ chạy các thành phần sau:

Yêu cầu phần cứng

Security Onion chỉ hỗ trợ kiến trúc x86-64 (bộ vi xử lý Intel / AMD 64-bit tiêu chuẩn) Các bộ vi xử lý khác như ARM không được hỗ trợ và có thể gây ra lỗi do không tương thích trong quá trình sử dụng

Giống như hầu hết các hệ thống CNTT khác, Security Onion có những cơ sở dữ liệu của riêng mình và tất nhiên là những sự cố như mất điện hay tắt máy đột ngột có thể làm hỏng nó Để tránh mất điện và phải sửa chữa cơ sở dữ liệu theo cách thủ công, hãy trang bị UPS cho hệ thống Security Onion

Trong triển khai độc lập, các thành phần nút quản lý (Master) và các thành phần nút cảm biến (Sensor) đều chạy trên một hộp thiết bị duy nhất Do đó, các yêu cầu phần cứng của thiết bị sẽ tăng lên Loại triển khai này được khuyến nghị cho các mục đích đánh giá, POC

Cấu hình tối thiểu được khuyến nghị cho loại triển khai này là 4 core CPU và 8GB RAM Cấu hình yêu cầu có thể cao hơn tùy thuộc vào lưu lượng mạng của hệ thống

- CPU: được sử dụng để phân tích cú pháp các sự kiện đến, lập chỉ mục các sự kiện, tim kiếm dữ liệu, chụp bắt PCAP, phân tích gói và chạy các thành phần giao diện người dùng Khi mức dữ liệu và sự kiện tăng lên, lượng CPU yêu cầu sẽ lớn hơn

- RAM: được sử dụng cho Logstash, Elasticsearch, Snort/Suricata, Zeek, Sguil, v.v… Dung lượng RAM khả dụng sẽ ảnh hưởng trực tiếp đến tốc độ tìm kiếm cũng như khả năng xử lý và thu thập lưu lượng mạng

- Disk: Được sử dụng để lưu trữ dữ liệu Dung lượng lớn cho phép thời gian lưu trữ lâu hơn Thông thường, khuyến nghị duy trì không quá 30 ngày cho các chỉ số hot trong Elasticsearch

- Nút quản lý (Master): triển khai phân tán tiêu chuẩn sử dụng các nút lưu trữ để phân tích cú pháp và lập chỉ mục Kết quả là các yêu cầu về phần cứng của nút quản lý được giảm xuống Một nút quản lý yêu cầu tối thiểu 4-8 core CPU, 8-16

GB RAM và dung lượng ổ cứng từ 100GB đến 1TB

+ CPU: dùng để nhận các sự kiện đến và đặt chúng vào Redis Được sử dụng để chạy tất cả các trình biên dịch web giao diện người dùng và tổng hợp kết quả tìm kiếm từ các nút lưu trữ

+ RAM: sử dụng cho Logstash và Redis Rung lượng RAM khả dụng ảnh hưởng trực tiếp đến kích thước của hàng đợi Redis

+ Disk: Sử dụng cho các mục đích chung như lưu trữ trang tổng quan và các thành phần Sguil

- Nút cảm biến (Sensor): các nút cảm biến chỉ chạy các thành phần cảm biến và chuyển tiếp dữ liệu tới nút quản lý Tất cả PCAP vẫn nằm trong nút cảm biến và được truy cập thông qua một tác nhân

+ CPU: được sử dụng để phân tích và lưu trữ lưu lượng mạng Khi băng thông của mạng được giám sát tăng lên, lượng CPU yêu cầu sẽ lớn hơn Ước tính, cứ mỗi 200Mbps sẽ cần một core CPU cho Snort và một core CPU cho Zeek Vì vậy, nếu mạng có băng thông 1Gbps thì sẽ cần ít nhất 5 core CPU cho Snort và 5 core CPU cho Zeek Nghĩa là sẽ cần ít nhất 10 core CPU chỉ dành cho Snort và Zeek Ngoài ra sẽ cần thêm một số core CPU bổ xung cho các dịch vụ khác

+ RAM: sử dụng để ghi bộ nhớ cache và xử lý lưu lượng truy cập Dung lượng RAM yêu cầu phụ thuộc vào nhiều yếu tố như: số lượng dịch vụ,

15 băng thông mạng giám sát, số lượng gói tin bị mất mà tổ chức có thể chấp nhận được Đối với các mạng nhỏ (50Mbps trở xuống) sẽ cần 8GB RAM trở lên Đối với các mạng trung bình (50Mbps – 500 Mpbs) sẽ cần 16 GB – 128

GB RAM Đối với các mạng lớn (500Mbps – 1000Mbps) sẽ cần 128GB – 256GB RAM

+ Disk: được sử dụng để lưu trữ PCAP và dữ liệu Dung lượng lớn cho phép thời gian lưu trữ lâu hơn Các tệp PCAP này chiếm rất nhiều dung lượng bộ nhớ của thiết bị Giả sử một mạng có lưu lượng trung bình là 50Mbps, ta có phép tính như sau: 50Mb/s = 6.25 MB/s = 375 MB/minute = 22,500 MB/hour = 540,000 MB/day Vì vậy, sẽ cần khoảng 540GB dung lượng ổ cứng để lưu trữ các tệp PCAP cho một ngày

+ NIC: yêu cầu tối thiểu hai giao diện mạng có dây: một để quản lý và một hoặc nhiều hơn để thực hiện giám sát lưu lượng mạng Hãy lựa chọn NIC phù hợp dựa trên lưu lượng mạng của hệ thống để tránh tình trạng mất gói

Phương pháp cài đặt

Sau khi quyết định mô mình hệ thống, người dùng có thể lựa chọn phương pháp cài đặt Security Onion trên thiết bị của mình

Security Onion cung cấp hai phương pháp để cài đặt:

16 Được xây dựng trên Ubuntu phiên bản 16.04 Đây là phương pháp cài đặt đơn giản nhất Chỉ cần tải xuống tệp ISO từ trang phân phối chính thức của Security Onion và cài đặt trên thiết bị như đối với một hệ điều hành bình thường Trong phụ lục về triển khai hệ thống của đề tài nghiên cứu này bao gồm hướng dẫn triển khai Security Onion thông qua tệp SO ISO

Sử dụng phương pháp này nếu muốn sử dụng hệ điều hành Ubuntu có sẵn thay vì cài đặt hệ điều hành Ubuntu tùy chỉnh của Security Onion Từ hệ giao diện điều khiển, người dùng thực thi các câu lệnh cài đặt theo hướng dẫn trong tài liệu cài đặt mà SO cung cấp Các gói từ kho lưu trữ của SO sẽ tự động được tải xuống và cài đặt Lưu ý rằng SO chỉ tương thích với hệ điều hành Ubuntu phiên bản 16.04

SGUIL TRONG SECURITY ONION

Giới thiệu

Sguil là một bộ phần mềm mã nguồn mở NSM (Network Security Monitoring) được viết bởi Bamm Visscher Sguil được sử dụng để giám sát an toàn mạng và phân tích các sự kiện dựa trên các cảnh báo IDS Sguil client được viết bằng ngôn ngữ Tcl/Tk kết hợp cùng cơ sở dữ liệu MySQL

Hình 3.1 Giao diện Sguil 0.9.0

Kiến trúc

Hệ thống Sguil bao gồm một Sguil server duy nhất và một số lượng tùy ý các Sguil sensor Các sensor thực hiện tất cả các nhiệm vụ giám sát bảo mật và cung cấp thông tin trở lại server một cách thường xuyên Sguil server điều phối thông tin này, lưu trữ chúng trong cơ sở dữ liệu và giao tiếp với các client thông qua bảng điều khiển

Chức năng của từng thành phần trong hệ thống Sguil:

+ Phát hiện các sự kiện trên mạng + Tải lên số liệu thống kê về phiên và quét cổng + Ghi lại tất cả lưu lượng mạng

+ Nhận cảnh báo và thống kê từ sensor + Gửi cảnh báo và dữ liệu khác tới bảng điều khiển + Nhận yêu cầu từ bảng điều khiển

+ Theo dõi trạng thái cảnh báo

+ Phân tích và phân loại cảnh báo

Hình 3.2 Mô hình kiến trúc Sguil

Luồng hoạt động

Hình 3.3 Luồng nhận dữ liệu cảnh báo từ NIDS

Trong hệ thống Sguil, dữ liệu cảnh báo sự bất thường trên mạng được Snort thu thập tại Sensor Dữ liệu này được Snort kết xuất thành một tệp nhị phân Barnyard đọc tệp này, định dạng dữ liệu cảnh báo và thực hiện ghi dữ liệu vào máy chủ cơ sở MySQL, đồng thời chuyển chúng tới Sguild trên Sguil server để trả kết quả lên bảng điều khiển (Console) hiển thị cho người phân tích trên giao diện sguil.tk (điều này giúp đảm bảo Sguil hiển thị cảnh báo theo thời gian thực)

Hình 3.4 Minh họa mô hình làm việc giữa Barnyard và Snort

Khi người dùng yêu cầu dữ liệu chi tiết về cảnh báo, sguild sẽ thực hiện truy vấn dữ liệu liên quan của cảnh báo đó trong MySQL rồi trả kết quả về sguil.tk để hiển thị cho người dùng

Hình 3.5 Luồng truy vấn dữ liệu chi tiết của cảnh báo

Bố cục bảng điều khiển

Đây là một trong những giao diện làm việc chính của các chuyên viên giám sát (chẳng hạn như Tier 1 trong SOC) Bảng điều khiển này cung cấp cái nhìn trực quan về tình hình hệ thống cho đội ngũ giám sát Cùng với đó là khả năng hiển thị chi tiết về sự kiện và những chức năng như sắp xếp, lọc, phân loại, tìm kiếm sự kiện nâng cao được tích hợp chung với nhau trong một bảng điều khiển nhằm tối ưu các thao tác trong quá trình giám sát hệ thống của đội ngũ giám sát

Bảng điều khiển chính của Sguil được chia làm ba phân vùng bao gồm:

Hình 3.6 Bố cục bảng điều khiển chính của Sguil

Khung danh sách cảnh báo cung cấp khả năng hiển thị/tương tác với sự kiện bát thường được phát hiện bởi hệ thống IDS Khung này hiển thị một số thông tin chính của một sự kiện như thời gian xảy ra, địa chỉ ip nguồn/đích, số hiệu cổng nguồn/đích, số hiệu giao thức, v.vv… Người dùng có thể sắp xếp sự kiện theo các trường thông tin mà khung cung cấp (mặc định là giảm dần theo thời gian phát sinh sự kiện) Để tương tác với từng sự kiện cụ thể, người quản trị chỉ cần sử dụng chuột phải vào sự kiện đó và bảng chức năng tương tác sự kiện sẽ được hiển thị Ngoài ra, một số tính năng chính cũng đã được gán phím tắt để thuận tiện trong quá trình sử dụng

Khung thông tin máy chủ cung cấp thông tin về địa chỉ ip nguồn/đích của sự kiện, trạng thái hoạt động của Sguil agent, chỉ số hoạt động của Snort, các tin nhắn từ hệ thống hay người dùng trong hệ thống

Khung chi tiết cảnh báo cung cấp thông tin chi tiết về sự kiện tạo ra cảnh báo này Nó bao gồm thông tin về luật được sử dụng cho cảnh báo, thông tin về địa chỉ ip, các cờ được sử dụng và phần payload của gói.

Làm việc với Sguil

Sguil không chỉ là một bảng điều khiển hỗ trợ điều tra thông qua cảnh báo Nó còn là một công cụ được sử dụng để giải quyết các cảnh báo Về cơ bản, Sguil cung cấp khả năng phân loại sự kiện, truy vấn dữ liệu, trích xuất PCAP (đối với dữ liệu đến từ mạng) và báo cáo sự kiện

Hình 3.7 Các thành phần trong bảng điều khiển của Sguil

Event panes được thiết kế để hiển thị những những trường thông tin cốt lõi nhất của sự kiện Người giám sát nắm rõ ý nghĩa của các trường thông tin này để có thể nắm bắt thông tin về sự kiện một cách nhanh nhất

- ST (status): trạng thái của cảnh báo (mặc định là Real Time - RT) Màu sắc của trường biểu thị mức độ của cảnh báo

- CNT (count): số lượng của loại cảnh báo

- Sensor: tên của Sguil sensor sinh ra cảnh báo

- Alert ID: mã định danh của cảnh báo

- Date/Time: thời điểm cảnh báo được sinh ra

- Src IP (source ip): địa chỉ ip nguồn

- Sport (source port): số hiệu cổng nguồn

- Dst IP (destination ip): địa chỉ ip đích

- DPort (destination port): số hiệu cổng đích

- Pr (protocol): số hiệu giao thức được sử dụng

- Event Message: tên cảnh báo

Signature viewer cho biết luật nào được sử dụng trên Snort để tạo ra cảnh báo Nhìn vào luật sử dụng, người giám sát có thể biết được nguyên nhân gây ra cảnh báo là gì Phần Event details cung cấp thông tin chi tiết về gói tin gây ra cảnh báo

Việc phân loại các sự kiện được phát hiện làm cho việc giải thích các bảng điều khiển Sguil dễ dàng hơn cho nhà phân tích Khi các sự kiện được phân loại và xác định cơ sở một cách chính xác, sẽ dễ dàng nhận thấy sự gia tăng do thám hoặc lưu lượng truy cập trái phép tiềm ẩn Phân loại sự kiện là một công việc liên tục, tuy nhiên phần lớn công việc có thể được hoàn thành trong quá trình thực hiện ban đầu Điều này có thể được thực hiện thông qua giao diện Sguil

Sguil cung cấp bảy loại sự kiện khác nhau (ít phức tạp hơn so với xếp hạng mức độ nghiêm trọng của SANS) Các sự kiện được phân loại bằng các phím chức năng từ F1 cho tới F7

- F1: Category I: Unauthorized Root/Admin Access

Bên không được ủy quyền có được quyền kiểm soát root hoặc Administrator trên hệ thống được giám sát Bao gồm tài khoản hệ thống của Windows

- F2: Category II: Unauthorized User Access

Bên không được ủy quyền có được quyền kiểm soát tài khoản bất kỳ không phải root hoặc Administrator trên hệ thống được giám sát

- F3: Category III: Attemped Unauthorized Access

Kẻ tấn công cố gắng giành quyền truy cập cấp root/administrator hoặc người dùng trên hệ thống được giám sát

Cuộc tấn công không thành công vì một trong số các lý do:

+ Kẻ tấn công không đủ khả kỹ năng để thực hiện cuộc tấn công + Mục tiêu đã được cấu hình giúp ngăn chặn sự tấn công

+ Kẻ tấn công nhắm sai mục tiêu ứng dụng

- F4: Category IV: Denial-of-Service Attack

Kẻ tấn công thực hiện hành động gây hại đối với tài nguyên hoặc quy trình của máy đích/mạng

Các cuộc tấn công từ chối dịch vụ có thể gây tiêu tốn:

+ Mức sử dụng CPU + Băng thông mạng + Dung lượng ổ cứng + Thời gian của người dùng + Nhiều tài nguyên khác

- F5: Category V: Poor Security Practice or Policy Violation

Khi một điều khiến máy chủ/mạng được giám sát gặp rủi ro không cần thiết được phát hiện

Vi phạm chính sách bảo mật và/hoặc chính sách sử dụng internet:

+ Lưu lượng P2P + Lưu lượng IM/IRC + Máy chủ FTP ẩn danh không được định cấu hình + Phiên Telnet

Kẻ tấn công cố gắng tìm hiểu về hệ thống hoặc mạng mục tiêu Bao gồm các nỗ lực hạn chế để đoán tên người dùng và mật khẩu

+ Quét cổng + Liệt kê các chia sẻ NetBIOS trên hệ thống Windows + Chuyển vùng DNS trái phép

Hệ thống máy khách bị nhiễm virus

Virus phụ thuộc vào một hoặc cả hai điều kiện sau:

+ Cần có sự tương tác của con người để truyền virus + Virus phải tự đính kèm và tệp trên máy chủ Chẳng hạn như tài liệu Word

Worm có khả năng tự lây lan mà không sự tương tác của con người hoặc các tệp máy chủ

Hình 3.8 Danh sách những loại sự kiện trong Sguil

25 a Phân loại thủ công Để phân loại sự kiện thủ công trong bảng điều khiển, nhà phân tích sẽ đánh dấu cảnh báo và nhấn phím chức năng thích hợp được liên kết với loại sự kiện hoặc nhấp chuột phải vào sự kiện và chọn trạng thái sự kiện thích hợp Tương tự, nếu một nhà phân tích xác định các cảnh báo trong bảng điều khiển có thể được phân loại là lưu lượng truy cập bình thường, họ có thể đánh đâu sự kiện và nhấn phím F8 để cho biết không cần thực hiện thêm hành động nào và sự kiện và sự kiện sẽ bị xóa khỏi bảng điều khiển Sử dụng F9 để chuyển sự kiện thành sự cố

Hình 3.9 Phân loại sự kiện thủ công b Phân loại tự động Đối với những sự kiện đã hoàn thành phân loại thủ công Để tránh tốn thời gian vào việc phân loại sự kiện đó vào những lần sau, Sguil cung cấp chức năng AutoCat – chức năng tự động phân loại sự kiện dựa trên những trường thông tin xác định

Có hai cách để tạo một luật AutoCat Cách thứ nhất, trên thanh công cụ chọn File, sau đó chọn AutoCat Một bảng điều khiển sẽ được hiển thị để người dùng nhập thông tin cho luật phân loại tự động muốn khởi tạo

Hình 3.10 tính năng phân loại sự kiện tự động Đối với cách thứ hai, người dùng tích chọn vào sự kiện đã được phân loại thủ công trước đó Sử dụng chuột phải vào phân vùng ST của sự kiện (một bảng chức năng sẽ được hiển thị), chọn Create AutoCat From Event Một bảng điều khiển tạo luật AutoCat sẽ được hiển thị với các trường thông tin được điền bởi giá trị các trường của sự kiện mà người dùng đã chọn

Hình 3.11 Tạo luật phân loại tự động dựa trên sự kiện trước đó

Giá trị của trường St đại diện cho nhóm sự kiện được mà sự kiện phù hợp với luật của AutoCat chỉ định Với giá trị 1, sự kiện sẽ được coi là dương tính giả và sẽ không hiển thị trên giao diện cảnh báo Với các nhóm sự kiện từ một đến bảy sẽ tương ứng với các giá trị từ 11 đến 17

Truy vấn dữ liệu là nhu cầu tất yếu của các nhà giám sát an ninh mạng Sguil sử dụng cơ sở dữ liệu MySQL để lưu trữ dữ liệu sự kiện của hệ thống Điều này đồng nghĩa rằng cú pháp sử dụng của Sguil để thực hiện truy vấn, lọc, kết hợp dữ liệu là quen thuộc với đại đa số người dùng a Truy vấn cơ bản Để thực hiện câu lệnh truy vấn một cách thủ công Người sử dụng chọn Query trên thanh công cụ và lựa chọn phương pháp truy vấn mong muốn

Hình 3.12 Danh sách phương pháp truy vấn

Hình 3.13 Giao diện truy vấn bảng sự kiện

Hình 3.14 Giao diện truy vấn sự kiện theo địa chỉ ip b Truy vấn nhanh

Sguil cũng hỗ trợ việc truy vấn sự kiện nhanh thông qua một số câu truy vấn được xây dựng sẵn Người sử dụng sử dụng chuột phải vào trường thông tin cần truy vấn và chọn Quick Query Một bảng các tùy chọn truy vấn nhanh sẽ được hiển thị Người dùng lựa chọn loại truy vấn phù hợp với nhu cầu của mình

Hình 3.15 Chức năng truy vấn nhanh trong Sguil c Truy vấn nâng cao

Những truy vấn này được xây dựng dựa trên những câu truy vấn nhanh được Sguil xây dựng sẵn Nhưng không giống như chức năng truy vấn nhanh, khi người dùng lựa chọn truy vấn nâng cao, một bảng hiển thị câu truy vấn sẽ được hiển thị với các câu truy vấn mẫu được điền sẵn tương ứng với loại truy vấn mà người dùng lựa chọn

Người dùng có thể sửa đổi nội dung câu truy vấn theo nhu cầu của mình trước khi tiến hành thực thi

Hình 3.16 Chức năng truy vấn nâng cao trong Sguil

Hình 3.17 Giao diện tùy chỉnh truy vấn khi chọn truy vấn nâng cao

Sau khi hoàn tất chỉnh sửa câu truy vấn theo như mong muốn của mình, người dùng chọn Submit để hệ thống thực thi câu truy vấn

Các công cụ phân tích phân tích gói tin đọc lưu lượng mạng trực tiếp từ giao diện mạng của thiết bị hoặc từ tệp chứa lưu lượng được lưu ở định dạng PCAP Nguồn dữ liệu quý giá này chính là chìa khóa để các nhà phân tích hiểu điều gì đã và đang diễn ra trên mạng của họ

Bảng điều khiển Sguil cung cấp khả năng trích xuất dữ liệu luồng mạng theo sự kiện và hiển thị dưới dạng bản ghi được phiên dịch sang mã ascii, hoặc gửi chúng tới các công cụ phân tích gói tin như Wireshark, NetworkMiner hay Bro được cài đặt sẵn trên Security Onion Người dùng lựa chọn sự kiện mạng mà mình quan tâm, sau đó nhấp chuột phải vào phân vùng Alert ID của sự kiện Một bảng chức năng sẽ được hiển thị, người dùng lựa chọn chức năng mình mong muốn để sử dụng

Hình 3.18 Danh sách chức năng tương tác gói tin

Hình 3.19 Giao diện chức năng Transcript

Hình 3.20 Giao diện Wireshark đọc gói tin được chuyển tới từ Sguil

ỨNG DỤNG SECURITY ONION TRONG GSANM

Phát hiện và phân tích hành vi phân phối phần mềm độc hại

AZORult là một malware thuộc loại Infostealer, nó truy cập vào máy chủ C&C để nhận các tệp DDL và các lệnh được sử dụng để làm rò rỉ thông tin, đồng thời đánh cắp dữ liệu người dùng trên thiết bị bị lây nhiễm Theo mô tả, AZORult phát tán thông qua một file Excel đính kèm trong một tin nhắn gửi qua email Thiết bị của người dùng sẽ bị lây nhiễm khi người dùng thực hiện mở tập tin đó

Kịch bản sau đây sử dụng dữ liệu mạng (PCAP) được cung cấp bởi Brad Duncan trên trang malware-traffic-analysis.net để mô phỏng lại lưu lượng mạng trong quá trình phát tán phần mềm độc hại AZORult thông qua các mail rác Người thực hiện dựa vào cảnh báo được tạo ra và các công cụ phân tích để xác minh rằng lưu lượng mạng này là độc hại

Hình 4.1 Tin nhắn mail đính kèm tệp độc hại

Sau khi tải tệp tin PCAP về máy, ta thực hiện phát lại lưu lượng mạng cho hệ thống thông qua câu lệnh so-import-pcap

Hình 4.2 Nhập PCAP vào hệ thống

Mở Sguil, tích chọn vào so-import để theo dõi cảnh báo được tạo ra từ PCAP

Hình 4.3 Khởi động Sguil theo dõi lưu lượng vừa nhập

Ta có thể thấy trên màn hình xuất hiện ba cảnh báo Một cảnh báo vi phạm chính sách và hai cảnh báo lên quan đến phát hiện Trojan AZORult

Hình 4.4 Cảnh báo được tạo ra sau khi nhập PCAP

Nhìn vào địa chỉ ip và hiệu số cổng kết nối được sử dụng trong cảnh báo, ta thấy rằng các cặp giá trị về địa chỉ ip nguồn/đích và hiệu số cổng nguồn/đích của hai cảnh về AZORult được hoán đổi cho nhau Từ đó có thể đưa ra suy luận rằng hai cảnh báo đầu tiên có thể thuộc cùng một luồng TCP Luồng TCP này là sự trao đổi ban đầu giữa thiết bị trong mạng giám sát (ip: 10.8.5.101) với AZORult server (ip: 149.255.58.23)

Hình 4.5 Cặp giá trị ip/port được hoán đổi thể hiện luồng kết nối

Cảnh báo thứ ba dành cho một luồng TCP riêng biệt và nó đang tìm kiếm lưu lượng trả lại từ máy chủ cho thiết bị trong hệ thống Có thể thấy rằng thiết bị trong mạng (ip: 10.8.5.101) và máy chủ (ip: 91.215.216.11) đã thực hiện truyền tải tệp thực thi Vì vậy, ta đang có cảnh báo về hai luồng TCP khác nhau Khi nhìn nhận sự kiện theo hiệu số cổng, ta thấy rằng luồng TCP sử dụng cổng 51487 đến trước luồng TCP sử dụng cổng

51499 do có dấu thời gian sớm hơn

Hình 4.6 Dấu thời gian thể hiện thứ tự sự kiện Để bắt đầu đánh giá ta có thể bắt đầu với cảnh báo về chính sách với dấu thời gian xuất hiện sớm nhất Cảnh báo này đang nói về một tệp thực thi được truyền tải thông qua giao thức HTTP Từ phân vùng chi tiết cảnh báo, hãy xem xét quy tắc đã tạo ra cảnh báo Ta thấy rằng quy tắc này về cơ bản được tạo để bắt những gói tin đi đến từ mạng bên ngoài với số hiệu cổng nguồn 80 kết nối tới mạng nội bộ, và trong nội dung gói có chứa “MZ” và “PE”

Hình 4.7 Quy tắc Snort phát hiện truyền tải tệp thực thi

Tiếp đến, sử dụng Transcript để xem bản ghi về luồng TCP này

Hình 4.8 Sử dụng Transcript biểu diễn bản ghi luồng dữ liệu truyền tải tệp

37 Đầu tiên, ta thấy rằng có một yêu cầu http cho một tệp EXE từ thiết bị nội bộ Máy chủ phản hồi với mã 200 (phản hồi thành công) Sau đó thiết bị tiếp tục gửi một yêu cầu để tải tệp đó về Máy chủ nhận tiếp tục yêu cầu và phản hồi với mã 200

Tiếp tục theo dõi nội dung trong phản hồi từ phía máy chủ

Hình 4.9 Payload luồng dữ liệu truyền tải tệp

Ta thấy rằng trong nội dung phản hồi có chứ “MZ” và “PE” Điều phù hợp với quy tắc phía trên và đó chính là sự lý giải cho cách cảnh báo được tạo ra Với hai ký tự ASCII đầu tiên là “MZ” xác minh rằng đây thực sự là một tệp thực thi được sử dụng trên Windows Để xác minh tệp này có phải tệp độc hại hay không Ta tiến hành kết xuất lại tập tin thông qua dữ liệu ghi lại từ luồng mạng Có hai cách thức để thực hiện điều này là sử dụng Wireshark hoặc NetworkMiner

Trong phần thực nghiệm này sẽ sử dụng cả hai cách thức trên

Chuột phải vào phân vùng Alert ID của cảnh báo và chọn Wireshark để chuyển dữ liệu luồng mạng này tới Wireshark

Hình 4.10 Chuyển tiếp sự kiện sang Wireshark

Sau khi Wireshark được mở lên Từ thành công cụ chọn File -> Export Objects -> HTTP Một danh sách đối tượng sẽ được hiển thị Từ danh sách chọn tệp EXE mà thiết bị đã yêu cầu sau đó lưu lại

Hình 4.11 Sử dụng Wireshark trích xuất tệp đã truyền tải

Cách chuyển sang NetworkMiner tương tự như đối với Wireshark Sau khi NetworkMiner được mở lên Chuyển sang tab Files ta sẽ thấy tệp mà thiết bị đã yêu cầu tải xuống Chuột phải vào tên tệp và chọn Open folder mở thư mục chứa tệp được kết xuất

Hình 4.12 Sử dụng NetworkMiner trích xuất tệp đã truyền tải

Giờ ta đã có được file nghi ngờ là độc hại Ta có thể quét tệp qua các công cụ để xác định tệp có thật sự là độc hại hay không Ở đây sử dụng Virustotal để quét tệp tin Kết quả nhận được xác định tệp này thật sự là một tệp độc hại

Hình 4.13 Kết quả quét tệp từ Virustotal

Trong thực tế, hãy chuyển sự kiện này thành một sự cố và thông báo cho những bộ phận liên quan để cách ly và tìm phương pháp xử lý thiết bị đã tải xuống tệp này

Hãy sử dụng CyberChef để biến đổi một số thông tin nhằm bổ xung nguồn dữ liệu nhận dạng cho các cảnh báo/sự cố sau này Một ví dụ đơn giản là tính toán mã băm của tệp tin

Hình 4.14 Sử dụng CyberChef tính toán mã băm cho tệp

Chuyển sang NetworkMiner xem thêm một số thông tin về máy chủ đã cung cấp tệp tin này

Hình 4.15 Thông tin thiết bị của kẻ tấn công thu được bởi NetworkMiner

Từ tab Hosts ta thấy được một số thông tin về máy chủ như:

- Hệ điều hành: Linux – Redhat

Dựa vào kết quả phân tích luồng TCP thứ nhất Ta đã xác định rằng trong hệ thống nội bộ có thiết bị đã cài phần mềm độc hại AZORult Vì vậy, cặp cảnh báo của luồng TCP thứ hai (trao đổi giữa AZORult server và AZORult client) cũng sẽ nằm trong sự cố trên Tiến hành phân tích luồng mạng này tương tự đối như với luồng thứ nhất để bổ xung thêm thông tin về sự cố

Cùng xem quy tắc phát hiện hành vi gửi yêu cầu đăng ký của thiết bị trong mạng của ta tới AZORult server để nắm nguyên nhân tạo ra cảnh báo này

Hình 4.16 Quy tắc phát hiện hành vi đăng ký AZORult Client

Phát hiện và phân tích tấn công website

Với sự phát triển bùng nổ của internet như ngày nay, vấn nạn các website liên tục bị tấn công không còn quá xa lạ đối với chúng ta Tính từ năm 2020 đến 2021, số lượng kết nối ứng dụng web độc hại đã tăng 88% Các ngành bị tấn công nhiều nhất trong năm 2021 là ngân hàng và tài chính (nguồn: itbrief.com.au)

Nội dung phần này sẽ trình bày về việc ứng dụng Security Onion để phát hiện và phân tích một số cách thức tấn công website điển hình như XSS, SQL Injection, v.v… Kịch bản sử dụng DVWA (một ứng dụng web PHP/MySQL rất dễ bị tấn công) làm trang web mục tiêu được kẻ tấn công nhắm tới và thực hiện hành vi tấn công của mình

Hình 4.21 Mô hình triển khai hệ thống

Hệ thống bao gồm Security Onion, DVWA và Pfsense Cấu hình Security Onion lựa chọn Snort để phân tích lưu lượng giữa các ứng dụng web (DVWA) và thiết bị của kẻ tấn công Pfsense đóng vai trò router định tuyến mạng của hệ thống

4.2.3 Thực nghiệm a Tấn công XSS

Tấn công XSS là một dạng tấn công tiêm nhiễm, trong đó các tệp lệnh độc hại được đưa vào các trang web Là một trong những kĩ thuật tấn công phổ biến nhất hiện nay, đồng thời nó cũng là một trong những vấn đề bảo mật quan trọng đối với các nhà phát triển web và cả những người sử dụng web XSS là một kỹ thuật tấn công bằng cách chèn vào các website động những thẻ HTML hay những đoạn scrip nguy hiểm có thể gây hại cho những người sử dụng khác Trong đó, những đoạn mã nguy hiểm được

44 chèn vào hầu hết được viết bằng các Client-Site Scrip như JavaScrip, Jscrip và cũng có thể là các thẻ HTML Để bắt đầu thực hiện tấn công, từ trình duyệt trên máy kẻ tấn công với địa chỉ ip 192.168.1.209 truy cập tới dịch vụ web DVWA Chọn mục XSS (Reflected) và điền vào ô nhập với nội dung:

Hình 4.22 Giao diện web thực hiện tấn công XSS

Hình 4.23 Tấn công XSS thành công

Quay trở lại với giao diện Sguil trên Security Onion, ta nhận được một cảnh báo về việc sử dụng Script trên ứng dụng web

Hình 4.24 Cảnh báo tấn công XSS trên Sguil

Từ cảnh báo ta xác định được địa chỉ ip của kẻ tấn công là 192.168.1.209 Nhìn và quy tắc tạo cảnh báo có thể thấy cảnh báo này được sinh ra bởi một yêu cầu HTTP mà trong nội dung của nó có chứa các thẻ script

Sử dụng Transcript để xem bản ghi của luồng TCP tạo ra cảnh báo

Hình 4.25 Transcript biểu diễn dữ liệu luồng kết nối

Như đã biết, cuộc tấn công này sử dụng các thẻ script Các thẻ này đã được giải mã từ ascii sang thập lục và tạo ra kết quả sau:

46 Để thu thập thêm thông tin thiết bị của kẻ tấn công, chuyển dữ liệu cảnh báo tới NetworkMiner và nhận được kết quả sau

Hình 4.26 Thông tin thiết bị của kẻ tấn công thu được bởi NetworkMiner

Một số thông tin về thiết bị của kẻ tấn công:

- Trình duyệt sử dụng: Chrome

Ghi chú lại tất cả thông tin đã thu được và khởi tạo một sự cố trong hệ thống Phối hợp với các bên liên quan để điều tra và xử lý sự cố này b Tấn công SQL Injection

SQL Injection là một kỹ thuật lợi dụng những lỗ hổng về câu truy vấn lấy dữ liệu của những website không an toán, đây là một kỹ thuật tấn công rất phổ biến và sự thành công của nó cũng tương đối cao Để bắt đầu thực hiện tấn công, từ trình duyệt trên máy kẻ tấn công với địa chỉ ip 192.168.1.209 truy cập tới dịch vụ web DVWA Chọn mục SQL Injection và điền vào ô nhập với nội dung:

' UNION ALL SELECT load_file('C:\\xampp\\htdocs\\dvwa\\config\\config.inc.ph p'), '1

Nhấp trái chuột vào Submit để gửi yêu cầu và đợi kết quả phản hồi từ máy chủ

Hình 4.27 Giao diện web thực hiện tấn công SQL Injection

Trang không hiển thị bất kỳ thông tin nào ra màn hình mà ở trong mã nguồn của nó

Hình 4.28 Mã nguồn trang web kèm theo nội dung tệp yêu cầu

Vậy là đã thực hiện khai thác thành công Quay trở lại với giao diện cảnh báo của Sguil, ta thấy có hai cảnh báo mới được tạo ra để cảnh báo về nỗ lực thực hiện tấn công SQL Injection vào web server đến từ địa chỉ ip 192.168.1.209 (ip kẻ tấn công) Với cùng số hiệu cổng nguồn được sử dụng và dấu thời gian, rất có thể hai cảnh báo này sẽ thuộc cùng một luồng TCP

Hình 4.29 Cảnh báo được sinh ra khi thực hiện tấn công SQL Injection

Cảnh báo thứ nhất đưa ra cảnh báo về tấn công SQL Injection sử dụng UNION SELECT Quy tắc cho thấy rằng nó sẽ sinh ra cảnh báo đối với các yêu cầu HTTP mà nội dung yêu cầu chứa “UNION”, “SELECT” Còn cảnh báo thứ hai đưa ra cảnh báo tấn công SQL Injection truy cập vào tệp tin trên máy chủ dịch vụ web Cảnh báo này được tạo ra khi nội dung yêu cầu HTTP có chứa “LOAD_FILE”

Sử dụng Transcrip hoặc chuyển tới Wireshark để xem chi tiết hơn về luồng dữ liệu

Hình 4.30 Giao diện Wireshark biểu diễn luồng dữ liệu

49 Để xem những gì mà kẻ tấn công nhận được khi thực hiện tấn công này, sử dụng chức năng Export Object của Wireshark kết xuất nội dung phản hồi từ máy chủ web về kẻ tấn công

Hình 4.31 Mã nguồn web được trích xuất thông qua dữ liệu mạng

Hình 4.32 Mã nguồn chứa câu lệnh thực hiện và nội dung tệp mà kẻ tấn công yêu cầu

Có thể thấy, trong nội dung HTML trả về có chứa câu lệnh kẻ tấn công đã thực hiện và nội dung của tệp mà hắn yêu cầu Điều này chứng tỏ rằng, kẻ tấn công đã thực hiện khai thác thành công

Chuyển sang NetworkMiner để xem thêm thông tin về máy của kẻ tấn công

Hình 4.33 Thông tin thiết bị của kẻ tấn công thu được bởi NetworkMiner

Một số thông tin về thiết bị của kẻ tấn công:

- Trình duyệt sử dụng: Chrome

Ghi chú lại tất cả thông tin đã thu được và khởi tạo một sự cố trong hệ thống Phối hợp với các bên liên quan để điều tra và xử lý sự cố này

Ngày đăng: 07/11/2024, 11:24

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w