• KURZY
    • GDPR Kurzy
      • DPO Bootcamp IV.
      • Elektronický podpis a jeho využitie v praxi
      • GDPR Vakcína
      • GDPR v informačnej bezpečnosti
      • Koronavírus (COVID-19) a spracúvanie osobných údajov podľa GDPR (videozáznam)
      • Marketing vo svete GDPR
      • Práca z domu “v novom normále”
    • InfoSec & CyberSec
      • AWS Security Hub
      • Becoming a digital detective
      • Bezpečná elektronická komunikácia
      • How to build and run in-house SOC
      • How to spot and defend against adversaries movements in your network
      • Monitorovanie hrozieb v SCADA ICS
      • Privilegovaní používatelia – hrozba, o ktorej by ste mali vedieť
      • Security Basics for Managers
      • Security Information & Event Management
      • Security Operation Center
      • Your Android has been hacked
  • Interné školenia
  • Prieskumy
  • Podujatia
    • Audit Club
    • CISO Club
    • CySec Club
    • DPO Club
    • Qubit Conference Belgrade
    • Qubit Conference New York
    • Qubit Conference Prague
    • Qubit Conference Sofia
    • Qubit Conference Tatry
  • Blog
  • O NÁS
  • KONTAKT
Qubit Academy
  • KURZY
    • GDPR Kurzy
      • DPO Bootcamp IV.
      • Elektronický podpis a jeho využitie v praxi
      • GDPR Vakcína
      • GDPR v informačnej bezpečnosti
      • Koronavírus (COVID-19) a spracúvanie osobných údajov podľa GDPR (videozáznam)
      • Marketing vo svete GDPR
      • Práca z domu “v novom normále”
    • InfoSec & CyberSec
      • AWS Security Hub
      • Becoming a digital detective
      • Bezpečná elektronická komunikácia
      • How to build and run in-house SOC
      • How to spot and defend against adversaries movements in your network
      • Monitorovanie hrozieb v SCADA ICS
      • Privilegovaní používatelia – hrozba, o ktorej by ste mali vedieť
      • Security Basics for Managers
      • Security Information & Event Management
      • Security Operation Center
      • Your Android has been hacked
  • Interné školenia
  • Prieskumy
  • Podujatia
    • Audit Club
    • CISO Club
    • CySec Club
    • DPO Club
    • Qubit Conference Belgrade
    • Qubit Conference New York
    • Qubit Conference Prague
    • Qubit Conference Sofia
    • Qubit Conference Tatry
  • Blog
  • O NÁS
  • KONTAKT

Kybernetická bezpečnosť

  • Home
  • Blog
  • Kybernetická bezpečnosť
  • Blue Teaming – Prípadová štúdia

Blue Teaming – Prípadová štúdia

  • Posted by QuBit Academy
  • Categories Kybernetická bezpečnosť
  • Date 11 januára, 2021

Pripravujeme pre Vás školenie o tom ako detegovať útočníka a zabrániť jeho pohybu po sieti. Vysvetlíme Vám na ňom: 

  • ako funguje SOC,
  • aké udalosti je potrebné zaznamenávať do logov,
  • ako používať maticu MITRE ATT&CK 
  • a ako identifikovať najčastejšie útoky, ktoré sú v nej popísané.

Zatiaľ sme pre Vás na ochutnávku pripravili článok o tom, ako spozorovať infekciu malvérom pomocou vlastného open-source SOC-u. Prípadovú štúdiu, z ktorej vychádza tento článok nám poskytla spoločnosť LIFARS.

Osquery + Kolide Fleet + ELK = SOC

Ako si vybudovať vlastný SOC? Je to možné urobiť napríklad pomocou nástrojov Osquery, Kolide Fleet a ELK. 

Osquery

Osquery dokáže spracovať všetky informácie o operačnom systéme uložené v systémových súboroch takým spôsobom, aby sme ich vedeli pohodlne a jednotne dopytovať v jazyku SQL. Z informácií dostupných cez Osquery sa dozvieme všetko potrebné na prvotný incident response. Vieme si vypísať aktuálne prihlásených používateľov, naplánované úlohy, služby, spustené procesy, programy spúšťané pri zapnutí, atď.

Kolide Fleet

Na rozposielanie Osquery dopytov viacerým zariadeniam naraz použijeme nástroj Kolide Fleet. Dokážeme v ňom vytvárať takzvané querypacks, teda skupiny dopytov, ktorými sa napríklad môžeme dopytovať na indikátory kompromitácie typické pre určitý druh malvéru. Na obrázku môžete vidieť vzorový querypack pre Windows triage.

ELK

Na uloženie, spracovanie a vizualizáciu výsledkov dopytov z querypacks použijeme nástroj ELK, ktorý pozostáva z troch častí – Elasticsearch, Logstash, Kibana. Výsledky dopytov budeme ukladať pomocou back-end nástroja Elasticsearch, budeme ich spracovávať a zjednocovať pomocou nástroja Logstash a vizualizovať pomocou nástroja Kibana. 

V Kibane dokážeme vytvoriť ľahko prispôsobiteľné grafy a tabuľky, ktoré zjednodušia analytikom ich prácu. V jednej tabuľke môže byť napríklad vypísaný zoznam všetkých koncových zariadení, v druhej zase zoznam všetkých naplánovaných úloh aj s cestou k programu, ktorý úloha spúšťa.

Setup

Keď chceme vybudovať SOC, musíme na každú koncovú stanicu v sieti nainštalovať Osquery. Kolide Fleet a ELK môžu byť spustené spoločne na jednom serveri. Na nasledujúcej schéme môžete vidieť architektúru takéhoto SOC-u. Ak by Kolide Fleet a ELK boli nainštalované na rôznych serveroch, výsledky z dopytov v Kolide Fleet by sa ešte museli preposielať na server s nainštalovaným ELK-om a to cez nástroj FileBeat. 

Dridex

V rámci testovania takto nastaveného SOC-u, LIFARS tím na monitorovanej koncovej stanici spustil malvér Dridex a skúmal možnosti jeho detekcie. Tím urobil dopyt na získanie všetkých naplánovaných úloh na všetkých koncových zariadeniach. Keďže výsledok bol veľký, odfiltrovali všetky súbory s cestou, ktorá obsahovala \Microsoft (súbory z tohto priečinka sa zdali legitímne a takýto filter výrazne znížil veľkosť výsledku). 

Medzi naplánovanými úlohami, ktoré ostali, boli dve podozrivé – spúšťali sa z podpriečinka s náhodne vygenerovaným menom, ktorý sa nachádzal v C:\Windows\System32. Tím pomocou osquery vypočítal hashe súborov, ktoré podpriečinok obsahoval a na VirusTotal overil, že sa jedná o Dridex malvér, avšak s nízkou úspešnosťou detekcie. V podpriečinku boli dva súbory – jeden EXE súbor, ktorý bol kópiou legitímneho a podpísaného EXE zo System32 a wer.dll, čo bolo maliciózne DLL. 

Tím sa rozhodol pomocou Osquery odstrániť všetky škodlivé DLL súbory. Tento pokus ale dopadol neúspešne – na veľké prekvapenie členov tímu sa súbory ihneď po vymazaní opätovne objavili. Toto správanie mal pravdepodobne na svedomí nejaký proces – nastal čas pozrieť sa na tabuľky procesov. 

Žiaľ, proces v sebe nedrží informáciu, aký súbor vytvoril. Vieme ale zistiť, či daný proces niečo zapisoval na disk – táto informácia je uložená v jeho premennej disk_bytes_written a na základe nej je možné identifikovať, ktorý proces znovu vytvoril škodlivé súbory po ich vymazaní. 

Dá sa to urobiť takým spôsobom, že vytvoríme snapshot, niekoľkokrát vymažeme a necháme znovu sa objaviť škodlivý súbor, a potom urobíme ďalší snapshot. Následne vynásobíme veľkosť súboru počtom vymazaní, čím získame celkovú veľkosť škodlivých súborov zapísaných na disk medzi dvoma snapshotmi. Pre každý proces spočítame rozdiel v premennej disk_bytes_written medzi prvým a druhým snapshotom. Rozdiel, ktorý bude najbližší sumárnej veľkosti vymazaných a znovu zapísaných súborov, bude priradený ku škodlivému procesu. Tím uvažoval týmto smerom, urobil snapshot a potrebné výpočty, až nakoniec zistil, že škodlivým procesom bol samotný explorer.

Takto bol Blue Team schopný len za pomoci osquery a ELK urobiť incident response, prvotnú analýzu, aj mitigáciu.

Záver

Vysvetlili sme si ako si vybudovať vlastný open-source SOC, ktorý môže pomôcť pri odhalení prítomnosti malvéru aj vo väčšej sieti. Ak Vás táto téma zaujala a chcete vedieť viac o tom, ako by mal fungovať SOC, čo logovať a ako sa brániť voči taktikám útočníkov z MITRE ATT&CK, prihláste sa na workshop.

Post Views: 1 350
  • Share:
author avatar
QuBit Academy

Už viac ako 4 roky poskytujeme vzdelávanie primárne v oblasti informačnej a kybernetickej bezpečnosti.

Vytvárame priestor pre komunitu profesionálov v oblasti kybernetickej bezpečnosti a od začiatku nám záleží na hodnotách ako nezávislosť, transparentnosť, profesionálnosť, ktoré sa nám darí napĺňať aj vďaka Vám.

Previous post

Red Teaming – Prípadová štúdia
11 januára, 2021

Next post

Bezpečnosť informácií v online svete
15 januára, 2021

Najnovšie články

  • V online svete číha čoraz viac nástrah a je dôležité sa proti nim brániť
  • Bezpečná komunikácia
  • Bezpečnosť informácií v online svete
  • Blue Teaming – Prípadová štúdia
  • Red Teaming – Prípadová štúdia

Pridajte sa k nám

Copyright © 2016-2022 QuBit Security s.r.o., Všetky práva vyhradené. - Vyhlásenie o spracúvaní osobných údajov - Všeobecné obchodné podmienky - O cookies

LinkedIn  Twitter  Facebook