KUNGFU TECH

0
0
Lập trình
Admin Team
Admin Teamtechmely

Giả Lập Ransomware: Kiểm Tra Khả Năng Chống Đỡ EDR

Đăng vào 2 tuần trước

• 6 phút đọc

Chủ đề:

KungFuTech

Giới thiệu

Trong bối cảnh an ninh mạng ngày nay, ransomware đã trở thành một trong những mối đe dọa lớn nhất cho các tổ chức và doanh nghiệp. Để bảo vệ hệ thống, nhiều tổ chức đã áp dụng các giải pháp Endpoint Detection and Response (EDR) nhằm phát hiện và ứng phó với các cuộc tấn công. Bài viết này sẽ đi sâu vào việc giả lập ransomware thông qua công nghệ Giả Lập và Tấn Công (BAS), giúp các tổ chức kiểm tra khả năng chống đỡ của EDR mà không gây ra thiệt hại thực sự cho dữ liệu.

Nội dung bài viết

  • Phần 1: Tấn công - Hiểu về Ransomware.
  • Phần 2: Cách EDR hoạt động và phát hiện mối đe dọa.
  • Phần 3: Công nghệ BAS giả lập các cuộc tấn công.

Phần 1: Tấn công - Hiểu về Ransomware

Ransomware hoạt động như thế nào?
Khi ransomware được kích hoạt, hành vi của nó phụ thuộc vào loại ransomware. Một số loại tự động như locker ransomware có khả năng hạn chế quyền truy cập vào hệ thống, trong khi đó những loại như WannaCry hoặc Ryuk có khả năng lan tỏa qua các hệ thống kết nối. Dưới đây là quy trình điển hình mà ransomware thực hiện sau khi được kích hoạt:

Quy trình 1: Những gì ransomware làm sau khi thực thi

  1. Thiết lập ban đầu và né tránh:

    • Chạy trong bộ nhớ
    • Kiểm tra chống VM và chống sandbox
    • Giết các quy trình bảo mật (EDR, AV)
    • Tăng quyền (vượt qua UAC hoặc khai thác lỗ hổng)

  2. Duy trì:

    • Thay đổi registry: HKCU\Software\Microsoft\Windows\CurrentVersion\Run
    • Tạo tác vụ hoặc dịch vụ định kỳ
    • Thả bản sao vào thư mục temp hoặc %APPDATA%

  3. Khám phá tệp và xác định mục tiêu:

    • Quét hệ thống tệp để tìm các định dạng tệp mục tiêu:
      .doc, .xls, .pdf, .jpg, .db, .pst, v.v.
    • Tìm kiếm các phương tiện kết nối bao gồm USB drives, mạng đã được kết nối.

  4. Mã hóa tệp:

    • Sau khi xác định được các mục tiêu phù hợp, ransomware sẽ tiến hành mã hóa các tệp chứa thông tin nhạy cảm hoặc có giá trị cao như PII (Thông tin cá nhân), PCI (Thông tin thẻ thanh toán), và các tệp người dùng quan trọng.

Phần 2: Cách EDR hoạt động và phát hiện mối đe dọa

EDR tập trung vào các điểm cuối (như laptop, desktop hoặc server), theo dõi các quy trình, bộ nhớ, tệp, registry và các cuộc gọi mạng theo thời gian thực.

EDR phát hiện ransomware thông qua:

  1. Phát hiện dựa trên hành vi:

    • Theo dõi các hành vi bất thường như mã hóa nhanh chóng của nhiều tệp.

  2. Khớp mẫu dòng lệnh:

    • Kiểm tra các dòng lệnh nghi ngờ như vssadmin delete shadows /all /quiet.

  3. Giám sát chuỗi quy trình:

    • Theo dõi các chuỗi quy trình cha-con đáng ngờ.

  4. Honeypots / Tệp canary:

    • Cài đặt các tệp giả mạo để phát hiện ransomware.

  5. Phát hiện tiêm vào bộ nhớ / Tiêm mã:

    • Nếu ransomware tiêm vào một quy trình hợp pháp, EDR sẽ phát hiện sự bất thường này.

Phần 3: Công nghệ BAS giả lập các cuộc tấn công

BAS giả lập các cuộc tấn công ransomware mà không gây thiệt hại thực sự. Công nghệ này mô phỏng các hành vi của ransomware mà không mã hóa tệp thực sự.

Giả lập hành vi ransomware:

  1. Giả lập hành vi - Không phải ransomware thực sự:

    • Không mã hóa tệp thực, không gây hại cho dữ liệu người dùng hoặc hệ thống.
    • Mô phỏng các hành vi như truy cập tệp hàng loạt, thay đổi tên tệp, tăng độ biến thiên của nội dung.

  2. Cách BAS tương tác với EDR:

    • BAS mô phỏng các hành vi nghi ngờ như sửa đổi tệp với tần suất cao và sử dụng các công cụ tích hợp.

  3. Tại sao sử dụng thư mục %TEMP%, %ProgramData% và các vùng kiểm soát?

    • Các thư mục này thường được các phần mềm độc hại thực sự lợi dụng, nhưng chúng có thể được ghi bởi người dùng tiêu chuẩn, an toàn để kiểm tra mà không làm tổn hại đến tệp hệ thống.

  4. Chiến thuật mô phỏng an toàn:

    • BAS ghi các tệp giả mạo, thay đổi nội dung vô hại và không chạm vào các khóa registry quan trọng.

  5. Khả năng của tác nhân BAS:

    • Tác nhân BAS thực hiện các bài kiểm tra cục bộ và có khả năng tự hủy sau khi hoàn thành.

Trường hợp sử dụng thực tế:

Giả sử bạn chạy một mô phỏng ransomware bằng BAS. Tác nhân tạo ra 20 tệp giả với tên .locked trong thư mục %TEMP%. EDR của bạn phát hiện hành vi mã hóa và chặn lại, ghi lại tần suất ghi cao và thử nghiệm xóa bản sao bóng.

powershell Copy 
#ItsMalvious
---------------------------------------------------------------------
# Tạo thư mục thử nghiệm
$TestDir = "$env:TEMP\RansomTest"
New-Item -ItemType Directory -Path $TestDir -Force | Out-Null

# Bước 1: Tạo 20 tệp .txt
1..20 | ForEach-Object {
    $FilePath = Join-Path $TestDir "File$_.txt"
    Set-Content -Path $FilePath -Value "Đây là tệp $_ cho mô phỏng"
}

# Bước 2: Đổi tên 10 tệp đầu tiên thành .locked, 10 tệp tiếp theo thành .encrypted
Get-ChildItem -Path $TestDir -Filter *.txt | Sort-Object Name | Select-Object -First 10 | ForEach-Object {
    Rename-Item $_.FullName ($_.FullName -replace '.txt$', '.locked')
}

Get-ChildItem -Path $TestDir -Filter *.txt | Sort-Object Name | Select-Object -First 10 | ForEach-Object {
    Rename-Item $_.FullName ($_.FullName -replace '.txt$', '.encrypted')
}

# Tùy chọn: Mô phỏng thay đổi nội dung tệp
Get-ChildItem -Path $TestDir -Filter *.locked,*.encrypted | ForEach-Object {
    Set-Content $_.FullName -Value ("X" * 2048)  # Mô phỏng độ biến thiên cao
}

# Bước 3: Chờ EDR quan sát hoạt động
Start-Sleep -Seconds 10

# Bước 4: Tự hủy - xóa tất cả tệp và thư mục
Remove-Item -Path $TestDir -Recurse -Force

Kết luận

Công nghệ BAS cung cấp cho các đội xanh khả năng kiểm tra và xác nhận khả năng phát hiện ransomware mà không gây rủi ro cho môi trường của họ. Việc mô phỏng hành vi của kẻ tấn công mà không sử dụng các mã độc thực sự cho phép tổ chức xác minh EDR và SIEM, đào tạo các nhà phân tích ứng phó với các kịch bản ransomware, và đánh giá liên tục tư thế an ninh mà không gây thiệt hại thực sự.

Hãy bắt đầu bằng việc mô phỏng ransomware một cách an toàn và nghiên cứu cách EDR phản ứng. Đây là cách an toàn nhất để đến gần nhất với thực tế mà không vượt qua giới hạn.

Lưu ý: An ninh không chỉ là việc triển khai các công cụ đắt tiền mà còn là việc chứng minh chúng thực sự hoạt động khi cần thiết. BAS và Continuous Threat Exposure Management (CTEM) cho phép các tổ chức kiểm tra và xác nhận khả năng bảo vệ của họ.

Câu hỏi thường gặp

  1. BAS là gì?

    • BAS là công nghệ mô phỏng các cuộc tấn công để kiểm tra khả năng phòng thủ của hệ thống mà không gây thiệt hại thực sự.

  2. EDR hoạt động như thế nào?

    • EDR theo dõi và phân tích các hành vi đáng ngờ trên các điểm cuối để phát hiện và ứng phó với các mối đe dọa.

  3. Có an toàn khi sử dụng BAS không?

    • Có, BAS được thiết kế để không gây hại cho dữ liệu thực tế trong quá trình mô phỏng.

Tài nguyên tham khảo

Hãy theo dõi để cập nhật thông tin mới nhất về các cuộc tấn công thực tế và cách các giải pháp bảo mật phản ứng!

Nội dung bài viết

Gợi ý câu hỏi phỏng vấn
Không có dữ liệu

Không có dữ liệu

Bài viết được đề xuất
Bài viết cùng tác giả

Bình luận

Chưa có bình luận nào

Chưa có bình luận nào