Slide Thu Thập Và Phân Tích Thông Tin ANM

Network Security Monitoring:
Collection, Detection, and Analysis
Chapter 1: Overview
PHAN TAN TOAN
@Command86
Contents
1. Cyber-security events of the 2010s
2. Network Security Monitoring (NSM)
3. Network basic
4. Network Attacks
5. Tools
pttoan.it@gmail.com
@Command86
Cyber-security events of the 2010s
pttoan.it@gmail.com
@Command86
A decade of hacking (cyber-security events of the 2010s)

❖ 2010
▪ Stuxnet
• Stuxnet is a computer worm that was co-developed by the US and Israeli intelligence services as a means to
sabotage Iran's nuclear weapons program, which was getting off the ground in the late 2000s. The worm was
specifically designed to destroy SCADA equipment used by the Iranian government in its nuclear fuel
enrichment processes.
▪ Operation Aurora - the Google hack
• It was part of a series of attacks that later become known as Operation Aurora -- a coordinated hacking campaign
carried by the Chinese government's military hackers against some of the world's biggest companies at the time,
like Adobe, Rackspace, Juniper, Yahoo, Symantec, Northrop Grumman, Morgan Stanley, and others.
❖ 2011
▪ Sony PlayStation hack and massive outage
• Sony announced that a hacker stole details for 77 million PlayStation Network users.
pttoan.it@gmail.com
@Command86

❖ 2012
▪ Shamoon
• Created in Iran, Shamoon destroyed more than 35,000 workstations on the network of Saudi Aramco, Saudi
Arabia's national oil company.
❖ 2013
▪ Snowden revelations
• The Snowden leaks are probably the most important cyber-security event of the decade. They exposed a
global surveillance network that the US and its Five Eyes partners had set up after the 9/11 attacks.
❖ 2014
▪ North Korea's brazen Sony hack
• The hack of Sony Pictures in 2014 is the first time when the world learned that North Korea has hackers
and pretty good ones at it.
pttoan.it@gmail.com
@Command86

❖ 2015
▪ The Ukraine power grid hacks
• The cyber-attack on Ukraine power grid in December 2015 caused power outages across western Ukraine
and was the first successful attack on a power grid's control network ever recorded by a piece of malware
known as Black Energy.
❖ 2016
▪ Bangladesh Bank cyber-heist
• February 2016, the world found out that hackers attempted to steal more than $1 billion from a Bangladeshi
bank. it was later revealed that North Korea's elite hackers were behind the attempted cyber-heist
❖ 2017
▪ The three ransomware outbreaks
• WannaCry, they relied on the EternalBlue exploit.
pttoan.it@gmail.com
@Command86

❖ 2018
▪ Cambridge Analytica and Facebook's fall from grace
• the data-set had included information on 50 million Facebook users.[21][22] While Cambridge
Analytica claimed it had only collected 30 million Facebook user profiles,[23] Facebook later
confirmed that it actually had data on potentially over 87 million users,[24] with 70.6 million of those
people from the United States.
❖ 2019
▪ CapitalOne
• The Capital One hack that was disclosed in July 2019 impacted more than 100 million Americans and
six million Canadians.
▪ Millions of Facebook Records Found on Amazon Cloud Servers.
▪ 773 million email addresses of Yahoo discovered on the dark web
pttoan.it@gmail.com https://www.zdnet.com/
@Command86
Advanced Persistent Threat (APT)

APT groups:
❖ China:
▪ PLA Unit 61398 (APT1)
▪ Buckeye (APT3)
▪ Red Apollo (APT10)
▪ Codoso Team (APT19)
▪ Wocao (APT20)
▪ Periscope Group (APT40)
▪ Double Dragon (APT41)
pttoan.it@gmail.com
@Command86

APT groups:
❖ Iran:
▪ Elfin Team (APT33)
▪ Helix Kitten (APT34)
▪ Charming Kitten (APT35)
▪ APT39
❖ North Korea:
▪ Ricochet Chollima (APT37)
▪ Lazarus Group (APT38)
pttoan.it@gmail.com
@Command86

APT groups:
❖ Russia:
▪ Fancy Bear (APT28)
▪ Cozy Bear (APT29)
▪ Voodoo Bear
▪ Venomous Bear
❖ United States
▪ Equation Group (Stuxnet and the NSA, most of their targets have
been in Iran, Russia, Pakistan, Afghanistan, India, Syria, Mali).
❖ Uzbekistan
▪ SandCat
❖ Vietnam
▪ OceanLotus (APT32) ??
pttoan.it@gmail.com
@Command86
Network Security
HOW TO … ?
pttoan.it@gmail.com
@Command86
Network Security Monitoring (NSM)
pttoan.it@gmail.com
@Command86
Computer Network Defense (CND)

Computer Network Defense (as US DoD 8500.2.):
▪ Protect
The protect domain focuses on securing systems to prevent exploitation and intrusion from occurring. Some of the
functions that typically occur within this domain include vulnerability assessment, risk assessment, anti-malware
management, user awareness training, and other tasks.
▪ Detect
This domain centers on detecting compromises that are actively occurring or have previously occurred. This includes
network security monitoring and attack sense and warning.
▪ Respond
The third domain focuses on the response after a compromise has occurred. This includes incident containment,
network and host-based forensics, malware analysis, and incident reporting.
▪ Sustain
The final domain deals with the management of the people, processes, and technology associated. This includes
contracting, staffing and training, technology development and implementation, and support systems management.
pttoan.it@gmail.com
@Command86
Anti-virus, Firewall and IDS

❖ Firewall can detect when an external attacker is trying to perform a malicious
action, and can then take steps to avoid it.
❖ Antivirus solution provides the tools to prevent a file received via email, via a
USB device or downloaded directly from the Internet to run any malicious
action that puts the information at risk.
❖ Intrusion Detection System (IDS) can monitor the behavior of the other
computers and provide an additional layer to detect any malicious activity.
pttoan.it@gmail.com
@Command86
Intrusion Detection System (IDS)

❖ IDS is a device or software application that
monitors a network or systems for malicious
activity or policy violations (-wiki-).
❖ Analyzed activity
▪ Network intrusion detection systems (NIDS)
▪ Host intrusion detection systems (HIDS)
❖ Detection method
▪ Signature-based
▪ Anomaly-based
IDS vs IPS?
pttoan.it@gmail.com
@Command86

NSM: Collection, Detection, and Analysis.
- IDS is a component of NSM.
❖ Collection:
▪ Defining where the largest amount of risk exists
in the organization
▪ Identifying threats to organizational goals
▪ Identifying relevant data sources
▪ Configuring SPAN ports to collect packet data
▪ Building SAN storage for log retention
▪ Configuring data collection hardware and software
pttoan.it@gmail.com
@Command86

❖ Detection:
▪ Signature-based
▪ Anomaly-based
▪ Statistically-based
⮚ Network Intrusion Detection System (NIDS)
⮚ Security Information and Event Management (SIEM)
pttoan.it@gmail.com
@Command86

❖ Analysis:
▪ Packet analysis
▪ Network forensics
▪ Host forensics
▪ Malware analysis
⮚ Open Source Intelligence (OSINT)
pttoan.it@gmail.com
@Command86
NSM DATA TYPES

❖ Full Packet Capture Data (PCAP)
❖ Session Data
❖ Statistical Data
❖ Packet String Data (HTTP)
❖ Log Data
❖ Alert Data
pttoan.it@gmail.com
@Command86
DATA TYPES
❑ Data in Use
▪ Office apps, PDF…
▪ Database access, Cloud apps, Mobile apps
❑ Data in Transit
▪ Email, Attachment, Web uploads & downloads
▪ LAN transfer, Instant Messaging, P2P
▪ Wifi & Mobile network
❑ Data at rest
▪ File servers and network shares
▪ Database
▪ Desktop, laptops, Tablets, Mobile devices
▪ USB drives, Cloud Storage
20
pttoan.it@gmail.com
@Command86
NSM vs. CSM (Continuous Security Monitoring)

❖ NSM: Threat-centric (focuses on the “who” and “why”)
❖ CSM: Vulnerability-centric (focuses on the “how”)
pttoan.it@gmail.com
@Command86
Network Basic
pttoan.it@gmail.com
@Command86
OSI Model
pttoan.it@gmail.com
@Command86
TCP/IP Model
OSI TCP/IP TCP/IP Suite Protocols
24
pttoan.it@gmail.com
@Command86
Encapsulation-Decapsulation
25
pttoan.it@gmail.com
@Command86
TCP & UDP Header (layer 4)

TCP Header
UDP Header
pttoan.it@gmail.com
@Command86
TCP/IP Communication
Three-Way Handshake Window size
pttoan.it@gmail.com
@Command86
TCP & UDP Port
pttoan.it@gmail.com
@Command86
IP Header (layer 3)
pttoan.it@gmail.com
@Command86
IP Addressing
IPv4
pttoan.it@gmail.com
@Command86
Ethernet Header
pttoan.it@gmail.com
@Command86
Network Devices
▪ Hub:
- Layer Physical (1)
- 1 Collision domain
▪ Switch:
- Layer Data Link (2)
- N Collision domain
- 1 Broadcast domain
▪ Router:
- Layer Network (3)
- N Collision domain
- N Broadcast domain
pttoan.it@gmail.com
@Command86
Collision domain & Broadcast domain
Collision domain Broadcast domain
pttoan.it@gmail.com
@Command86
Network Attacks
pttoan.it@gmail.com
@Command86
Network Attacks
▪ IP spoofing
▪ Denial of service
▪ Man in the middle attack
▪ Sniffing
▪ Advanced Persistent Threats (APT)
▪ Client-side exploitation
▪ Service-side exploitation
35
pttoan.it@gmail.com
@Command86
IP spoofing
From:
10.0.0.50
Attacke To: 10.0.0.25
r
10.0.0.
5
Replies sent Server
back 10.0.0.
Spoofed Address 5
to 10.0.0.50
10.0.0.50
36
pttoan.it@gmail.com
@Command86
MiTM Attack
37
pttoan.it@gmail.com
@Command86
DoS/DDoS Attack
38
pttoan.it@gmail.com
@Command86
APT Attack
▪ Advanced – Targeted, Coordinated,
Purposeful
▪ Persistent – Month, Year
▪ Threat – Person(s) with Intent,
Opportunity, and Capability
39
pttoan.it@gmail.com
@Command86
Cyber Kill Chain
40
pttoan.it@gmail.com
@Command86
Client-side Attack
▪ Client-side attacks occur when a user downloads malicious content

▪ Client-side attacks initiate from the victim who downloads content from
the attacker
41
pttoan.it@gmail.com
@Command86
Service-side Attack
• Service-side attacks are initiated by the attacker

• Also known as Server-side attacks
42
pttoan.it@gmail.com
@Command86
Tools
pttoan.it@gmail.com
@Command86
NSM Distribution
Secuiry Onion – Linux distribution designed specifically for NSM (
https://securityonion.net/)
❑ Ful packet capture – Tcpdump/Wireshark/NetworkMiner
❑ Extracted content – Xplico/NetworkMiner
❑ Session data – Bro/FlowBat/Argus/Ipaudit
❑ Transaction data – Bro
❑ Statistical data – Capinfos/Wireshark
❑ Metadata – ELSA (Whois)
❑ Alert/Log data – Snort, Suricata, Sguil, Snorby, Syslog
44
pttoan.it@gmail.com
@Command86
Sguil (NSM/NIDS)
❑ Sguil perform full packet capture, and allows you to right-click
on any event.
45
pttoan.it@gmail.com
@Command86
NSM Toolbox: Wireshark and Tshark
• ip.src==10.1.11.00/24
• ip.addr==192.168.1.10 && ip.addr==192.168.1.20
• tcp.port==80 || tcp.port==3389
• !(ip.addr==192.168.1.10 && ip.addr==192.168.1.20)
46
pttoan.it@gmail.com
@Command86
NSM Toolbox: Wireshark and Tshark

Tshark
47
pttoan.it@gmail.com
@Command86
Tcpdump
48
pttoan.it@gmail.com
@Command86
Others
❑ Cain and Abel
❑ Kismet
❑ Ettercap
❑ NetStumbler
❑ Dsniff
❑ Ntop
❑ Ngrep
❑ AtherApe
❑ ….
49
pttoan.it@gmail.com
@Command86
NIDS
❑ NIDS (Network Intrusion Detection System) đóng vai trò
quan trọng trong việc triển khai SIEM
❑ Một số NIDS: Snort, Suricata, Bro, OSSEC…
50
pttoan.it@gmail.com
@Command86
SIEM
❑ Commercial:
▪ HP ArcSight
▪ Qradar
▪ Splunk
51
pttoan.it@gmail.com
@Command86
SIEM
❑ Open Source:
▪ OSSIM
▪ ELK Stacks
▪ Splunk Free
▪ Wazuh
▪ Apache Metron
52
pttoan.it@gmail.com
Network Security Monitoring:
Collection, Detection, and Analysis
BÀI 2:
THIẾT LẬP HỆ THỐNG THU THẬP
THÔNG TIN AN NINH MẠNG
PHAN TAN TOAN

1 Kiến trúc và thành phần
2 Dữ liệu thu thập
3 Phương pháp thu thập
4 Phát hiện xâm nhập


SIEM
SIEM (Security information and event maagement)
▪ Thu thập thông tin nhật ký các sự kiện an ninh
▪ Phân tích các sự kiện phát hiện rủi ro và ứng phó
❑ Collector
❑ Engine+DB
❑ Management
Đối tượng
SIEM thu thập dữ liệu từ 4 nguồn chính:
▪ Thiết bị bảo mật (IDPS, AV, DLP, Firewall,
Honeypots, Web Filters)
▪ Thiết bị mạng (Routers, Switches, Access
Point, Private Cloud Networks)
▪ Máy chủ (App Server, Databases)
▪ Ứng dụng (Web App, SaaS App)
58
Collector: Thu thập thông tin
▪ Thu thập toàn bộ dữ liệu nhật ký từ các
nguồn thiết bị, ứng dụng.
▪ Kiểm soát băng thông, không gian lưu trữ.
▪ Phân tách từng sự kiện và chuẩn hóa các
sự kiện vào một lược đồ chung.
▪ Tích hợp các sự kiện.
▪ Chuyển toàn bộ các sự kiện đã thu thập
về thành phần phân tích và lưu trữ.
59
Engine+DB: Phân tích và lưu trữ
▪ Tập hợp nhật ký tập trung, tiến hành phân
tích, so sánh tương quan.
▪ Môđun phân tích sẽ được hỗ trợ bởi các
luật (được định nghĩa trước) cũng như
khả năng tuỳ biến, nhằm đưa ra kết quả
phân tích chính xác nhất.
▪ Hỗ trợ kết nối đến các hệ thống lưu trữ dữ
liệu giúp nâng cao khả năng lưu trữ và xây
dựng kế hoạch dự phòng, chống mất mát
dữ liệu.
60
Management: Quản trị tập trung
▪ Cung cấp giao diện quản trị. Các giao
diện được phân quyền theo vai trò của
người quản trị.
▪ Hỗ trợ các mẫu báo cáo, các giao diện
theo dõi, điều kiện lọc, tập luật…
▪ Hỗ trợ các công cụ xử lý các sự kiện an
toàn mạng xảy ra trong hệ thống.
61
Yếu tố cơ bản
▪ Xác định đối tượng cần giám sát (đơn vị,
hệ thống, thiết bị, dịch vụ,…).
▪ Xác định các kỹ thuật, công cụ thu thập
▪ Xác định các thiết bị, công cụ, giải pháp
hỗ trợ phân tích kết quả giám sát.
▪ Xác định quy trình giám sát.
62
Chức năng & thành phần quan trọng
1. Data aggregation
2. Threat Intelligence Feeds
3. Correlation
4. Analytics
5. Alerting
6. Dashboard
7. Compliance
8. Log Retention
9. Forensic Analysis
10. Threat Hunting
11. Incident Response
12. SOC Automation 63
1. Data Aggregation:
Dữ liệu được thu thập từ nhiều nguồn:
- Thu thập từ agent
- Kết nối trực tiếp với thiết bị
- Truy cập vào logs được lưu trữ trong DB
2. Threat Intelligence Feeds:
(Nguồn cấp thông tin tình báo về mối đe dọa an ninh mạng)
Sử dụng các dữ liệu hiện có kết hợp với nghiên cứu,
cập nhật các lỗ hổng, các mối đe dọa tiềm tàng, và sau
đó ánh xạ với tài sản của khách hàng để thực hiện và
nâng cao khả năng phòng thủ chủ động
64
3. Correlation: giúp liên kết các sự kiện an ninh từ
các nguồn khác nhau thành một sự kiện an ninh
chính xác.
- Tương quan dựa trên luật
- Tương quan dựa trên thống kê
4. Analytics:
- Sử dụng các kỹ thuật như học máy, mô hình
thống kê để xây dựng liên kết sâu hơn giữa các
loại dữ liệu.
- Chuẩn hóa log
65
5. Alerting:
- Thông báo tới các quản trị viên một cuộc tấn
công hay một hành vi bất thường đang xảy ra.
6. Dashboards:
- Cung cấp công cụ, giao diện trực quan hóa
- Cho phép quản trị viên giao tiếp với dữ liệu
được lưu trữ trong SIEM.
7. Compliance:
- Khả năng tạo ra các báo cáo tuân thủ các tiêu
chuẩn
66
8. Log Retention:
- Cơ sở dữ liệu
- Lưu trữ dưới dạng file text
- Lưu trữ dưới dạng nhị phân
9. Forensic Analysis:
- Quá trình phân tích chuyên sâu dữ liệu được lưu trữ
để tái cấu trúc toàn bộ sự cố nhằm tìm ra nguyên
nhân, nguồn gốc sự việc
10. Threat Hunting
- Khả năng chủ động săn tìm các mối đe dọa và đưa
ra các khuyến nghị nhằm ngăn chặn các mối đe dọa
tìm được. 67
11. Incident Response:
- Dữ liệu thu thập được giúp đội ứng phó sự cố xác
định nguồn gốc tấn công và phản ứng lại một cách
nhanh nhất có thể.
12. SOC Automation:
- Khả năng tự động ứng phó sự cố đối với các hệ
thống SIEM tiên tiến
68
Yêu cầu
❑ Dự phòng: dữ liệu cần được lưu trữ dự phòng
ở nhiều nơi khác nhau, giảm thiểu nguy cơ mất
mát dữ liệu.
❑ Xác thực tính chính xác của thông tin (kẻ xâm
nhập có thể thay đổi hoặc xóa các bản ghi).
❑ Sử dụng và kết hợp nhiều phương pháp, kỹ
thuật nhằm đảm bảo việc thu thập và phân tích
thông tin chính xác và hiệu quả.
69
Hạn chế của SIEM
▪ Mạng có sử dụng các cơ chế mã hóa (vd: VPN).
▪ Mạng sử dụng NAT.
▪ Thiết bị trong hệ thống mạng liên tục di chuyển
(vd: Mobile).
▪ Lưu lượng mạng vượt quá khả năng phần cứng
của NSM.
▪ Các yếu tố khác liên quan đến chính sách hệ
thống như quyền riêng tư, chính sách truy
cập…
70

Dữ liệu thu thập
Có rất nhiều dạng dữ liệu như sau:
1. Full content data
2. Extracted content
3. Session data
4. Transaction data
5. Statistical data
6. Metadata
7. Alert/log data
72
1. Full content data - tất cả các dữ liệu thu
thập được trong hệ thống mạng
2. Chuyên gia phân tích bảo mật khi làm
việc với “Full content data” thường qua 2
giai đoạn:
– Phân tích tổng quan.
– Phân tích chuyên sâu.
73
• khi chúng tôi thu thập “Full content data” , chúng tôi đang
thu thập tất cả thông tin truyền qua mạng. Chúng tôi không
tung dữ liệu để chỉ thu thập thông tin liên quan đến cảnh
báo bảo mật. Chúng tôi không lưu nhật ký ứng dụng. Chúng
tôi đang tạo các bản sao chính xác của traffc như đã thấy
trên dây. Khi các nhà phân tích bảo mật làm việc với “Full
content data” , họ thường xem xét nó theo hai giai đoạn. Họ
bắt đầu bằng cách xem tóm tắt dữ liệu đó, được thể hiện
bằng “header" trên traffc. Sau đó, họ kiểm tra một số gói tin
riêng lẻ
❑Phân tích tổng quan:
75
❑Phân tích chuyên sâu:
76
2. Extracted content data
❑Extracted content data – luồng dữ liệu,
file, webs, malware…
77
• Nội dung được trích xuất đề cập đến các luồng dữ liệu cấp
cao — chẳng hạn như fles, hình ảnh và phương tiện —
được truyền giữa các máy tính.
• Không giống như với full content data, bao gồm các tiêu đề
từ các cấp thấp hơn của quá trình giao tiếp, với nội dung,
chúng tôi không lo lắng về địa chỉ MAC, địa chỉ IP, giao thức
IP, v.v. Thay vào đó, nếu hai máy tính trao đổi một tệp,
chúng tôi xem xét tệp. Nếu máy chủ web chuyển trang web
sang trình duyệt, chúng tôi sẽ xem xét trang web đó. Và,
nếu một kẻ xâm nhập truyền một phần mềm độc hại hoặc
sâu, chúng tôi xem xét phần mềm độc hại hoặc sâu.
3. Session data
❑Session data – dữ liệu trao đổi giữa
các nút mạng
79
• Các bản ghi này hiển thị yêu cầu GET của trình duyệt web
đối với root / u của web, tiếp theo là một yêu cầu cho
favicon.ico fle v và một yêu cầu thứ hai cho favicon.ico fle w.
Trình duyệt web phản hồi 200 OK cho yêu cầu GET gốc web
x và hai phản hồi 404 Not Found cho favicon.ico fle y. Đây
chỉ là loại thông tin mà nhà phân tích bảo mật cần để hiểu
được giao tiếp giữa trình duyệt web và máy chủ web. Nó
không chi tiết như full content data, nhưng không trừu tượng
như “session data” . Hãy nghĩ theo cách này: Nếu full
content data ghi lại mọi khía cạnh của cuộc gọi điện thoại và
“session data” chỉ cho bạn biết ai đã nói và trong thời gian
bao lâu, thì dữ liệu giao dịch là điểm trung gian cung cấp
cho bạn ý chính của cuộc trò chuyện.
3. Session data
❑Session data
81
• Các bản ghi này hiển thị yêu cầu GET của trình duyệt web
đối với root / u của web, tiếp theo là một yêu cầu cho
favicon.ico fle v và một yêu cầu thứ hai cho favicon.ico fle w.
Trình duyệt web phản hồi 200 OK cho yêu cầu GET gốc web
x và hai phản hồi 404 Not Found cho favicon.ico fle y. Đây
chỉ là loại thông tin mà nhà phân tích bảo mật cần để hiểu
được giao tiếp giữa trình duyệt web và máy chủ web. Nó
không chi tiết như full content data, nhưng không trừu tượng
như “session data” . Hãy nghĩ theo cách này: Nếu full
content data ghi lại mọi khía cạnh của cuộc gọi điện thoại và
“session data” chỉ cho bạn biết ai đã nói và trong thời gian
bao lâu, thì dữ liệu giao dịch là điểm trung gian cung cấp
cho bạn ý chính của cuộc trò chuyện.
4. Transaction data
❑Transaction data - tương tự như
“session data” nhưng tập trung vào các
“requests” và “replies” giữa các nút
mạng.
83
• Transaction data tương tự như “session data” , ngoại trừ
việc nó tập trung vào “requests” và “replies” được trao đổi
giữa hai thiết bị mạng
5. Statistical data
❑Statistical data – mô tả lưu lượng truy
cập ví dụ như về giao thức mạng,
thông lượng…
85
• Statistical data mô tả hành vi xuất phát từ các khía cạnh
khác nhau của một hoạt động. Ví dụ: chạy công cụ nguồn
mở Capinfos (được đóng gói với Wireshark) chống lại một
tổ chức chứa traffc mạng được lưu trữ sẽ cho kết quả được
hiển thị trong Liệt kê 1-7. Ví dụ cho thấy các khía cạnh
chính của traffc mạng được lưu trữ, chẳng hạn như số byte
trong dấu vết (kích thước file), lượng dữ liệu mạng thực tế
(kích thước dữ liệu), thời gian bắt đầu và kết thúc, v.v.
5. Statistical data
❑Statistical data
87
• Statistical data mô tả hành vi xuất phát từ các khía cạnh
khác nhau của một hoạt động. Ví dụ: chạy công cụ nguồn
mở Capinfos (được đóng gói với Wireshark) chống lại một
tổ chức chứa traffc mạng được lưu trữ sẽ cho kết quả được
hiển thị trong Liệt kê 1-7. Ví dụ cho thấy các khía cạnh
chính của traffc mạng được lưu trữ, chẳng hạn như số byte
trong dấu vết (kích thước file), lượng dữ liệu mạng thực tế
(kích thước dữ liệu), thời gian bắt đầu và kết thúc, v.v.
6. Meta data
❑Meta data – siêu dữ liệu
89
• Metadata-siêu dữ liệu là “dữ liệu về dữ liệu”. Để tạo
Metadata, chúng tôi trích xuất các yếu tố chính từ hoạt động
mạng, sau đó tận dụng một số công cụ bên ngoài để hiểu
nó. Ví dụ, chúng tôi đã thấy nhiều địa chỉ IP trong lưu lượng
truy cập cho đến nay. Ai sở hữu chúng? Sự hiện diện của
họ có cho thấy một vấn đề nào đó đối với chúng ta không?
Để trả lời những câu hỏi đó, chúng tôi có thể kiểm tra các
miền và địa chỉ IP cho lưu lượng truy cập và truy xuất siêu
dữ liệu, bắt đầu bằng truy vấn của cơ sở dữ liệu WHOIS về
thông tin IP
7. Alert/ Log Data
❑Alert/log data – cảnh báo, dữ liệu từ các
thiết bị như Firewall, AV, IDPS, NSM tool…
91
• Alert data(dữ liệu cảnh báo) xác định xem traffc có kích hoạt
cảnh báo trong công cụ NSM hay không. Hệ thống phát
hiện xâm nhập (IDS) là một nguồn Alert data

Một số vấn đề
1. Thiết kế Server/sensor như thế nào?

2. Thu thập dữ liệu như thế nào?
3. Thu thập dữ liệu ở đâu?
4. NTP?
94
Sensors và Server
❑ SIEM thường bao gồm server và sensor (agent)

- Sensor thực hiện thu tập dữ liệu
- Server tiếp nhận và xử lý
❑Đối với hệ thống đơn giản thì có thể chỉ cần 1 server và 1 sensor
❑Tuy nhiên đối với những hệ thống phức tạp có thể cần nhiều
sensor để thu thập dữ liệu với gửi tới 1 server tập trung
95
Sensors và Server
❑Thiết kế Server tập trung và nhiều sensor

- Một vài dữ liệu (vd IDS alert) gửi về server
- Các dữ liệu khác (vd full packet capture) thì lưu lại trên mỗi sensors
❑Security Onion
- Dữ liệu gửi về server: NIDS alerts, OSSEC alerts, Bro HTTP logs
- Dữ liệu lưu lại trên sensor: Pcaps, Bro logs, Argus data và raw OSSEC
logs
96

4. NTP?
97
Các mức thu thập dữ liệu
❑ Hub, SPAN ports, TAP để thu thập dữ liệu trung
chuyển
- Thông tin dữ liệu trao đổi trong mạng.
❑ Phương pháp đẩy và kéo để thu thập dữ liệu nghỉ
- Dữ liệu nhật ký, sự kiện trên host.
- Dữ liệu nhật ký, sự kiện trên các thiết bị mạng.
98
Phương pháp thu thập
❑Để tiến hành nghe lén lưu lượng truy cập yêu cầu thiết
bị hỗ trợ “promiscuous” mode
❑Ba phương pháp phổ biến được sử dụng: hubs,
span/mirror ports và taps
99
Hubs
Computer Computer
D E
Computer Computer
A B
Switc
h
Sniffe
r Hu
b
Computer
F
Serve
r
100
• Hub là phương pháp truyền thống nhất để chia sẻ truy cập
mạng, được pháp triển trước thập niên 90, vào những buổi
đầu của thế giới mạng. Hub hoạt động như sau: khi dữ liệu
được nhận ở bất kỳ cổng nào trên Hub thì ngay lập tức Hub
sẽ gửi tất cả các dữ liệu này đến tất cả các cổng còn lại. Vì
vậy, chúng ta có thể lắp Hub vào giữa server và switch để
có thể lấy được các thông tin cần thiết chuyển đến thiết bị
phân tích.
Hubs
❑Ưu điểm
• Giá thành thấp
• Dễ dàng sử dụng
❑Nhược điểm
• Hạn chế tốc độ truyền dữ liệu (Hubs hoạt động ở half duplex sẽ
làm giảm hiệu suất xuống 100 mbps)
• Dễ gây ra xung đột mạng, khi Hubs bị sự cố sẽ dẫn đến việc
kết nối bị ngắt
102
Mirror ports
Protocol Analyzer IDS/IPS
SPAN
ports
DEP D
DEP B
DEP C
DEP A
INET
DMZ
103
Mirror ports
❑Ưu điểm
• Tích hợp sẵn trên hầu hết các switch
• Chi phí tương đối rẻ (60$ - SOHO D-link 8 port gigabit)
• Có khả năng chuyển dữ liệu ở chế độ full duplex
104
Mirror ports
❑Nhược điểm
• Việc cấu hình SPAN port khá phức tạp
• Có thể xảy ra tình trạng mất gói khi cấu hình Mirror ports vì dữ liệu được
gửi đến cổng giám sát cao hơn so với khả năng của cổng
• Loại bỏ nhãn VLAN của gói tin, làm cho việc phân tích VLAN khó khăn
hơn
• Một số nhà sx chỉ cung cấp khả năng cấu hình cho một hoặc hai cổng
giám sát
• Gây quá tải cho switch, ảnh hưởng đến hoạt động của mạng
105
Network TAPs
106
Network TAPs
❑TAP là thiết bị dùng để sao chép dữ liệu giữa hai điểm
trên hệ thống mạng (router-firewall, switch-switch, host-
switch…)
❑Tất cả các gói tin được sao chép sẽ chuyển đến cổng
giám sát
❑Đây là giải pháp tiên tiến nhất, kết hợp các ưu điểm của
Hub và Mirror ports
107
Network TAPs
❑Ưu điểm:
• Có khả năng chuyển tiếp được các lỗi tầng vật lý
• Không cần phải cấu hình, dễ dàng kết nối
• Hỗ trợ tối đa khả năng sao chép dữ liệu ở tốc độ cao
• Độ trễ giữa các gói tin được giữ nguyên, hỗ trợ cho quá trình phân tích gói
• Không ảnh hưởng đến hiệu suất của switch
❑Nhược điểm:
• Kết nối bị ngắt khi thi công, lắp đặt
• Chi phí cao hơn so với Hubs và Mirroring port
108
Port Overload
❑Mirror ports và taps có thể bị quá tải
• Example: Gửi 7 100-megabit streams tới port 100-megabit == mất rất
nhiều dữ liệu
❑Tap buffers có thể làm giảm vấn đề này
• Tuy nhiên port quá tải trong thời gian dài sẽ dẫn đến việc tiêu tốn tap
buffer
• Luôn theo dõi việc sử dụng mirror ports và taps
109
Phương pháp đẩy (Push Method)
- Các sự kiện từ các thiết bị, máy trạm, máy chủ… sẽ được tự
động chuyển về các Collector theo thời gian thực hoặc sau mỗi
khoảng thời gian phụ thuộc vào việc cấu hình trên các thiết bị
tương ứng.
- Collector của Log Server sẽ thực hiện việc nghe và nhận các
sự kiện khi chúng xảy ra.
110
Phương pháp kéo (Pull Method)
- Các sự kiện được phát sinh và lưu trữ trên chính các thiết bị sẽ
được lấy về bởi các bộ Collector.
111

4. NTP?
112
Umbrella Sensor
❑DMZ
❑Internal
• Umbrella
• Focused
❑External
• These tend to be used for attack awareness
113
Sensor Placement
DM Internal
Z Servers
2 1
3
Interne
t 6
5
Sensitive 4 Internal
Internal Client
114

4. NTP?
115
NTP
❑Các thiết bị giám sát cũng như hệ thống giám sát phải được
đồng bộ với một đồng hồ thời gian tin cậy.
– Máy chủ NTP (Network Time Protocol) được sử dụng cho mục
đích này.
– Tổ chức có thể tự xây dựng 1 NTP cục bộ hoặc sử dụng các
máy chủ NTP miễn phí trên mạng internet.
116
Honeypot - Honeynet
▪ Malware collector
▪ SSH Honeypots
▪ IoT Honeypots
▪ Honeytokens
▪ T-pot
117

Kỹ thuật phát hiện xâm nhập
❑Phát hiện xâm nhập: là một chức năng của phần mềm thực
hiện phân tích các dữ liệu thu thập được để tạo ra dữ liệu cảnh
báo.
❑Cơ chế phát hiện xâm nhập gồm 2 loại chính:
– Dựa trên dấu hiệu
– Dựa trên bất thường
119
❑ Cơ chế phát hiện dựa trên dấu hiệu
– Là hình thức lâu đời nhất của phát hiện xâm nhập
– Bằng cách duyệt qua dữ liệu để tìm các ra các kết quả khớp với các mẫu
đã biết.
– Ví dụ: một địa chỉ IP hoặc một chuỗi văn bản, hoặc số lượng byte null…
– Các mẫu được chia thành các mẩu nhỏ độc lập với nền tảng hoạt động
(dấu hiệu của tấn công)
– Mẫu được mô tả bằng ngôn ngữ cụ thể trong nền tảng của một cơ chế
phát hiện xâm nhập, chúng trở thành dấu hiệu
– Có hai cơ chế phát hiện dựa trên dấu hiệu phổ biến là Snort và Suricata
120
❑Phát hiện dựa trên danh tiếng
– Là một tập con của phát hiện dựa trên dấu hiệu
– Phát hiện thông tin liên lạc giữa các máy tính được bảo vệ trong mạng
và các máy tính trên Internet có thể bị nhiễm độc do đã từng tham
gia vào các hành động độc hại trước đó
– Kết quả phát hiện dựa trên các dấu hiệu đơn giản như địa chỉ IP hoặc
tên miền
121
Common Public Reputation Lists
– http://www.malwaredomainlist.com/
– http://www.phishtank.com/
– Tor Exit Node http://torstatus.blutmagie.de/
– Spamhaus http://www.spamhaus.org/drop/
– AlientVault Labs IP Reputation Database:
http://labs.alienvault.com/labs/index.php/projects/open-source-ip-reputati
on-portal/
– MalC0de Database: http://malc0de.com/database/
– SRI Malware Threat Center
http://www.mtc.sri.com/live_data/attackers/
– Project Honeypot: https://www.projecthoneypot.org/list_of_ips.php
– Emerging Threats Rules:
http://www.emergingthreats.net/open-source/etopen-ruleset/ 122
❑Phát hiện dựa trên bất thường
– Dựa vào quan sát sự cố mạng và nhận biết lưu lượng bất thường
thông qua các chẩn đoán và thống kê.
– Có khả năng nhận ra các mẫu tấn công khác biệt với hành vi mạng
thông thường.
– Đây là cơ chế phát hiện rất tốt nhưng khó thực hiện.
– Phổ biến với công cụ Bro. Bro là một cơ chế phát hiện bất thường, và
thực hiện phát hiện bất thường dựa trên thống kê.
123
❑Phát hiện dựa trên honeypot
– Là tập con mới được phát triển của phát hiện dựa trên bất
thường.
– Honeypot đã được sử dụng trong nhiều năm để thu thập phần
mềm độc hại và các mẫu tấn công cho mục đích nghiên cứu.
– Honeypot có thể được ứng dụng tốt trong phát hiện xâm nhập
bằng cách cấu hình hệ thống.
– Được cấu hình cho việc ghi lại dữ liệu, và thường được kết hợp
với các loại khác của NIDS hoặc HIDS.
124
Dấu hiệu xâm nhập - IoC
– Indicators of Compromise – IoC: là những thông tin được sử dụng để mô tả
khách quan một xâm nhập mạng, độc lập về nền tảng.
– Ví dụ: địa chỉ IP của máy chủ C&C, hay tập các hành vi cho thấy email server là
SMTP relay độc hại.
– Được trình bày theo nhiều cách thức và định dạng khác nhau để có thể được sử
dụng bởi các cơ chế phát hiện khác nhau.
– Nếu được sử dụng trong một ngôn ngữ hoặc định dạng cụ thể => trở thành một
phần của một dấu hiệu.
– Một dấu hiệu có thể chứa một hoặc nhiều IOC.
125
Dấu hiệu xâm nhập – IOC
❑IOC cho mạng:
– Là một mẫu thông tin có thể được bắt trên kết nối mạng giữa các máy chủ, mô
tả khách quan một xâm nhập.
– Ví dụ: địa chỉ IPv4, địa chỉ IPv6, tên miền, chuỗi văn bản, giao thức truyền
thông,…
❑IOC cho máy tính
– Là một mẫu thông tin được tìm thấy trên một máy tính, mô tả khách quan một
xâm nhập.
– Ví dụ: tài khoản người dùng, đường dẫn thư mục, tên tiến
trình, tên tệp tin, khóa đăng ký (registry), …
126
Static Indicators
❑ Là những IOC mà giá trị được định nghĩa một cách rõ ràng.
❑ Có ba biến thể của IOC tĩnh: đơn vị, tính toán và hành vi.
127
IOC example
❑ Người dùng nhận được một e-mail từ chris@appliednsm.com với chủ đề "Thông tin
tiền lương" và một tệp PDF đính kèm là "Payroll.pdf". Tệp PDF có một giá trị băm
MD5 là e0b359e171288512501f4c18ee64a6bd .
❑Người dùng mở tệp PDF, kích hoạt việc tải một tệp tin gọi là kernel32.dll với MD5 là
da7140584983eccde51ab82404ba40db. Tệp tin được tải về từ
http://www.appliednsm.com/kernel32.dll
❑ Tệp tin được dùng để ghi đè lên C:/Windows/System32/kernel32.dll.
❑ Mã trong DLL được thực thi, và một kết nối SSH được thiết lập tới một máy chủ có
địa chỉ IP là 192.0.2.75 trên cổng 9966.
❑ Khi kết nối này được thiết lập, phần mềm độc hại tìm kiếm mọi tệp DOC, DOCX,
hoặc PDF từ máy chủ và truyền nó qua kết nối SSH đến máy chủ nguy hiểm.
128
IOC example
❑Phân tích các dấu hiệu thành các phần nhỏ có ích hơn, như các IOC hành vi (B) như
sau:
– B-1: Người dùng nhận được một e-mail từ chris@appliednsm.com với chủ đề "Thông tin
tiền lương" và một tệp PDF đính kèm là "Payroll.pdf", có một giá
trị băm MD5 là e0b359e171288512501f4c18ee64a6bd.
– B-2: Tệp tin kernel32.dll với hàm băm MD5
da7140584983eccde51ab82404ba40db được tải về từ
http://www.appliednsm.com/kernel32.dll.
– B-3: Tệp tin C:/Windows/System32/Kernel32.dll bị ghi đè bởi một tệp tin độc hại cùng
tên với giá trị hàm băm MD5
da7140584983eccde51ab82404ba40db.
– B-4: Máy tính nạn nhân cố gắng kết nối qua SSH tới máy tính nguy hiểm bên ngoài
192.0.2.75 trên cổng 9966.
– B-5: Các tệp tin DOC, DOCX, và PDF được truyền tới 192.0.2.75 trên cổng 9966 thông
qua một kết nối được mã hóa.
129
IOC example
❑ Tiếp tục phân tích IOC hành vi thành các IOC đơn vị (A) và IOC được tính toán (C):
▪ C-1: MD5 Hash e0b359e171288512501f4c18ee64a6bd
▪ C-2: MD5 Hash da7140584983eccde51ab82404ba40db
▪ A-1: Tên miền nguy hiểm: appliednsm.com
▪ A-2: Địa chỉ e-mail địa chỉ: chris@appliednsm.com
▪ A-3: Tiêu đề thư: "Thông tin tiền lương“
▪ A-4: Tên file: Payroll.pdf
▪ A-5: Tên file: Kernel32.dll
▪ A-6: IP nguy hiểm 192.0.2.75
▪ A-7: Cổng 9966
▪ A-8: Giao thức SSH
▪ A-9: Kiểu file DOC, DOCX, PDF
▪ A-10:Tên file Kernel32.dll
130
IOC example
❑ IOC được chuyển đổi thành các dấu hiệu để sử dụng trong một loạt
các cơ chế phát hiện:
❑ C-1/2: Chữ ký chống vi-rút để phát hiện sự tồn tại của giá trị băm
❑ A-1: Chữ ký Snort/Suricata để phát hiện kết nối với tên miền nguy
hiểm
❑ A-2: Chữ ký Snort/Suricata để phát hiện thư nhận được từ địa chỉ e-
mail nguy hiểm
❑ A-3: Chữ ký Snort/Suricata để phát hiện dòng chủ đề
❑ A-3: Bro script để phát hiện dòng chủ đề
131
IOC example
❑ IOC được chuyển đổi thành các dấu hiệu để sử dụng trong một loạt các cơ
chế phát hiện:
▪ A-4/C-1: Bro script để phát hiện tên tệp tin hay giá trị băm MD5 được
truyền trên mạng
▪ A-5/C-2: Bro script để dò tìm tệp tin có tên là Kernel32.dll hoặc tệp tin với
giá trị băm MD5 truyền qua mạng
▪ A-6: Chữ ký Snort/Suricata để phát hiện thông tin liên lạc với địa chỉ IP
▪ A-7/A-8: Chữ ký Snort/Suricata để phát hiện thông tin liên lạc SSH đến cổng
9966
▪ A-10: Luật HIDS để phát hiện những thay đổi của Kernel32.dll
132
IOC example
❑ IOC được chuyển đổi thành các dấu hiệu để sử dụng trong một loạt các cơ
chế phát hiện:
▪ A-4/C-1: Bro script để phát hiện tên tệp tin hay giá trị băm MD5 được
truyền trên mạng
▪ A-5/C-2: Bro script để dò tìm tệp tin có tên là Kernel32.dll hoặc tệp tin với
giá trị băm MD5 truyền qua mạng
▪ A-6: Chữ ký Snort/Suricata để phát hiện thông tin liên lạc với địa chỉ IP
▪ A-7/A-8: Chữ ký Snort/Suricata để phát hiện thông tin liên lạc SSH đến cổng
9966
▪ A-10: Luật HIDS để phát hiện những thay đổi của Kernel32.dll
133
Variable Indicators
❑Cần phải coi IOC là các biến, trong đó có những dấu hiệu
chưa biết giá trị => để tổng quát hóa cuộc tấn công
❑Biến IOC hữu ích trong các giải pháp phát hiện bất thường
như Bro
134
Variable Indicators
❑ Kịch bản tấn công lý thuyết:
• 1.Người dùng nhận được một e-mail với một tệp tin đính kèm độc hại.
• 2.Người dùng mở tệp tin đính kèm, kích hoạt việc tải tệp tin từ một tên
miền độc hại.
• 3.Tệp tin được dùng để ghi đè lên một tệp tin hệ thống với phiên bản
mã độc của tệp tin đó.
• 4.Mã trong các tệp tin độc hại thực thi, gây ra một kết nối mã hóa đến
một máy chủ độc hại.
• 5.Sau khi kết nối được thiết lập, một số lượng lớn dữ liệu sẽ bị rò rỉ từ hệ
thống.
135
Variable Indicators
❑ Một số IOC hành vi:
▪ VB-1: Một người dùng nhận được một e-mail với một tệp tin đính kèm độc hại.
▪ VA-1: Địa chỉ e-mail
▪ VA-2: Tiêu đề e-mail
▪ VA-3: Tên miền nguồn của e-mail độc hại
▪ VA-4: Địa chỉ IP nguồn của e-mail
▪ VA-5: Tên tệp tin đính kèm độc hại
▪ VC-1: Tệp tin đính kèm độc hại với giá trị băm MD5
▪ VB-2: Người dùng mở tệp tin đính kèm, kích hoạt việc tải một tệp tin từ một tên
miền độc hại.
▪ VA-6: Tên miền/IP chuyển hướng độc hại
▪ VA-7: Tên tệp tin độc hại đã tải
136
Variable Indicators
❑ Một số IOC hành vi:
▪ VC-2: Giá trị băm MD5 của tệp tin độc hại đã tải
▪ VB-3: Tệp tin được sử dụng để ghi đè lên một tệp tin hệ thống với phiên
bản mã độc của tệp tin đó.
▪ VB-4: Thực thi mã trong tệp tin độc hại, tạo ra một kết nối mã hóa đến
một máynchủ độc hại trên một cổng không chuẩn.
▪ VA-8: Địa chỉ IP C2 ngoài
▪ VA-9: Cổng C2 ngoài
▪ VA-10: Giao thức C2 ngoài
▪ VB-5: Sau khi kết nối được thiết lập, một số lượng lớn các dữ liệu đã bị rò
rỉ từ hệ thống.
137
Variable Indicators
❑ Kết hợp các IOC đơn vị, tính toán và hành vi để tạo
thành dấu hiệu:
• VB-1 (VA-3/VA-4) VB-2 (VA-6) VB-4 (VA-8) VB-5 (VA-8): Luật
Snort/Suricata để phát hiện các liên lạc với danh tiếng xấu theo địa chỉ IP
và tên miền.
• VB-1 (VA-5/VC-1) VB-2 (VA-7/VC-2): Bro script để kéo các tệp tin từ
đường truyền và so sánh tên của chúng và các giá trị băm MD5 với một
danh sách các tên tệp tin danh tiếng xấu được biết đến và các giá trị băm
MD5.
• VB-1 (VA-5/VC-1) VB-2 (VA-7/VC-2): Bro script để lấy các tệp tin từ
đường truyền và đặt chúng vào trong thử nghiệm phân tích phần mềm độc
hại sơ bộ.
138
Variable Indicators
❑Kết hợp các IOC đơn vị, tính toán và hành vi để tạo
thành chữ ký:
• VB-2 (VA-6/VA-7/VC-2): chữ ký HIDS để phát hiện các trình duyệt đang được
gọi từ một tài liệu.
• VB-3: chữ ký HIDS để phát hiện một tệp tin hệ thống đang bị ghi đè
• VB-4 (VA-9/VA-10) VB-5: Bro script để phát hiện mã hóa lưu lượng đang xảy ra
trên một cổng không chuẩn
• VB-4 (VA-9/VA-10) VB-5: một luật Snort/Suricata để phát hiện mã hóa lưu
lượng đang xảy ra trên một cổng không chuẩn
• VB-5: script tự viết sử dụng thống kê dữ liệu phiên để phát hiện khối lượng lớn
lưu lượng gửi đi từ máy trạm
139
Quản lý IoCs và dấu hiệu
❑Số lượng IoCs và dấu hiệu được quản lý bởi 1 tổ chức có thể
phát triển nhanh chóng
– Ví dụ: sử dụng Snort để phát hiện và ghi nhật ký các truy cập vào một tên
miền
độc hại (IOC đơn vị), thì sau đó các IOC sẽ được lưu thành dấu hiệu Snort,
được truy cập trực tiếp bởi Snort
– Điều đó làm ngăn cản sự chia sẻ hoặc chuyển đổi IoCs sang dấu hiệu được
thiết kế cho cơ chế phát hiện khác
❑Cần phải có chiến lược lưu trữ, truy cập, quản lý và chia sẻ
chúng
140
Indicator/Signature List
142
Indicator and Signature Framework
❑OpenIOC
– Dự án của Mandiant dùng để mô tả các đặc điểm kỹ thuật xác định các
hoạt động tấn công và được viết bằng XML
– Có thể làm việc với định dạng này bằng công cụ OpenIOC Editor miễn
phí của Mandiant
143
IOC metadata
144
Indicator and Signature Framework
❑STIX (Structured Threat Information eXpression)
– Được phát triển mởi MITRE cho US Department of Homeland Security
để chuẩn hóa thông tin TI
– Thường được sử dụng cho quân đội và chính phủ
– Có thể tìm hiểu thêm tại http://stix.mitre.org
145
THU THẬP & PHÂN TÍCH
THÔNG TIN ANM
BÀI 3:
KỸ THUẬT PHÂN TÍCH THÔNG TIN
ANM
PHAN TAN TOAN

1 Phân tích giao thức
2 Phân tích luồng dữ liệu
3 Phân tích WLAN

3 Phân tích WLAN

Giáo trình và Tài liệu tham khảo
1. Network Forensics: Tracking Hackers through Cyberspace (Chapter 4, 5, 6)
2. Practical Packet Analysis: Using Wireshark to Solve Real-World Network Problems
3. Wireshark 101: Essential Skills for Network Analysis (2nd Edition)
150
Phân tích giao thức
❖ Mục đích:
❑ Thực hiện kiểm tra một hoặc nhiều trường thông
tin trong một giao thức.
❑ Phân tích giao thức giúp chúng ta hiểu rõ được
nội dung các gói tin hay các luồng dữ liệu:
⮚ Ai đang sử dụng băng thông.
⮚ Xác định các hành vi tấn công, phá hoại.
⮚ Chỉ ra các ứng dụng không được bảo mật.
151
Phân tích giao thức
❖ Các bước phân tích

1. Nhận dạng giao thức
2. Giải mã nội dung giao thức
3. Trích xuất nội dung trong giao thức
152
Nhận dạng giao thức
▪ Dựa trên các header của gói tin

▪ Dựa trên các cổng TCP/UDP gắn liền với
các giao thức, dịch vụ quy chuẩn.
▪ Dựa trên việc phân tích nội dung gói tin
▪ Dựa trên việc phân tích thông tin địa chỉ
nguồn, địa chỉ đích.
153
❑ Ethernet Frame
154
❖MAC Header
❑Ethernet type:
0x0800 – IPv4
0x0806 (ARP)
155
Example: IPv4 Header
d0 d0 fd c4 09 94 00 08 74 2d 2f 94 08 00
45 00 00 34 7e cf 40 00 40 06 b4 fc c0 a8
1e 1e 0a 1e 1e 14 02 02 84 36 85 68 76 e4
2c 7d 16 73 80 10 07 d3 cb 34 00 00 01 01
08 0a 1b af ee af 1e 64 ae 84
• Destination MAC: d0 d0 fd c4 09 94
• Source: 00 08 74 2d 2f 94
• Ethernet Type: 0x0800 (IPv4) 156
• IPv4 Header
157
• IPv4 Header: Protocol number
158
Example: IPv4 Header
d0 d0 fd c4 09 94 00 08 74 2d 2f 94 08 00 45 00
00 34 7e cf 40 00 40 06 b4 fc c0 a8 1e 1e 0a
1e 1e 14 02 02 84 36 85 68 76 e4 2c 7d 16 73 80
10 07 d3 cb 34 00 00 01 01 08 0a 1b af ee af 1e 64
ae 84
• IP version (4 bit): 4
• Header length (4 bit): 5*4=20B
• Protocol: 06 (TCP)
• Source: c0 a8 1e 1e (192.168.32.32)
• Destination: 0a 1e 1e 14 (10.30.30.20) 159
• TCP Header
160
Example: TCP Header
d0 d0 fd c4 09 94 00 08 74 2d 2f 94 08 00 45 00 00 34 7e cf
40 00 40 06 b4 fc c0 a8 1e 1e 0a 1e 1e 14 02 02 84 36 85 68
76 e4 2c 7d 16 73 80 10 07 d3 cb 34 00 00 01 01 08 0a 1b af
ee af 1e 64 ae 84
• Source port: 02 02 (514)

• Des port : 84 36 (33846)
• Header length: 8*4=32 byte
• Code bit (6 bit): 10 (ACK)
161
Example 1
00 21 70 4d 4f ae d0 d0 fd c4 09 94 08 00 45 00
02 dc 7e b2 40 00 34 06 3f 89 d1 6b d5 60 c0 a8
1e 6c 00 50 06 93 ab 78 fa 79 a2 a0 ed ef 50 18
1a 10 fc c5 00 00 48 54 54 50 2f 31 2e 31 20 33
30 32 20 4d 6f 76 65 64 20 54 65 6d 70 6f 72 61
72 69 6c 79 0d 0a 43 6f 6e 74 65 6e 74 2d 4c 65
6e 67 74 68 3a 20 30 0d 0a 4c 6f 63 61 74 69 6f
- Source, Destination MAC? Ethernet type?
- Source, Destination IP? IP header length? TTL?
- Source, Destination Port? TCP header length?
162
Example 1
00 21 70 4d 4f ae d0 d0 fd c4 09 94 08 00 45 00 02 dc
7e b2 40 00 34 06 3f 89 d1 6b d5 60 c0 a8 1e 6c 00 50
06 93 ab 78 fa 79 a2 a0 ed ef 50 18 1a 10 fc c5 00 00
48 54 54 50 2f 31 2e 31 20 33 30 32 20 4d 6f 76 65 64
20 54 65 6d 70 6f 72 61 72 69 6c 79 0d 0a 43 6f 6e 74
65 6e 74 2d 4c 65 6e 67 74 68 3a 20 30 0d 0a 4c 6f 63
61 74 69 6f
-Source, Destination MAC? Ethernet type?
d0 d0 fd c4 09 94 , 00 21 70 4d 4f ae, 0x8000 (IPv4)
-Source, Destination IP? IP header length? TTL?
d1 6b d5 60 (209.107.213.96), c0 a8 1e 6c
(192.168.30.108), 0x5 (20 byte), 0x34=52
-Source, Destination Port? TCP header length?
00 50 (80), 06 93 (1683), 0x5 (20 byte) 163
Example 1
164
Example 2
00 0c 29 63 c9 a8 00 0c 29 38 63 95 08 06 00
01 08 00 06 04 00 02 00 0c 29 38 63 95 c0 a8
01 0a 00 0c 29 63 c9 a8 c0 a8 01 1e
▪ Source, Destination MAC? Ethernet type?
▪ Source, Destination IP? IP header length?
TTL
▪ Source, Destination Port? TCP header
length?
165
Example 2
00 0c 29 63 c9 a8 00 0c 29 38 63 95 08 06 00 01
08 00 06 04 00 02 00 0c 29 38 63 95 c0 a8 01 0a
00 0c 29 63 c9 a8 c0 a8 01 1e
▪ Source, Destination MAC? Ethernet type?

00 0c 29 38 63 95
00 0c 29 63 c9 a8
08 06 (ARP)
▪ Source, Destination IP?
▪ IP header length? TTL
▪ Source, Destination Port?
▪ TCP header length?
166
❖ Dựa trên thông tin nhận dạng trong giao

thức đóng gói
▪ Các giao thức thường chứa thông tin
cho biết loại giao thức được đóng gói.
▪ Mô hình OSI, các trường giao thức lớp
thấp thường chỉ ra giao thức lớp cao
hơn có thể được đóng gói, nhằm tạo
điều kiện thuận lợi cho việc xử lý.
167
0x4500 – IPv4
0x06 - TCP 168
0x60000000 –IPv6
169
❖ Dựa trên các cổng TCP/UDP gắn liền với

các giao thức, dịch vụ quy chuẩn.
▪ HTTP (80)
▪ HTTPS (443)
▪ FTP (20,21)
▪ SSH (22)
▪ NTP (123)
170
NTP:123
171
Wireshark chưa thể giải mã chi tiết phần SSL

172
Giải mã nội dung giao thức
▪ Là kỹ thuật thông dịch các dữ liệu trong
gói tin theo một cấu trúc đặc tả.
▪ Để giải mã lưu lượng mạng theo một đặc
tả giao thức:
• Sử dụng bộ giải mã tự động tích hợp sẵn
trong công cụ.
• Tham khảo các tài liệu được công bố công
khai và tự giải mã.
• Viết bộ giải mã riêng.
173
Wireshark giải mã gói tin

174

175

176

177
Trích xuất nội dung giao thức
178
Phân tích chi tiết nội dung gói tin
❑ Kiểm tra nội dung hoặc metadata trong

một hoặc nhiều gói tin.
❑ Các kỹ thuật cơ bản được sử dụng:
⮚ Khớp mẫu (pattern matching).
⮚ Trích xuất các trường giao thức
⮚ Lọc gói tin (packet filtering).
179
Khớp mẫu
❑ Xác định các gói tin cần quan tâm bằng
cách tìm kiếm các giá trị thích hợp.
180
Trích xuất các trường dữ liệu
❑ Trích xuất nội dung các trường của giao

thức bên trong tập các gói tin quan tâm.
181
Lọc chọn gói tin
❑ Thực hiện việc tách gói tin dựa trên giá trị
của các trường trong giao thức.
⮚ip.src==10.0.57.175
⮚tcp.port==80 || tcp.port==3389
182
Example
Seems like someone intercepted and altered the frames. Can you
patch it?
>>Ingress>>
0x0000: 35 02 d2 d2 d2 d2 64 c4 14 74 02 94 08 00 45 00
0x0010: 00 3c a6 65 40 00 3e 06 75 a5 45 75 14 25 e3 02
0x0020: e4 14 dd c4 1f 90 00 00 00 00 00 00 00 00 a0 02
0x0030: 38 90 c7 d0 00 00 02 04 05 b4 04 02 08 0a e4 14
0x0040: 45 84 00 00 00 00 01 03 03 07
<<Egress<<
0x0000: ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? 08 00 45 00
0x0010: 00 3c 00 00 40 00 3e 06 1c 0b ?? ?? ?? ?? ?? ??
0x0020: ?? ?? 1f 90 dd c4 00 00 00 00 00 00 00 01 a0 ??
0x0030: 38 90 18 79 00 00 02 04 05 b4 04 02 08 0a 53 e3
0x0040: 8e e8 e4 14 45 84 01 03 03 07
183
3 Phân tích WLAN

Luồng dữ liệu
❑ Luồng dữ liệu (RFC3679) là một chuỗi các
gói tin được gửi từ một nguồn cụ thể tới
một đích hoặc nhiều đích, trong đó nguồn
gán nhãn cho chuỗi các gói tin này là một
luồng riêng.
185
Kỹ thuật phân tích luồng dữ liệu
❑ Một số dấu hiệu cần chú ý:

⮚Địa chỉ IP nguồn, đích.
⮚Cổng.
⮚Giao thức và cờ hiệu.
⮚Hướng luồng dữ liệu.
⮚Khối lượng dữ liệu được truyền
186
❑ Quan hệ giữa các địa chỉ:

⮚Một - Nhiều.
⮚Nhiều – Một.
⮚Nhiều – Nhiều.
⮚Một – Một.
187
❑ Quan hệ Một – Nhiều:

⮚Máy chủ Web, máy chủ Mail, DB.
⮚Spam.
⮚Scan port.
188
❑ Quan hệ Nhiều – Một:

⮚DDoS.
⮚Máy chủ Syslog.
⮚Máy chủ cơ sở dữ liệu.
189
❑ Quan hệ Nhiều – Nhiều:

⮚Chia sẻ dữ liệu ngang hàng .
⮚Phát tán virus.
⮚Đồng bộ dữ liệu.
190
❑ Quan hệ Một – Một:

⮚Tấn công có mục tiêu.
⮚Truyền tin bình thường.
191
❑ Phân tích luồng dữ liệu thực hiện việc thanh
tra một chuỗi các gói tin có liên quan đến
nhau nhằm xác định các hành vi nghi ngờ,
trích xuất dữ liệu hay phân tích các giao
thức trong luồng.
192
Wireshark-Follow TCP Stream
193
1. Liệt kê luồng.
2. Trích xuất luồng.
3. Trích xuất dữ liệu từ luồng.
194
1. Liệt kê các cuộc hội thoại và luồng — Liệt kê tất cả các
cuộc hội thoại và / hoặc luồng trong một packet
capture, hoặc chỉ các luồng cụ thể dựa trên đặc điểm của
chúng.
• 2. Xuất một luồng — Cô lập một luồng hoặc nhiều luồng và
lưu trữ (các) luồng quan tâm đến đĩa để phân tích thêm.
• 3. Khắc tệp và dữ liệu — Trích xuất tệp hoặc dữ liệu quan
tâm khác từ tệp được tập hợp lại lưu lượng.
Liệt kê luồng
.❑ Liệt kê luồng sử dụng Tshark
196
Liệt kê luồng
❑ Liệt kê luồng sử dụng Wireshark
.
197
Trích xuất luồng
198
Trích xuất luồng
199
Trích xuất dữ liệu
• 4 bytes đầu trong luồng là OFT2 đánh dấu bắt đầu của OFT
header. Bytes 6-7 là 0x0101 cho biết người gửi sẵn sàng gửi
dữ liệu . 200
• Bytes 28-31 thể hiện “Total Size” của file được gửi.
Trong trường hợp này “Total Size” là 0x00002EE8
(12008 bytes).
201
• Tại Bytes 256 chúng ta thấy OFT header thứ 2 với “type” là
0x0202 thể hiện người nhận sẵn sàng nhận dữ liệu
202
• Dấu hiện nhận biết .docx file được truyền đi có dạng

0x504b030414000600
203
• File .docx kết thúc tại 0x30E8 với 4 bytes null

(0x00000000). Theo sau đó là OFT2 “Done” header
(Type 0x0204)
204
• ‘
• Size’ 0x2EE8 trong OFT2 “Done” header (Type 0x0204) cho
biết số lượng dữ liệu đã được truyền. Con số này trùng khớp
với Total Size của file được gửi. Điều này có nghĩa là file được
truyền hoàn tất. 205
3 Phân tích WLAN

Phân tích WLAN
❑ WLAN là một hệ thống các thiết bị có khả năng
giao tiếp với nhau thông qua sóng vô tuyến.
❑ WLAN sử dụng chuẩn 802.11 IEEE.
207
Quá trình kết nối
208
Phân tích WLAN
❑ Client tìm kiếm SSID chứa trong các khung Beacon
⮚ SSID được sử dụng như tên mạng, là chuỗi ký tự số và
chữ cái, phân biệt chữ hoa và chữ thường, có chiều dài từ
2-32 ký tự.
⮚ Beacon được gửi từ AP đến các trạm Client (trong mạng
Infrastructure) hoặc từ trạm tới trạm (trong mạng Ad-
hoc) để tổ chức và đồng bộ các truyền thông trong mạng
WLAN.
• Đồng bộ thời gian
• Beacon interval
• Thông tin SSID
• Tốc độ hỗ trợ… 209
Quá trình kết nối
❑ Có 3 tiến trình xảy ra:
⮚ Tiến trình thăm dò (Probe)
⮚ Tiến trình xác thực (Authentication)
⮚ Tiến trình kết nối (Association)
210
Thăm dò bị động
❑ Quét bị động (Passive Scanning):
Beacon
s Clien
t
211
Thăm dò chủ động
SSID
SSID
SSID 3Probe
2 e
1 Res po ns
Probe Clien
Request t
212
Tiến trình xác thực
❑ Client bắt đầu gởi một khung Authentication
Request đến AP.
❑ AP sẽ chấp nhận hay từ chối yêu cầu này và
sau đó báo cho máy trạm biết bằng cách gửi
một khung Authentication Response.
❑ Tiến trình xác thực có thể thực hiện tại AP
hay AP có thể chuyển trách nhiệm này sang
tại một máy chủ xác thực khác (RADIUS
server).
213
Tiến trình kết nối
❑ Sau khi xác thực Client sẽ gửi một khung
Association Request đến AP và AP sẽ trả lời
bằng khung Association Response trong đó
cho phép hoặc không cho phép kết nối.
❑ Toàn bộ tiến trình xác thực và kết nối gồm 3
trạng thái khác nhau:
⮚ Chưa xác thực và chưa kết nối
⮚ Đã xác thực và chưa kết nối
⮚ Đã xác thực và đã kết nối 214
Một số giao thức xác thực
❑ IEEE 802.1x và EAP(Extensible Authentication Protocol)
Supplicant Authenticator Radius Server
EAP-Start
1
Port closed
EAP-Request/Identify
2
EAP-Response/Identify Radius-Access-Request
3
EAP-Request Radius-Access-Challenge
4
EAP-Response Radius-Access-Request
5
Radius-Access-Accept
6
EAP-Success Port open
EAPoL EAP RADIUS 215

Tập dịch vụ
❑ BSS (Basic Service Set)
❑ ESS (Extended Service Set)
❑ IBSS (Independent BSS - Adhoc)
216
Tập dịch vụ
❑ BSS (Basic Service Set)
Access
Point
rk
Wired Clien
Netwo t
Clien
t
Clien
t
217
Tập dịch vụ
❑ ESS (Extended Service Set)
Wired
Network
218
Tập dịch vụ
❑ IBSS (Independent BSS - Adhoc)
219
Bảo mật trong WLAN
❑ WEP (Wired Equivalent Privacy-RC4)
❑ WPA (Wifi Protected Access-TKIP)
❑ WPA2 (version 2- AES)
220
802.11 Frame
221
802.11 Frame
222
MAC header - Beacon Frame
223
MAC header - Beacon Frame
224
Định dạng khung
❑Tương tự mạng Ethernet, khi các client tham gia
vào mạng nó sẽ giao tiếp với các thiết bị khác bằng
cách gửi các khung (frame) ở lớp 2
❑WLAN phân loại khung dựa trên chức năng tổng
quát.
❑Có 3 dạng khung trong WLAN:
⮚ Khung quản lý (Management Frame – Type 0)
⮚ Khung điều khiển (Control Frame – Type 1)
⮚ Khung dữ liệu (Data Frame – Type 2)

225
Khung quản lý
❑ Management Frames dùng để truyền thông
trong WLAN, giữ kết nối các trạm tới AP…
– 0x0- Association request frame
– 0x1- Association response frame
– 0x2- Reassociation request frame
– 0x3- Reassociation response frame
– 0x4- Probe request frame
– 0x5- Probe response frame
– 0x8- Beacon frame
– 0x9- ATIM frame
– 0xA- Disassociation frame
– 0xB- Authentication frame
– 0xC- Deauthentication frame 226
Khung Beacon
227
Khung điều khiển
❑ Control Frames được sử dụng để điều khiển
luồng lưu lượng trong mạng không dây.
– 0x1B - Request to send (RTS)
– 0x1C - Clear to send (CTS)
– 0x1D - Acknowledgement (ACK)
228
Khung điều khiển
229
Khung dữ liệu
❑ Data frame được sử dụng để truyền tải dữ
liệu trong mạng không dây.
– 0x0 - Data
– 0x4 – Null Data
230
Khung dữ liệu
231
MAC Header
234
MAC Header
235
https://en.wikipedia.org/wiki/EtherType
Protocol Header
236
Protocol Header
237
Protocol Header
238
https://en.wikipedia.org/wiki/List_of_IP_protocol_numbers

Slide Thu Thập Và Phân Tích Thông Tin ANM

Uploaded by

Document Information

Original Description:

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Slide Thu Thập Và Phân Tích Thông Tin ANM

Uploaded by

Copyright:

Available Formats

Network Security Monitoring:

Collection, Detection, and Analysis

Cyber-security events of the 2010s

A decade of hacking (cyber-security events of the 2010s)

A decade of hacking (cyber-security events of the 2010s)

A decade of hacking (cyber-security events of the 2010s)

A decade of hacking (cyber-security events of the 2010s)

Advanced Persistent Threat (APT)

Advanced Persistent Threat (APT)

Advanced Persistent Threat (APT)

Network Security Monitoring (NSM)

Computer Network Defense (CND)

Anti-virus, Firewall and IDS

Intrusion Detection System (IDS)

Network Security Monitoring (NSM)

Network Security Monitoring (NSM)

Network Security Monitoring (NSM)

NSM DATA TYPES

NSM vs. CSM (Continuous Security Monitoring)

OSI TCP/IP TCP/IP Suite Protocols

TCP & UDP Header (layer 4)

Three-Way Handshake Window size

TCP & UDP Port

Collision domain & Broadcast domain

Collision domain Broadcast domain

Cyber Kill Chain

▪ Client-side attacks occur when a user downloads malicious content

• Service-side attacks are initiated by the attacker

NSM Toolbox: Wireshark and Tshark

NSM Toolbox: Wireshark and Tshark

PHAN TAN TOAN

2 Dữ liệu thu thập

3 Phương pháp thu thập

4 Phát hiện xâm nhập

2 Dữ liệu thu thập

3 Phương pháp thu thập

4 Phát hiện xâm nhập

2 Dữ liệu thu thập

3 Phương pháp thu thập

4 Phát hiện xâm nhập

2 Dữ liệu thu thập

3 Phương pháp thu thập

4 Phát hiện xâm nhập

1. Thiết kế Server/sensor như thế nào?

❑ SIEM thường bao gồm server và sensor (agent)

❑Thiết kế Server tập trung và nhiều sensor

1. Thiết kế Server/sensor như thế nào?

Protocol Analyzer IDS/IPS

1. Thiết kế Server/sensor như thế nào?

1. Thiết kế Server/sensor như thế nào?

2 Dữ liệu thu thập

3 Phương pháp thu thập

4 Phát hiện xâm nhập

– Một dấu hiệu có thể chứa một hoặc nhiều IOC.

PHAN TAN TOAN

2 Phân tích luồng dữ liệu

3 Phân tích WLAN

2 Phân tích luồng dữ liệu

3 Phân tích WLAN

❖ Các bước phân tích

▪ Dựa trên các header của gói tin

• Source port: 02 02 (514)

▪ Source, Destination MAC? Ethernet type?