Hình 1.1 Hệ thống SIEM1.1.1 Tầm quan trọng và lợi ích của SIEM * Tầm quan trọng của SIEM: Khi hệ thống IT của các doanh nghiệp được trang bị nhiều hãng và thiết bị công nghệkhác nhau như
CƠ SỞ LÝ THUYẾT
Giới thiệu về SIEM
Hệ thống SIEM (Security Information and Event Management) là một giải pháp quản lý nhật ký và sự kiện tập trung, giúp thu thập và tổng hợp thông tin nhật ký, sự kiện từ toàn bộ hệ thống doanh nghiệp trên một giao diện duy nhất, thay vì phải xử lý thủ công từng mục một.
Hình 1.1 Hệ thống SIEM 1.1.1 Tầm quan trọng và lợi ích của SIEM
* Tầm quan trọng của SIEM:
Hệ thống IT của doanh nghiệp thường bao gồm nhiều thiết bị và công nghệ khác nhau như Router, Switch, máy chủ, cơ sở dữ liệu, SAN, hệ điều hành máy trạm và ứng dụng ngân hàng Mỗi thiết bị và ứng dụng này đều có các định dạng khác nhau tùy thuộc vào từng nhà cung cấp.
Hệ thống IT được quản lý bởi nhiều phòng ban như System, Network, và Application, nhưng việc tổng hợp sự kiện tại thời điểm xảy ra sự cố gặp nhiều khó khăn do thiếu giải pháp chuyên dụng và lưu trữ sự kiện dài hạn cho phân tích sau này Điều này dẫn đến tình trạng tràn thông báo hệ thống, với lượng lớn thông tin từ log, khiến một số cảnh báo quan trọng có thể bị bỏ lỡ và không được xử lý kịp thời Việc điều tra về nguồn tấn công và nguyên lý tấn công thường phải thực hiện thủ công, tốn nhiều thời gian và công sức nhưng không mang lại hiệu quả kịp thời.
Gần đây, các loại hình tấn công mới như Adva Persistent Thread (ATP), tấn công Zero-day, tấn công từ bên trong và các loại Malware đã gia tăng đáng kể về số lượng và phương thức lây nhiễm Những hình thức tấn công này không chỉ gia tăng về số lượng máy bị tấn công mà còn trở nên khó phát hiện hơn, nhờ vào các thủ thuật tinh vi nhằm tránh bị phát hiện và phân tích.
Các giải pháp bảo mật truyền thống gần như không tác dụng trước loại nguy cơ mới.
Do đó, giải pháp SIEM có thể giải quyết được các bài toán phức tạp như trên.
Các công cụ SIEM mang lại nhiều lợi ích có thể giúp củng cố vị thế bảo mật tổng thể của tổ chức, bao gồm:
Dạng xem trung tâm về các mối đe dọa tiềm ẩn
Nhận dạng và ứng phó với mối đe dọa theo thời gian thực
Thông tin về mối đe dọa nâng cao
Kiểm tra và báo cáo về việc tuân thủ theo quy định
Giám sát người dùng, ứng dụng và thiết bị minh bạch hơn 1.1.2 Kiến trúc của SIEM
Kiến trúc của SIEM bao gồm các thành phần chính sau:
- Người dùng: Là những người quản lý và xử lý các thông tin và sự kiện an ni mạng được thu thập từ các nguồn khác nhau.
Thiết bị thu thập sự kiện (Event Collector) là các thiết bị hoặc phần mềm được cài đặt trên hệ thống mạng nhằm thu thập thông tin an ninh và các sự kiện từ nhiều nguồn khác nhau, bao gồm bộ lưu trữ nhật ký (log), tường lửa (firewall), máy chủ và các tuyến đường mạng.
Hệ thống phân tích (Event Analyzer) là phần mềm hoặc phần cứng dùng để phân tích các sự kiện thu thập từ thiết bị Nó có khả năng xử lý và đánh giá các sự kiện an ninh mạng, xác định mức độ nguy hiểm và tạo cảnh báo khi phát hiện vi phạm bảo mật.
Hệ thống quản lý sự kiện an ninh (Security Event Management) là một giải pháp quản lý cơ sở dữ liệu, cho phép lưu trữ, quản lý và truy vấn các sự kiện cùng thông tin an ninh Hệ thống này thu thập dữ liệu từ các thiết bị thu thập sự kiện và phân tích, giúp nâng cao khả năng giám sát và bảo mật.
Hệ thống quản lý liên tục an ninh (Continuous Security Monitoring) là quá trình giám sát không ngừng các hoạt động mạng nhằm phát hiện các hành vi bất thường, các cuộc tấn công và các mối đe dọa an ninh mạng khác.
Tất cả các thành phần này phối hợp chặt chẽ để hình thành một hệ thống SIEM toàn diện, từ đó nâng cao khả năng quản lý và bảo vệ an ninh mạng một cách hiệu quả.
1.1.3 Chức năng của hệ thống SIEM
Hệ thống SIEM có những chức năng chính sau đây:
Hệ thống SIEM thu thập dữ liệu từ các thiết bị mạng và hệ thống, bao gồm thông tin nhật ký về sự kiện, lưu lượng mạng và truy cập hệ thống Dữ liệu này được lưu trữ và phân tích nhằm phát hiện các hành vi đáng ngờ và mối đe dọa bảo mật.
Hệ thống SIEM thực hiện phân tích và đánh giá rủi ro bảo mật thông qua việc áp dụng các quy tắc và thuật toán để xử lý dữ liệu thu thập được Nó giúp phát hiện các hành vi đáng ngờ như tấn công mạng, phá hoại hệ thống và phát tán mã độc.
Hệ thống SIEM có khả năng phát hiện các hành vi đáng ngờ và mối đe dọa bảo mật, đồng thời tạo ra các cảnh báo để thông báo cho người quản lý bảo mật Những cảnh báo này có thể được gửi qua email, tin nhắn, hoặc hiển thị trực tiếp trên giao diện của hệ thống SIEM.
Hệ thống SIEM sẽ phản ứng ngay lập tức khi phát hiện các hành vi đáng ngờ và đe dọa bảo mật, nhằm ngăn chặn hoặc giảm thiểu tác động của các cuộc tấn công Các biện pháp phản ứng có thể bao gồm khóa tài khoản người dùng, cắt đứt kết nối mạng và cập nhật phần mềm.
Hệ thống SIEM cung cấp báo cáo chi tiết về các sự kiện bảo mật, bao gồm đánh giá rủi ro, cảnh báo và biện pháp phản ứng đã thực hiện Những báo cáo này hỗ trợ người quản lý bảo mật trong việc đánh giá hiệu suất hệ thống và đề xuất các cải tiến cần thiết.
Hệ thống SIEM đóng vai trò quan trọng trong việc thu thập và phân tích dữ liệu, đánh giá rủi ro, phát hiện các hành vi đáng ngờ và cảnh báo về các mối đe dọa bảo mật Nó không chỉ phản ứng để ngăn chặn hoặc giảm thiểu tác động của các cuộc tấn công mà còn tạo ra các báo cáo về sự kiện bảo mật, giúp người quản lý đánh giá hiệu suất hệ thống và thực hiện các cải tiến cần thiết Nhờ vào hệ thống SIEM, các tổ chức có thể giám sát và phát hiện các cuộc tấn công mạng một cách nhanh chóng và hiệu quả, từ đó nâng cao tính an toàn và bảo mật cho hệ thống và dữ liệu của mình.
1.1.4 Tính năng của hệ thống SIEM Sau đây là một số tính năng của hệ thống SIEM:
- Phân tích chuyên sâu theo thời gian thực.
- Tích hợp báo cáo tiêu chuẩn hoặc tùy chỉnh theo yêu cầu của doanh nghiệp.
1.1.5 Thành phần của hệ thống SIEM
Hệ thống SIEM bao gồm các thành phần chính như sau:
ELK SIEM
ELK SIEM tích hợp các công cụ phân tích log, bộ lọc, tìm kiếm và hình ảnh hóa, giúp các tổ chức nhanh chóng phát hiện các mối đe dọa an ninh từ nhiều nguồn khác nhau trong hệ thống của họ và thực hiện các hành động phù hợp.
1.2.1 Cách thức hoạt động ELK SIEM ELK SIEM hoạt động bằng cách thu thập và phân tích các dữ liệu an ninh từ nguồn khác nhau Các dữ liệu này có thể được thu thập bằng cách sử dụng các công cụ như syslog, SNMP, NetFlow, hoặc các ứng dụng phần mềm bảo mật khác.
Sau khi thu thập dữ liệu, ELK SIEM sẽ áp dụng các công cụ và tính năng phân tích để phát hiện các hoạt động bất thường, mối đe dọa an ninh và lỗ hổng bảo mật.
Hình 1.2 Cơ chế hoạt động của ELK
- Đầu tiên, log sẽ được đưa đến Logstash.
Logstash sẽ xử lý các log bằng cách thêm thông tin như thời gian và địa chỉ IP, đồng thời phân tích dữ liệu từ log để xác định server, mức độ nghiêm trọng và nội dung log Cuối cùng, các thông tin này sẽ được lưu trữ vào cơ sở dữ liệu Elasticsearch.
Để xem log, người dùng truy cập vào URL của Kibana, nơi Kibana sẽ lấy thông tin log từ Elasticsearch và hiển thị trên giao diện để người dùng thực hiện truy vấn và xử lý.
1.2.2 Các tính năng ELK SIEM
Hệ thống ELK SIEM có những tính năng chính sau đây:
ELK SIEM có khả năng phân tích các file log để phát hiện thông tin bảo mật quan trọng, bao gồm lỗi hệ thống, đăng nhập không thành công, hoạt động đáng ngờ và các cuộc tấn công mạng.
ELK SIEM cho phép tìm kiếm và truy xuất dữ liệu từ nhiều nguồn khác nhau, giúp phát hiện các mối đe dọa và lỗ hổng bảo mật hiệu quả.
- Phát hiện độc hại: ELK SIEM có khả năng phát hiện các độc hại, virus và phần mềm độc hại khác trên hệ thống.
ELK SIEM có khả năng phát hiện các mối đe dọa an ninh, bao gồm các cuộc tấn công, hoạt động đáng ngờ và lỗ hổng bảo mật.
ELK SIEM cung cấp tính năng cảnh báo người dùng về các mối đe dọa an ninh, đồng thời tạo ra các báo cáo chi tiết giúp người dùng nắm bắt rõ hơn tình trạng bảo mật của hệ thống.
ELK SIEM có khả năng tích hợp với các công cụ bảo mật khác, nâng cao khả năng phân tích và phát hiện mối đe dọa Nhờ vào các tính năng vượt trội, ELK SIEM hỗ trợ các tổ chức trong việc phát hiện và xử lý các vấn đề bảo mật một cách nhanh chóng và hiệu quả.
1.2.3 Ưu nhược điểm của ELK SIEM
So sánh ELK SIEM với các hệ thống SIEM khác, ELK SIEM có những ưu điểm sau:
ELK SIEM là một giải pháp mã nguồn mở, cho phép các tổ chức tùy chỉnh và mở rộng các tính năng theo nhu cầu cụ thể của họ.
Elasticsearch là nền tảng tìm kiếm và phân tích mạnh mẽ, được tối ưu hóa để xử lý hàng triệu dữ liệu trong thời gian thực Nhờ đó, ELK SIEM có khả năng xử lý dữ liệu lớn với hiệu suất cao.
ELK SIEM có giao diện người dùng thân thiện, giúp người dùng dễ dàng tìm kiếm và phân tích dữ liệu an ninh một cách nhanh chóng và hiệu quả.
Tuy nhiên, ELK SIEM cũng có một số hạn chế so với các hệ thống SIEM khác như:
- Khó cấu hình: ELK SIEM yêu cầu người dùng có kiến thức kỹ thuật để cấu hình và triển khai.
ELK SIEM không có tính năng bảo mật tích hợp, mặc dù nó có khả năng phân tích các sự kiện an ninh Người dùng cần triển khai các giải pháp bảo mật bổ sung để đảm bảo an toàn cho hệ thống.
ELK SIEM không hỗ trợ đầy đủ các giao thức an ninh phổ biến, điều này có thể hạn chế khả năng thu thập và phân tích dữ liệu an ninh của nó.
THIẾT KẾ VÀ XÂY DỰNG HỆ THỐNG
Mô hình triển khai
Các nền tảng Phần mềm sử dụng
- Và một số phần mềm bổ trợ như:
Hình 2.1 Mô hình triển khai
Hostname IP Cài đặt Chức năng
Log server 192.168.1.16 Bộ công cụ ELK,
Thu thập, quản lý log
Client 1 192.168.1.17 Truy cập, yêu cầu dữ liệu từ server
Client 2 192.168.1.18 Truy cập, yêu cầu dữ liệu từ server
Attacker 192.168.1.19 Tấn công vào các dịch vụBảng 2.1 Chi tiết cấu hình cài đặt, chức năng
Cài đặt
2.2.1 Cài đặt ELK tích hợp Wazuh Wazuh Server
- Cài đặt các gói thiết yếu apt-transport-https, zip, unzip, lsb-release, curl, gnupg
- Cài đặt Elasticsearch + Thêm kho lưu trữ Elastic StackLiên kết cố định đến tiêu đề này
Cập nhật thông tin các gói
- Cài đặt và cấu hình Elasticsearch
Tải file cấu hình: /etc/elasticsearch/elasticsearch.yml
- Tạo và triển khai chứng chỉ
Tải tệp cấu hình để tạo chứng chỉ
Các chứng chỉ có thể tạo bằng công cụ Elasticsearch-certutil
Giải nén tệp đã tạo từ bước trước: /usr/share/elasticsearch/certs.zip
Tạo thư mục, sau đó sao chép CA, chứng chỉ và khoá
Kích hoạt và khởi động dịch vụ Elasticsearch
Tạo thông tin xác thực cho tất cả người dùng và vai trò dựng sẵn củaElastic-Stack
* Lưu mật khẩu người dùng để thực hiện bước tiếp theo
Kiểm tra quá trình cài đặt thành công bằng cách chạy lên sau thay thế bằng mật khẩu được tạo ở bước trước:
- Cài đặt Wazuh server + Thêm kho lưu trữ Wazuh
Cập nhật thông tin gói
- Cài đặt quản lí Wazuh
Cài đặt gói Wazuh manager
Kích hoạt và khởi động dịch vụ Wazuh manager
Kiểm tra trạng thái của Wazuh manager đã hoạt động chưa
Cài đặt và cấu hình Filebeat
Tải tệp cấu hình Filebeat được cấu hình sẵn được sử dụng để chuyển tiếp cảnh bảo Wazuh đến Elasticsearch
Tải mẫu báo cáo cho Elasticsearch
Tải module Wazuh cho filebeat
Chỉnh sửa tệp và thêm dòng sau: /etc/filebeat/filebeat.yml
* Thay thế mật khẩu đã tạo trước đó
Copy chứng chỉ vào /etc/filebeat/certs/
Kích hoạt và khởi động Filebeat
Kiểm tra Filebeat đã cài đặt thành công
- Cài đặt và cấu hình Kibana
Sao chép chứng chỉ Elasticsearch vào thư mực cấu hình Kibana
Tải tệp cấu hình Kibana
Chỉnh sửa tệp /etc/kibana/kibana.yml và thay thế mật khẩu Elasticsearch đã tạo
Tạo thư mục /usr/share/kibana/data
Cài đặt plugin Wazuh Kibana
Liên kết socket của Kibana với port 443
Kích hoạt và khởi động Kibana
Truy cập giao diện web Elasticsearch URL: https://
User: elastic Password:
- Vô hiệu hoá kho lưu trữ
-Truy cập vào Wazuh > Agent > Deploy new agent
* Tạo agent Window/Ubuntu: Chọn Window/Ubuntu > Nhập địa chỉ ip củaWazuh server > Đặt tên agent > Chọn group cho agent
KẾT QUẢ THỰC NGHIỆM
Kịch bản 1
Nhóm em đã trình bày phương pháp ngăn chặn các địa chỉ IP độc hại truy cập vào tài nguyên trên máy chủ web Yêu cầu bao gồm việc thiết lập máy chủ web Apache trên hệ điều hành Ubuntu và Windows, và thực hiện thử nghiệm truy cập từ điểm cuối Kali.
Kịch bản này sử dụng cơ sở dữ liệu chứa địa chỉ IP của các tác nhân độc hại đã được gắn cờ Điểm cuối Kali được xác định là tác nhân độc hại và cần được thêm vào cơ sở dữ liệu danh tiếng Sau đó, Wazuh được cấu hình để chặn điểm cuối Kali truy cập tài nguyên web trên máy chủ Apache trong 60 giây, nhằm ngăn chặn các kẻ tấn công tiếp tục hoạt động độc hại.
Trong trường hợp sử dụng này, nhóm sử dụng danh sách Wazuh CDB và khả năng phản hồi tích cực - active response.
Mô hình Điểm cuối Mô tả Kali Linux Máy tấn công kết nối với máy chủ Web của nạn nhân.
Windows 10 M á y n ạ n n h â n c h ạ y m á y c h ủ w e b Ap a c h e 2 S ử d ụ n g m active response để tự động chặn các kết nối từ máy tấn công.
1 Định cấu hình máy chủ Web Apache
- Cài đặt gói Visual C++ Redistributable
Hình 3 1: Cài đặt gói VC Redist
- Tải và giải nén tệp cài đặt Web Apache Server vào ổ C
Hình 3 2: Tải và giải nén tệp cài đặt WebApache
- Thực hiện chạy câu lệnh sau trên PowerShell với đặc quyền quản trị viên
Hình 3.3: Khởi chạy dịch vụ Web Apache
2 Định cấu hình Wazuh agent
- T h ê m p h ầ n s a u v à o t ệ pC : \ P r o g r a m F i l e s ( x 8 6 ) \ o để định cấu hình Wazuh agent và theo dõi nhật ký truy cập Apache
syslog
C:\Apache24\logs\access.log
- Khởi động lại Wazuh agent
- Tải xuống các tiện ích và định cấu hình danh sách CDB + Cài đặt tiện ích để tải xuống các thành phần lạ cần thiết
+ Tải xuống cơ sở dữ liệu danh tiếng IP Alienvault
+ Nối địa chỉ IP của điểm cuối kẻ tấn công vào cơ sở dữ liệu danh tiếng IP
+ Tải xuống tập lệnh để chuyển đổi từ định dạng sang định dạng danh sách:.ipset cdb
+ Chuyển đổi tệp sang định dạng bằng tập lệnh đã tải xuống trước đó:
+ Tùy chọn: Xóa tệp và tập lệnh vì chúng không còn cần thiết nữa:alienvault_reputation.ipsetiplist-to-cdblist.py
+ Chỉ định quyền và quyền sở hữu phù hợp cho tệp được tạo:
- Định cấu hình mô-đun phản hồi hoạt động để chặn địa chỉ IP độc hại
+ Thêm quy tắc tùy chỉnh để kích hoạt tập lệnh phản hồi hiện hoạt Wazuh Thực hiện việc này trong tệp bộ quy tắc tùy chỉnh của máy chủ
Wazuh:/var/ossec/etc/rules/local_rules.xml
+Chỉnh sửa tệp cấu hình máy chủ Wazuh và thêm danh sách vào phần:
/var/ossec/etc/ossec.conf
+Tập lệnh phản hồi hoạt động sử dụng lệnh để chặn địa chỉ IP của kẻ tấn công trên điểm cuối Windows Nó chạy trong 60 giây:netsh
+ Khởi động lại trình quản lý Wazuh để áp dụng các thay đổi:
- Thực hiện câu lệnh ruy cập vào máy chủ web: curl http://
- Cảnh báo xuất hiện trên Wazuh Server
Kịch bản 2
Giám sát tính toàn vẹn của tệp (File Integrity Monitoring - FIM) là công cụ quan trọng để kiểm tra các tệp nhạy cảm và đảm bảo tuân thủ quy định Wazuh cung cấp mô-đun FIM giúp theo dõi các thay đổi trong hệ thống tệp, từ việc phát hiện tạo, sửa đổi đến xóa tệp.
Kịch bản này sử dụng mô-đun Wazuh FIM để phát hiện các thay đổi trong các thư mục được giám sát trên các điểm cuối Windows.
Mô hình Điểm cuối Mô tả
Windows 10 Mô-đun Wazuh FIM giám sát một thư mục trên điểm cuối này để phát hiện việc tạo, thay đổi và xóa tệp Cấu hình
- C h ỉ n h s ử a c ấ u h ì n h t ệ p t r o n g đ ư ờ n g d ẫ n :C : \ P r o g r a m F i l e s ( x 8 6 ) \ o s s e c - a g e n t \ o s s e c c o n f T h ê m d ò n g :< d i r e c t o r i e s c h e c k _ a l l = " y e s " r realtime="yes">C:\Users\\Desktop t r o n g m ụ c< s y s c h e c k >đ ể t h e o d õ i c á c t h a y đ ổ i c ủ a h ệ t h ố n g t ệ p t r o n g t h ư Desktop.
- Khởi động lại Wazuh agent
- Tạo nội một tệp văn bản và thêm nội dung trong thư mục được giám sát
Sau đó xóa tệp văn bản khỏi thư mục được giám sát.
- Dữ liệu cảnh báo đã được hiển thị trong bảng điều khiển Wazuh
3.3 Kịch bản 3: Phát hiện cuộc tấn công Brute-Force
Brute-forcing là một phương thức tấn công phổ biến mà các tác nhân đe dọa sử dụng để truy cập trái phép vào các dịch vụ và điểm cuối Các dịch vụ như SSH trên Linux và RDP trên Windows thường dễ bị tấn công bằng phương pháp này Wazuh phát hiện các cuộc tấn công brute-force bằng cách phân tích và liên kết nhiều sự kiện lỗi xác thực.
Trong kịch bản này, nhóm em trình bày cách Wazuh phát hiện các cuộc tấn công vũ phu trên điểm cuối của Windows.
Mô hình Điểm cuối Mô tả Kali Linux Điểm của kẻ tấn công thực hiện các cuộc tấn công brute-force
Windows 10 Điểm cuối nạn nhân của các cuộc tấn công brute-force Bắt buộc phải bật RDP trên máy này.
- Cài đặt Hydra để thực hiện cuộc tấn công Brute-force
- Chạy hydra để thực hiện tấn công Brute-force bằng câu lệnh: sudo hydra -l username -P rdp://
- Dữ liệu cảnh báo đã được hiển thị trong bảng điều khiển Wazuh
3.4 Kịch bản 4: Phát hiện các quy trình trái phép
Khả năng giám sát lệnh Wazuh chạy các lệnh trên một điểm cuối và giám sát đầu ra của các lệnh.
Trong bài viết này, chúng ta sẽ khám phá khả năng giám sát lệnh Wazuh để phát hiện khi Netcat hoạt động trên điểm cuối Ubuntu Netcat là một công cụ mạng hữu ích, thường được sử dụng để quét cổng và lắng nghe trên các cổng mạng.
Mô hình Điểm cuối Mô tả
Ubuntu 22.04 Định cấu hình mô-đun giám sát lệnh trên điểm cuối này để phát hiện quy trình Netcat đang chạy Cấu hình
- Thêm nội dung sau vào tệp /var/ossec/etc/ossec.conf cho phép định kỹ lấy danh sách các quy trình đang chạy:
full_command
ps -e -o pid,uname,command
- Khởi động lại Wazuh agent để áp dụng các thay đổi
- Cài đặt Netcat và các phụ thuộc cần thiết
- Thêm các quy tắc sau vào /var/ossec/etc/rules/local_rules.xml
^ossec: output: 'process list'
List of running processes. process_monitor,
netcat listening for incoming connections.
- Khởi động lại trình quản lý Wazuh để áp dụng các thay đổi
- Trên điểm cuối Ubuntu được giám sát, chạy lệnh: nc -l 8000
Dữ liệu cảnh báo đã được hiển thị trong bảng điều khiển Wazuh
3.5 Kịch bản 5: Phát hiện các lỗ hổngWazuh sử dụng mô-đun Trình phát hiện lỗ hổng để xác định các lỗ hổng trong các ứng dụng và hệ điều hành chạy trên các điểm cuối.
Kịch bản này cho thấy được cách Wazuh phát hiện các Lỗ hổng phổ biến và Điểm tiếp xúc (CVE) chưa được vá trong điểm cuối được giám sát.
Mô hình Điểm cuối Mô tả
Windows 10 Mô-đun phát hiện lỗ hổng sẽ quét điểm cuối Windows này để tìm các lỗ hổng trong hệ điều hành và các ứng dụng đã cài đặt của nó.
- Kích hoạt Mô-đun Trình phát hiện lỗ hổng trong /var/ossec/etc/ossec.conf
6h
yes
2019
- Khởi động trình quản lý Wazuh để áp dụng các thay đổi cấu hình
Dữ liệu cảnh báo đã được hiển thị trong bảng điều khiển Wazuh
3.6 Kịch bản 6: Phát hiện các tiến trình ẩn
Trong kịch bản này, nhóm em trình bày cách Wazuh phát hiện các quy trình ẩn do rootkit tạo ra trên điểm cuối Linux .
Rootkit này ẩn khỏi danh sách mô-đun kernel và các quy trình đã chọn khỏi tiện ích ps Tuy nhiên, Wazuh có khả năng phát hiện nó thông qua các lệnh gọi hệ thống như setsid(), getpid() và kill().
Trên Ubuntu 22.04, tải xuống và biên dịch rootkit, sau đó cấu hình mô-đun Wazuh rootcheck để phát hiện các bất thường.
- Cài đặt các gói cần thiết để xây dựng rootkit
- Trong /var/ossec/etc/ossec.conf Đặt tùy chọn fre quencytrong phần thành 120 để định cấu hình để quét chạy rootcheck cứ sau 2 phút.
- Khởi động lại Wazuh agent để áp dụng các thay đổi
- Trên điểm cuối Ubuntu, tìm và nạp mã nguồn rootkit Diamorphine từ github
- Điều hướng đến thư mục Diamorphine và biên dịch mã nguồn
- Tải mô-đun rootkit kernel
Chạy các lệnh sau để quan sát cách rsyslogd hiển thị quy trình lần đầu tiên và sau đó không còn hiển thị nữa Rootkit này cho phép bạn ẩn các quy trình đã chọn khỏi lệnh ps.
Gửi tín hiệu hủy ẩn 31/hiện bất kỳ quy trình nào.
Dữ liệu cảnh báo đã được hiển thị trong bảng điều khiển Wazuh
3.7 Kịch bản 7: Giám sát thực thi các lệnh độc hại
Auditd là một công cụ kiểm toán được phát triển cho các hệ thống Linux, có chức năng ghi lại các hành động và thay đổi diễn ra trên điểm cuối Linux.
Trong bài viết này, chúng ta sẽ cấu hình Auditd trên hệ thống Ubuntu để theo dõi tất cả các lệnh được thực thi bởi một người dùng cụ thể, bao gồm cả các lệnh chạy trong chế độ sudo hoặc khi chuyển sang người dùng gốc Đồng thời, cần thiết lập quy tắc Wazuh tùy chỉnh để phát hiện và cảnh báo về các lệnh đáng ngờ.
Mô hình Điểm cuối mô tả Ubuntu 22.04, nơi sẽ cấu hình Auditd để giám sát việc thực thi các lệnh độc hại, đồng thời tận dụng khả năng tra cứu danh sách Wazuh.
CDB để tạo danh sách các lệnh độc hại tiềm ẩn có thể chạy trên đó. Cấu hình
- Cài đặt, khởi chạy Auditd
- Thực hiện các lệnh để nối các quy tắc kiểm toán vào /etc/audit/audit.rules
- Tải lại các quy tắc và xác nhận rằng chúng đã có sẵn
- Thêm cấu hình vào /var/ossec/etc/ossec.conf Cho phép đọc tệp nhật ký audit
audit
/var/log/audit/audit.log
- Khởi động lại Wazuh agent
- Tạo một danh sách CDB /var/ossec/etc/lists/suspicious-programs và điền nội dụng: ncat:yellow nc:red tcpdump:orange
- Thêm danh sách vào phần của tệp /var/ossec/etc/ossec.conf
Tạo quy tắc có mức độ nghiêm trọng cao để kích hoạt khi chương trình “đỏ” được thực thi và thêm quy tắc này vào tệp /var/ossec/etc/rules/local_rules.xml.
- Khởi động lại trình quản lý Wazuh
- Trên thiết bị Ubuntu, cài đặt và chạy chương trình “red” netcat
Dữ liệu cảnh báo đã được hiển thị trong bảng điều khiển Wazuh
3.8 Kịch bản 8: Phát hiện cuộc tấn công Shellshock Wazuh có khả năng phát hiện một cuộc tấn công Shellshock bằng cách phân tích nhật ký máy chủ web được thu thập từ một điểm cuối được giám sát Trong trường hợp sử dụng này, bạn thiết lập một máy chủ web Apache trên điểm cuối Ubuntu và mô phỏng một cuộc tấn công shellshock.
Mô hình Điểm cuối Mô tả Ubuntu 22.04 Điểm cuối nạn nhân chạy máy chủ web Apache 2.4.54.
Kali Linux Điểm cuối của kẻ tấn công này gửi một yêu cầu HTTP độc hại đến máy chủ web của nạn nhân.
- Thêm các dòng vào tệp /var/ossec/etc/ossec.conf Điều này theo dõi nhật ký truy cập máy chủ Apache
- Khởi động lại Wazuh agent để áp dụng các thay đổi cấu hình
Dữ liệu cảnh báo đã được hiển thị trong bảng điều khiển Wazuh