Ανίχνευση κακόβουλης δραστηριότητας βασισμένη στα αρχεία καταγραφής των MS Windows 10 με εφαρμογή του πλαισίου MITRE ATT&CK

Abstract

Η ανίχνευση των απειλών αποτελεί ακρογωνιαίο λίθο στην έγκαιρη απόκριση σε κυβερνοπεριστατικά. Σχετικές έρευνες που διεξήχθησαν από φορείς ή οργανισμούς με αντικείμενο την κυβερνοασφάλεια (πχ Fireye, Trustwave κ.ά) έχουν δείξει ότι ο χρόνος ανίχνευσης μιας εισβολής για το 2019 ήταν 279 ημέρες, για το 2018 ήταν 197 ημέρες, για το 2017 ήταν 206 ημέρες ενώ για το 2016 ανερχόταν στις 201 ημέρες [1]. Ο ανωτέρω υπολογιζόμενος χρόνος, είναι ο ελάχιστος μέχρι την ανίχνευση μιας εισβολής και είναι άμεσα εξαρτώμενος, από τις ικανότητες του προσωπικού ασφαλείας πληροφοριακών συστημάτων να ανιχνεύσουν μη φυσιολογική δραστηριότητα, η οποία μετά από διερεύνηση ενδεχομένως να αποκαλύψει παραβίαση.

Εύκολα γίνεται κατανοητό πως το επίπεδο ασφαλείας ενός φορέα ή οργανισμού μπορεί να βελτιωθεί με την υιοθέτηση μιας διαδικασίας, η οποία θα εντοπίζει ευρήματα-ίχνη παραβίασης, τα οποία μετά από εστιασμένη διερεύνηση, θα οδηγούν σε πιο έγκαιρη διάγνωση της παραβίασης.

Στην παρούσα διπλωματική διατριβή έγινε προσπάθεια να απεικονιστούν με ακριβή τρόπο τα ίχνη που δημιουργούνται στα αρχεία καταγραφής (logfiles) μετά την εκτέλεση δύο επιθέσεων από τη στήλη Execution σύμφωνα με την κατηγοριοποίηση του MITRE ATT&CK. Το εν λόγω σενάριο υλοποιήθηκε σε ένα δίκτυο με domain controller και εξομοιώθηκαν επιθέσεις με εκτέλεση PSexec και WMIexec. Μετά την εκτέλεση των επιθέσεων συλλέχθηκαν τα κυριότερα στοιχεία από τα logfiles τα οποία ταξινομήθηκαν σε έναν πίνακα. Η μελέτη των ιχνών που αφήνει το κάθε είδος επίθεσης στο σύστημα μπορεί να υποβοηθήσει σημαντικά το έργο των αναλυτών στον εντοπισμό μιας επίθεσης. Συγκεκριμένα, τα ίχνη αυτά μπορούν να αποτελέσουν αξιόπιστους δείκτες παραβίασης.

The detection of cyberthreats is a cornerstone in the in-time response to cyber-attacks. Research conducted by agencies or organizations on cybersecurity (e.g., Fireye, Trustwave, etc.) has shown that the time of detection of an intrusion in 2019 was 297 days, in 2018 was 197 days, in 2017 it was 206 days while in 2016 reached 201 days. This time is the minimum until detection, and it is directly dependent on the ability of information security personnel to detect abnormal activity that may reveal a breach after investigation.

It is easy to understand that it is necessary to adopt a formal procedure that will demonstrate findings that, after an aimed investigation, will lead to a more timely diagnosis of any compromise.

In this dissertation an attempt was made to accurately depict the traces created in the logfiles after the execution of two attacks from the Execution column according to the categorization of MITRE ATT&CK. This was implemented in a network with a domain controller and the attacks PSexec and WMIexec were simulated. After executing these attacks, the main elements were collected from the logfiles and were sorted into a table. Studying the traces left by each type of attack on the system can help analysts work to identify an attack. These traces can become Ιndicators of Compromise (IoCs).