Detecting Lateral Movement in MS Windows through Supervised MachineLearning

Abstract

Η ψηφιακή εποχή, η οποία χαρακτηρίζεται από πολύ υψηλό βαθμό διαδικτύωσης και παραγωγής μεγάλου όγκου δεδομένων, έχει επιφέρει σύνθετες προκλήσεις στον τομέα της κυβερνοασφάλειας. Μεταξύ αυτών συγκαταλέγονται και οι επιθέσεις πλευρικής μετακίνησης τις οποίες χρησιμοποιούν οι επιτιθέμενοι για να περιηγηθούν κρυφά εντός των δικτύων, να εκμεταλλευτούν τα τρωτά σημεία τους, και να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση σε κρίσιμα περιουσιακά στοιχεία. Η παρούσα διπλωματική εργασία, αναγνωρίζοντας τους περιορισμούς των συμβατικών μηχανισμών άμυνας στον κυβερνοχώρο, διερευνά τις δυνατότητες των αρχείων καταγραφής Sysmon της πλατφόρμας των MS Windows ως πηγή πληροφορίας για την ανίχνευση συμβάντων επιθέσεων πλευρικής μετακίνησης. Ως εγγενής υπηρεσία συστήματος στα MS Windows, το System Monitor (Sysmon) καταγράφει με λεπτομέρεια μαι ποικιλία δεδομένων δικτύου που αφορούν κακόβουλη και μη δικτυακή κίνηση. Σε αυτό το πλαίσιο, η παρούσα διπλωματική εργασία υποστηρίζει ότι, σε συνδυασμό με τις δυνατότητες που προσφέρει η μηχανική μάθηση, τα αρχεία καταγραφής Sysmon μπορούν να συμβάλλουν αποτελεσματικά στην ανίχνευση LM. Σε αυτήν την κατεύθυνση, υλοποιείται εικονικό εργαστηριακό περιβάλλον, το οποίο προσομοιώνει πραγματικά σενάρια επιθέσεων δικτύου με χρήση τεχνικών LM. Τα δεδομένα που συλλέγονται από το Sysmon τροφοδοτούνται σε αλγορίθμους επιβλεπόμενης μηχανικής μάθησης προκειμένου να αξιολογηθεί η επίδοσή τους στην ανίχνευση LM. Συγκεκριμένα αναλύεται η λογική, ο υποκείμενος μηχανισμός και η αποτελεσματικότητα κάθε αλγορίθμου στο πλαίσιο της ανίχνευσης συμβάντων LM. Συνοψίζοντας, η παρούσα διπλωματική εργασία παρουσιάζει μια τεκμηριωμένη πειραματική προσέγγιση για την κατανόηση και την αντιμετώπιση επιθέσεων LM με τη βοήθεια τεχνικών μηχανικής μάθησης.

The digital age, characterised by a very high degree of online and big data generation, has brought about complex challenges in the field of cybersecurity. Among these are Lateral Movement (LM) attacks which attackers use to surreptitiously navigate within networks, exploit vulnerabilities, and gain unauthorized access to critical assets. Recognizing the limitations of conventional cyber defense mechanisms, this master’s thesis explores the potential of the Sysmon logs of the MS Windows platform as a source of information for detecting LM attack events. As an inherent system service in MS Windows, these logs are a variety of network data concerning malicious and non-network traffic. In this context, the present work argues that, in combination with the capabilities offered by Machine Learning (ML), Sysmon logs can contribute effectively to LM detection. To this end, a virtual laboratory environment is implemented, which simulates real network attack scenarios using LM techniques. In this context, the present work argues that, in combination with the capabilities offered by ML, Sysmon logs can contribute effectively to LM detection. In this direction, a virtual laboratory environment is implemented, which simulates real network attack scenarios using LM techniques. The data collected by Sysmon are fed into supervised machine learning algorithms in order to evaluate their performance in LM detection. More specifically, the rationale, the underlying mechanism and the effectiveness of each algorithm in the context of LM event detection is analyzed. To summarize, this master’s thesis presents an evidence-based experimental approach for understanding and countering LM attacks using machine learning techniques.