Use of Sysmon tool to detect lateral movement attacks
Σκοπός της παρούσας διπλωματικής εργασίας είναι η παροχή σαφών απαντήσεων στα ακόλουθα ερωτήματα για την βέλτιστη παραμετροποίηση του εργαλείου Sysmon, σχετικά με τον εντοπισμό και την απαρίθμηση των επιθέσεων πλευρικής μετακίνησης (Lateral Movement Attacks). Για την επίτευξη των παραπάνω, η προσοχ...
Saved in:
| Main Authors: | , |
|---|---|
| Other Authors: | |
| Language: | English |
| Published: |
2022
|
| Subjects: | |
| Online Access: | http://hdl.handle.net/11610/23702 |
| Tags: |
Add Tag
No Tags, Be the first to tag this record!
|
| Summary: | Σκοπός της παρούσας διπλωματικής εργασίας είναι η παροχή σαφών απαντήσεων στα ακόλουθα ερωτήματα για την βέλτιστη παραμετροποίηση του εργαλείου Sysmon, σχετικά με τον εντοπισμό και την απαρίθμηση των επιθέσεων πλευρικής μετακίνησης (Lateral Movement Attacks). Για την επίτευξη των παραπάνω, η προσοχή εστιάζεται αρχικά στην εκτέλεση των οκτώ (8) πιο δημοφιλών επιθέσεων πλευρικής μετακίνησης και στην παρακολούθηση της δικτυακής κίνησης, τόσο με τεχνικές ανάλυσης πακέτων, όσο και με ανάλυση της δικτυακής ροής.
Αρχικά, στηριζόμενοι στις αναφορές των ειδικών στην σχετική βιβλιογραφία, καθορίζουμε τα κριτήρια για τον καθορισμό των πιο εφαρμόσιμων χαρακτηριστικών αρχικοποίησης του εργαλείου παρακολούθησης συμβάντων Sysmon, τα οποία μπορεί να χρησιμοποιηθούν και ως προσαρμοσμένοι κανόνες στο αρχείο config.xml. Δεύτερον, με βάση τα υπόψη χαρακτηριστικά, πως μπορεί να παραμετροποιηθεί το αρχείο ρυθμίσεων του Sysmon (config.xml) προκειμένου να επιτρέπει την άμεση αναγνώριση συμβάντων πλευρικής κίνησης. Προκειμένου να απαντηθούν τα παραπάνω ερωτήματα, ανατρέξαμε στην δημοφιλή βάση δεδομένων MITRE ATT&CK, η οποία συγκεντρώνει όλες τις διαθέσιμες κακόβουλες τακτικές και τεχνικές σχετικά με επιθέσεις πλευρικής μετακίνησης, και όχι μόνο, βασιζόμενη σε πραγματικές παρατηρήσεις και αναφορές περιστατικών. Τα πειράματα που εκτελέσθηκαν, απέδειξαν την ύπαρξη πολυάριθμων αλληλένδετων δικτυακών χαρακτηριστικών, σχετιζόμενα με την πλευρική κίνηση, τα οποία και εφαρμόστηκαν για την δημιουργία προσαρμοσμένων κανόνων στο αρχείων παραμέτρων config.xml. Επιπρόσθετα, η συστηματική και επίμονη παρατήρηση της δικτυακής κίνησης, σε συνδυασμό με την αποκτηθείσα γνώση από την εκτέλεση των πειραμάτων πλευρικής μετακίνησης, οδήγησαν στην δημιουργία του πρωτότυπου εργαλείου αναζήτησης των εν λόγω επιθέσεων σε παραγόμενα αρχεία συμβάντων μορφής .evtx του Sysmon, με τίτλο “python-Evtx-parser (pexp)”. Το αναφερόμενα εργαλείο, δημιουργήθηκε με την χρήση βιβλιοθηκών της γλώσσας Python, με σκοπό την περαιτέρω διερεύνηση και κατανόηση των μηχανισμών που εμπίπτουν στον εντοπισμό πιθανών κακόβουλων επιθέσεων πλευρικής κίνησης.
Συνοψίζοντας, η παρούσα έρευνα πέτυχε τον στόχο της παρέχοντας ένα πλήρως παραμετροποιημέμενο και αρχικοποιημένο αρχείο κανόνων του Sysmon (config.xml). Επιπρόσθετα, η δημιουργία ενός python εργαλείου, μην εξαρτώμενου από την έκδοση του λειτουργικού συστήματος και τις δικτυακές υποδομές, μπορεί να χρησιμοποιηθεί από τις ομάδες απόκρισης συμβάντων (incident response teams) ως βάση για μελλοντική έρευνα σε αυτό το ενδιαφέρον και ταχέως εξελισσόμενο πεδίο. |
|---|