Use of Sysmon tool to detect lateral movement attacks

Σκοπός της παρούσας διπλωματικής εργασίας είναι η παροχή σαφών απαντήσεων στα ακόλουθα ερωτήματα για την βέλτιστη παραμετροποίηση του εργαλείου Sysmon, σχετικά με τον εντοπισμό και την απαρίθμηση των επιθέσεων πλευρικής μετακίνησης (Lateral Movement Attacks). Για την επίτευξη των παραπάνω, η προσοχ...

Πλήρης περιγραφή

Αποθηκεύτηκε σε:
Λεπτομέρειες βιβλιογραφικής εγγραφής
Κύριοι συγγραφείς: Σμηλιοτόπουλος, Χρήστος, Smiliotopoulos, Christos
Άλλοι συγγραφείς: Μπαρμπάτσαλου, Κωνσταντία
Γλώσσα:English
Δημοσίευση: 2022
Θέματα:
Διαθέσιμο Online:http://hdl.handle.net/11610/23702
Ετικέτες: Προσθήκη ετικέτας
Δεν υπάρχουν, Καταχωρήστε ετικέτα πρώτοι!
_version_ 1828461327940583424
author Σμηλιοτόπουλος, Χρήστος
Smiliotopoulos, Christos
author2 Μπαρμπάτσαλου, Κωνσταντία
author_facet Μπαρμπάτσαλου, Κωνσταντία
Σμηλιοτόπουλος, Χρήστος
Smiliotopoulos, Christos
author_sort Σμηλιοτόπουλος, Χρήστος
collection DSpace
description Σκοπός της παρούσας διπλωματικής εργασίας είναι η παροχή σαφών απαντήσεων στα ακόλουθα ερωτήματα για την βέλτιστη παραμετροποίηση του εργαλείου Sysmon, σχετικά με τον εντοπισμό και την απαρίθμηση των επιθέσεων πλευρικής μετακίνησης (Lateral Movement Attacks). Για την επίτευξη των παραπάνω, η προσοχή εστιάζεται αρχικά στην εκτέλεση των οκτώ (8) πιο δημοφιλών επιθέσεων πλευρικής μετακίνησης και στην παρακολούθηση της δικτυακής κίνησης, τόσο με τεχνικές ανάλυσης πακέτων, όσο και με ανάλυση της δικτυακής ροής. Αρχικά, στηριζόμενοι στις αναφορές των ειδικών στην σχετική βιβλιογραφία, καθορίζουμε τα κριτήρια για τον καθορισμό των πιο εφαρμόσιμων χαρακτηριστικών αρχικοποίησης του εργαλείου παρακολούθησης συμβάντων Sysmon, τα οποία μπορεί να χρησιμοποιηθούν και ως προσαρμοσμένοι κανόνες στο αρχείο config.xml. Δεύτερον, με βάση τα υπόψη χαρακτηριστικά, πως μπορεί να παραμετροποιηθεί το αρχείο ρυθμίσεων του Sysmon (config.xml) προκειμένου να επιτρέπει την άμεση αναγνώριση συμβάντων πλευρικής κίνησης. Προκειμένου να απαντηθούν τα παραπάνω ερωτήματα, ανατρέξαμε στην δημοφιλή βάση δεδομένων MITRE ATT&CK, η οποία συγκεντρώνει όλες τις διαθέσιμες κακόβουλες τακτικές και τεχνικές σχετικά με επιθέσεις πλευρικής μετακίνησης, και όχι μόνο, βασιζόμενη σε πραγματικές παρατηρήσεις και αναφορές περιστατικών. Τα πειράματα που εκτελέσθηκαν, απέδειξαν την ύπαρξη πολυάριθμων αλληλένδετων δικτυακών χαρακτηριστικών, σχετιζόμενα με την πλευρική κίνηση, τα οποία και εφαρμόστηκαν για την δημιουργία προσαρμοσμένων κανόνων στο αρχείων παραμέτρων config.xml. Επιπρόσθετα, η συστηματική και επίμονη παρατήρηση της δικτυακής κίνησης, σε συνδυασμό με την αποκτηθείσα γνώση από την εκτέλεση των πειραμάτων πλευρικής μετακίνησης, οδήγησαν στην δημιουργία του πρωτότυπου εργαλείου αναζήτησης των εν λόγω επιθέσεων σε παραγόμενα αρχεία συμβάντων μορφής .evtx του Sysmon, με τίτλο “python-Evtx-parser (pexp)”. Το αναφερόμενα εργαλείο, δημιουργήθηκε με την χρήση βιβλιοθηκών της γλώσσας Python, με σκοπό την περαιτέρω διερεύνηση και κατανόηση των μηχανισμών που εμπίπτουν στον εντοπισμό πιθανών κακόβουλων επιθέσεων πλευρικής κίνησης. Συνοψίζοντας, η παρούσα έρευνα πέτυχε τον στόχο της παρέχοντας ένα πλήρως παραμετροποιημέμενο και αρχικοποιημένο αρχείο κανόνων του Sysmon (config.xml). Επιπρόσθετα, η δημιουργία ενός python εργαλείου, μην εξαρτώμενου από την έκδοση του λειτουργικού συστήματος και τις δικτυακές υποδομές, μπορεί να χρησιμοποιηθεί από τις ομάδες απόκρισης συμβάντων (incident response teams) ως βάση για μελλοντική έρευνα σε αυτό το ενδιαφέρον και ταχέως εξελισσόμενο πεδίο.
id oai:hellanicus.lib.aegean.gr:11610-23702
institution Hellanicus
language English
publishDate 2022
record_format dspace
spelling oai:hellanicus.lib.aegean.gr:11610-237022022-06-24T08:41:06Z Use of Sysmon tool to detect lateral movement attacks Σμηλιοτόπουλος, Χρήστος Smiliotopoulos, Christos Μπαρμπάτσαλου, Κωνσταντία Ασφάλεια Πληροφοριακών και Επικοινωνιακών Συστημάτων config.xml pexp python lateral movement PtH PtT python_Evtx_parser sysmon golden/silver ticket ψηφιακή εγκληματολογία επιθέσεις πλευρικής μετακίνησης εργαλεία ανίχνευσης επιθέσεων Digital forensic science Computer security Cyberterrorism--Prevention Σκοπός της παρούσας διπλωματικής εργασίας είναι η παροχή σαφών απαντήσεων στα ακόλουθα ερωτήματα για την βέλτιστη παραμετροποίηση του εργαλείου Sysmon, σχετικά με τον εντοπισμό και την απαρίθμηση των επιθέσεων πλευρικής μετακίνησης (Lateral Movement Attacks). Για την επίτευξη των παραπάνω, η προσοχή εστιάζεται αρχικά στην εκτέλεση των οκτώ (8) πιο δημοφιλών επιθέσεων πλευρικής μετακίνησης και στην παρακολούθηση της δικτυακής κίνησης, τόσο με τεχνικές ανάλυσης πακέτων, όσο και με ανάλυση της δικτυακής ροής. Αρχικά, στηριζόμενοι στις αναφορές των ειδικών στην σχετική βιβλιογραφία, καθορίζουμε τα κριτήρια για τον καθορισμό των πιο εφαρμόσιμων χαρακτηριστικών αρχικοποίησης του εργαλείου παρακολούθησης συμβάντων Sysmon, τα οποία μπορεί να χρησιμοποιηθούν και ως προσαρμοσμένοι κανόνες στο αρχείο config.xml. Δεύτερον, με βάση τα υπόψη χαρακτηριστικά, πως μπορεί να παραμετροποιηθεί το αρχείο ρυθμίσεων του Sysmon (config.xml) προκειμένου να επιτρέπει την άμεση αναγνώριση συμβάντων πλευρικής κίνησης. Προκειμένου να απαντηθούν τα παραπάνω ερωτήματα, ανατρέξαμε στην δημοφιλή βάση δεδομένων MITRE ATT&CK, η οποία συγκεντρώνει όλες τις διαθέσιμες κακόβουλες τακτικές και τεχνικές σχετικά με επιθέσεις πλευρικής μετακίνησης, και όχι μόνο, βασιζόμενη σε πραγματικές παρατηρήσεις και αναφορές περιστατικών. Τα πειράματα που εκτελέσθηκαν, απέδειξαν την ύπαρξη πολυάριθμων αλληλένδετων δικτυακών χαρακτηριστικών, σχετιζόμενα με την πλευρική κίνηση, τα οποία και εφαρμόστηκαν για την δημιουργία προσαρμοσμένων κανόνων στο αρχείων παραμέτρων config.xml. Επιπρόσθετα, η συστηματική και επίμονη παρατήρηση της δικτυακής κίνησης, σε συνδυασμό με την αποκτηθείσα γνώση από την εκτέλεση των πειραμάτων πλευρικής μετακίνησης, οδήγησαν στην δημιουργία του πρωτότυπου εργαλείου αναζήτησης των εν λόγω επιθέσεων σε παραγόμενα αρχεία συμβάντων μορφής .evtx του Sysmon, με τίτλο “python-Evtx-parser (pexp)”. Το αναφερόμενα εργαλείο, δημιουργήθηκε με την χρήση βιβλιοθηκών της γλώσσας Python, με σκοπό την περαιτέρω διερεύνηση και κατανόηση των μηχανισμών που εμπίπτουν στον εντοπισμό πιθανών κακόβουλων επιθέσεων πλευρικής κίνησης. Συνοψίζοντας, η παρούσα έρευνα πέτυχε τον στόχο της παρέχοντας ένα πλήρως παραμετροποιημέμενο και αρχικοποιημένο αρχείο κανόνων του Sysmon (config.xml). Επιπρόσθετα, η δημιουργία ενός python εργαλείου, μην εξαρτώμενου από την έκδοση του λειτουργικού συστήματος και τις δικτυακές υποδομές, μπορεί να χρησιμοποιηθεί από τις ομάδες απόκρισης συμβάντων (incident response teams) ως βάση για μελλοντική έρευνα σε αυτό το ενδιαφέρον και ταχέως εξελισσόμενο πεδίο. This work attempts to provide concrete answers to the following key questions regarding the optimal initialization of the Sysmon tool, towards the identification and enumeration of Lateral Movement attacks. The focus is on the execution of the eight (8) most popular Lateral Movement Attacks and on the network monitoring with both packet analysis and network traffic flow techniques. First, from an expert’s viewpoint and with reference to the relevant literature, what are the criteria of determining the best possible initialization features of the Sysmon’s Event monitoring tool, which are also applicable as custom rules with the config.xml configuration file? And second, based on these features, how a functional configuration file could be created, that will allow a top-notch event-driven identification of any lateral movement? To answer these questions, we relied on MITRE ATT&CK globally accessible knowledge base of adversary tactics and techniques based on real-world observations. Our experiments demonstrated a great number of interrelated networking features, that were implemented as custom rules in Sysmon’s config.xml file. Moreover, the systematic and persistent observation of network traffic combined with the knowledge that was acquired from the execution of the lateral movement experiments, led to the creation of the prototype “python-Evtx-parser (pexp)”. This is a portable python script that was created with the purpose of further investigating and understanding the mechanisms that fall under the identification of potential malicious Lateral Movement Attacks. We argue that the suggested survey, the selected features, and the created custom rules, led successfully to the creation of a customely initialised Sysmon tool. Above that, the creation of a lightweight and infrastructure-agnostic python parsing incident response tool, can be used as a basis for future work in this interesting and rapidly evolving field. 2022-05-11T07:04:12Z 2022-05-11T07:04:12Z 2022-03-11 http://hdl.handle.net/11610/23702 en Αναφορά Δημιουργού - Μη Εμπορική Χρήση - Παρόμοια Διανομή 4.0 Διεθνές http://creativecommons.org/licenses/by-nc-sa/4.0/ 127 σ. application/pdf Σάμος
spellingShingle config.xml
pexp
python
lateral movement
PtH
PtT
python_Evtx_parser
sysmon
golden/silver ticket
ψηφιακή εγκληματολογία
επιθέσεις πλευρικής μετακίνησης
εργαλεία ανίχνευσης επιθέσεων
Digital forensic science
Computer security
Cyberterrorism--Prevention
Σμηλιοτόπουλος, Χρήστος
Smiliotopoulos, Christos
Use of Sysmon tool to detect lateral movement attacks
title Use of Sysmon tool to detect lateral movement attacks
title_full Use of Sysmon tool to detect lateral movement attacks
title_fullStr Use of Sysmon tool to detect lateral movement attacks
title_full_unstemmed Use of Sysmon tool to detect lateral movement attacks
title_short Use of Sysmon tool to detect lateral movement attacks
title_sort use of sysmon tool to detect lateral movement attacks
topic config.xml
pexp
python
lateral movement
PtH
PtT
python_Evtx_parser
sysmon
golden/silver ticket
ψηφιακή εγκληματολογία
επιθέσεις πλευρικής μετακίνησης
εργαλεία ανίχνευσης επιθέσεων
Digital forensic science
Computer security
Cyberterrorism--Prevention
url http://hdl.handle.net/11610/23702
work_keys_str_mv AT smēliotopouloschrēstos useofsysmontooltodetectlateralmovementattacks
AT smiliotopouloschristos useofsysmontooltodetectlateralmovementattacks