Thursday, July 16, 2020

Điều tra tiến trình gây kết nối lạ trên máy tính Windows

0

Hôm nay có một case sự cố mà trên SIEM không có thông tin nên chia sẻ cùng anh em.

Thông thường để giám sát kết nối của các endpoint đến các C&C thì trên SIEM mình tạo list IP và domain blacklist để biết được thiết bị nào đang kết nối ra và kết nối vào thời gian nào từ đó xem ai đang sử dụng thiết bị đó (máy tính, điện thoại,...) và tiến hành kiểm tra, bóc gỡ mã độc (nếu có).

Hôm nay đang viết tài liệu chợt có email anh ngồi bên cùng team báo có alert bắn về rằng có 1 IP đang kết nối đến IP nằm trong blacklist cần kiểm tra gấp. Theo thông tin sơ bộ thì IP C2 này thuộc chiến dịch X mà đã add vào hệ thống cách đây không lâu, qua Source IP đã tìm ra được người dùng đang sử dụng và đang online, tiến hành contact và yêu cầu accept remote kết nối vào kiểm tra máy tính.

Bằng các công cụ không tìm ra tiến trình nào lạ chạy trên máy, quái lạ. Quay sang tìm history của trình duyệt xem có kết nối đến trang nào không (hay xảy ra trường hợp người dùng tìm kiếm thông tin trên mạng sau đó click vào link/ảnh bị nhảy popup quảng cáo), kết quả cũng không có thông tin gì.

Thôi thì bật Event Log lên xem có gì không, tiến hành lọc theo các Event ID từ 5152 đến 5159 (là các Event ID liên quan kết nối), lướt vào thời gian mình cần thì có kết nối như hình dưới đúng cái mình cần (để tìm nhanh anh em có thể Ctrl + F để gõ thẳng IP ở trên).

Hình ảnh hiển thị kết nối của tiến trình lạ trên Windows

Lần theo đường dẫn thì file này đã bị xoá bởi AV, hèn gì tìm không ra nên quay ra copy bản copy trong mục Quarantine của AV về phân tích hành vi vậy (AV chỗ mình có phần Quarantine là nơi lưu trữ các file bị xoá do nghi ngờ virus), ngoài ra anh em đừng quên check nguồn gốc file này tại sao chui được vào máy nhé.

Như vậy ta có kinh nghiệm xử lý loại sự cố này như sau:

1. Các loại dữ liệu kết nối thì có thể tìm bằng các tool thông thường (đã được phê duyệt), ví dụ nếu malware còn tồn tại và kết nối thường xuyên có thể xem bằng tool free của Microsoft là TCPView hoặc Procmon (Process Monitor), check các file lạ mình thường dùng các tool như Autoruns, Process Explorer,...

2. Có thể tìm trong phần history của browser, có thể dùng "Browsing History View" của Nirsoft (nếu được phê duyệt sử dụng).

3. Có thể tìm trong Event Log thông qua các ID từ 5152 đến 5159 (mình hay tìm 5152, 5156, 5157), cái này có hạn chế là Event Log trong Windows không lưu được nhiều log, có thể bị rotate mà cắt mất phần mình cần, ví dụ tìm 10 ngày trước chưa chắc đã có do bị xoá rồi.

4. Để khắc phục ý 3, các đơn vị SOC nên cân nhắc lấy log này đẩy về SIEM để lưu được lâu hơn, có dữ liệu mà điều tra chứ điều tra ko đủ log khó lắm, chỉ còn dùng cách ngoại cảm thôi.

Thôi ra làm trận Pes đã.



0 comments:

Post a Comment