Hyökkäysmenetelmien havaitseminen Sysmonin avulla
Vuorinen, Aleksi (2019)
Vuorinen, Aleksi
2019
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2019061016337
https://urn.fi/URN:NBN:fi:amk-2019061016337
Tiivistelmä
Kohdistettujen hyökkäyksien sekä erilaisten hyökkäyskampanjoiden määrän noustessa yritykset ovat miettineet miten hyökkäyksiin kuluvaa reagointi- ja havaitsemisaikaa voisi lyhentää. Opinnäytetyössä käsiteltiin uhkien havaitsemista hyökkäyksen aikana Windowsin tapahtumalokeista löydetyistä poikkeamista. Työssä keskityttiin erillisen Sysmon-auditointilisäosan tuottamiin tapahtumalokeihin. Ennen hyökkäystä havainnollistettiin Sysmonin toimintaa ja sen ylläpitoa.
Työn aikana simuloidun hyökkäyksen toteutuksessa hyödynnettiin Microsoftin laatimaa prosessikaaviota, joka pohjautuu asiantuntijoiden laatimaan tietoon tunnetuiden hyökkäysten kulusta. Simuloitu hyökkäys kohdistettiin virtualisoituun toimialueympäristöön, joka kuvastaa pienen tai keskisuuren yrityksen toimintamallia. Hyökkäyksestä aiheutuneita tapahtumalokeja tarkasteltiin erillisestä lokienhallintajärjestelmästä, joka asennettiin toimialueen rinnalle virtuaaliympäristöön.
Hyökkäyksestä aiheutuneita tapahtumalokin poikkeamia analysoitiin ja tuloksia verrattiin osittain eri tutkimuksista saatavilla oleviin tuloksiin. Hyökkäystyökalujen sekä tekniikoiden osalta pyrittiin käyttämään tuoreita esimerkkejä, joista löytyi vapaasti saatavilla olevaa dokumentointia. Havaituista poikkeamista koostettiin lopuksi Sysmonin sääntötiedosto, jolla työssä toteutetut hyökkäykset pystytään havaitsemaan.
Opinnäytetyön tavoitteessa parantaa hyökkäysten havainnointikykyä Sysmonin avulla onnistuttiin, vaikka toteutetut hyökkäysesimerkit olivatkin kärjistettyjä, eivätkä esimerkkinä toimineet menetelmät sisältäneet kaikkia mahdollisia hyökkäystyökaluja. Jokaisesta hyökkäysvaiheesta saatiin kerättyä lokitietoja, joita voidaan hyödyntää uhan havaitsemisen indikaattorina. Tavoitteen onnistumisesta huolimatta, lopputuloksilla ei kuitenkaan voida havaita jokaista mahdollista hyökkäystä ja siksi onkin suositeltavaa laajentaa Sysmonin pohjalla toimivia sääntöjä. As targeted attacks and the number of different attack campaigns increase, companies have wondered how the response and detection time for these attacks could be reduced. The thesis dealt with the detection of anomalies found from the Windows event logs during the attack. The work focused on the event logs produced by a separate Sysmon audit add-on. The operation of Sysmon and its maintenance were illustrated before the attack.
Process diagram of well-known attacks developed by Microsoft was utilized on the execution of simulated attack. The simulated attack was targeted to a virtualized domain environment that reflects a small or medium-sized business model. The event logs caused by the attack were examined on a separate log management system installed alongside the virtualized domain environment.
The event log anomalies caused by the attack were analyzed and the found results were partly compared with existing online studies. Recent examples of freely available documentation of attack tools and techniques were utilized during the simulation. The anomalies observed were compiled in to a Sysmon rule file which detects attacks used in the simulation.
The goal of the thesis to improve detection of attacks using Sysmon was successful, even though exemplary attacks were exaggerated, and the exemplary attack methods did not include all the possible attack tools available. From each attack phase anomalies were found which can be used as an indicator of attack. Despite the success of the goal, the end results cannot be used to detect every possible attack and it is therefore advisable to expand and develop rules which Sysmon relies on.
Työn aikana simuloidun hyökkäyksen toteutuksessa hyödynnettiin Microsoftin laatimaa prosessikaaviota, joka pohjautuu asiantuntijoiden laatimaan tietoon tunnetuiden hyökkäysten kulusta. Simuloitu hyökkäys kohdistettiin virtualisoituun toimialueympäristöön, joka kuvastaa pienen tai keskisuuren yrityksen toimintamallia. Hyökkäyksestä aiheutuneita tapahtumalokeja tarkasteltiin erillisestä lokienhallintajärjestelmästä, joka asennettiin toimialueen rinnalle virtuaaliympäristöön.
Hyökkäyksestä aiheutuneita tapahtumalokin poikkeamia analysoitiin ja tuloksia verrattiin osittain eri tutkimuksista saatavilla oleviin tuloksiin. Hyökkäystyökalujen sekä tekniikoiden osalta pyrittiin käyttämään tuoreita esimerkkejä, joista löytyi vapaasti saatavilla olevaa dokumentointia. Havaituista poikkeamista koostettiin lopuksi Sysmonin sääntötiedosto, jolla työssä toteutetut hyökkäykset pystytään havaitsemaan.
Opinnäytetyön tavoitteessa parantaa hyökkäysten havainnointikykyä Sysmonin avulla onnistuttiin, vaikka toteutetut hyökkäysesimerkit olivatkin kärjistettyjä, eivätkä esimerkkinä toimineet menetelmät sisältäneet kaikkia mahdollisia hyökkäystyökaluja. Jokaisesta hyökkäysvaiheesta saatiin kerättyä lokitietoja, joita voidaan hyödyntää uhan havaitsemisen indikaattorina. Tavoitteen onnistumisesta huolimatta, lopputuloksilla ei kuitenkaan voida havaita jokaista mahdollista hyökkäystä ja siksi onkin suositeltavaa laajentaa Sysmonin pohjalla toimivia sääntöjä.
Process diagram of well-known attacks developed by Microsoft was utilized on the execution of simulated attack. The simulated attack was targeted to a virtualized domain environment that reflects a small or medium-sized business model. The event logs caused by the attack were examined on a separate log management system installed alongside the virtualized domain environment.
The event log anomalies caused by the attack were analyzed and the found results were partly compared with existing online studies. Recent examples of freely available documentation of attack tools and techniques were utilized during the simulation. The anomalies observed were compiled in to a Sysmon rule file which detects attacks used in the simulation.
The goal of the thesis to improve detection of attacks using Sysmon was successful, even though exemplary attacks were exaggerated, and the exemplary attack methods did not include all the possible attack tools available. From each attack phase anomalies were found which can be used as an indicator of attack. Despite the success of the goal, the end results cannot be used to detect every possible attack and it is therefore advisable to expand and develop rules which Sysmon relies on.