Hoàng Doanh
Intern
Giới thiệu
Sau khi kiểm thử khả năng phát hiện của Trend Vision One bằng kịch bản Network Attack Simulation có sẵn, mình tiếp tục xây dựng một kịch bản giả lập khác để tạo traffic gần với giai đoạn hậu khai thác trong một chuỗi tấn công khác.
Trong bài lab này, máy Windows được giả định là một endpoint đã bị compromise bên trong mạng nội bộ. Từ trạng thái đã bị kiểm soát, máy này thực hiện một số hành vi đáng ngờ như kiểm tra kết nối đến một máy Ubuntu nội bộ đóng vai trò Internal C2 / Attacker Simulator, tải thêm payload qua HTTP, tạo kết nối reverse shell, gửi HTTP beacon giống hành vi Command and Control.
Do giới hạn của môi trường lab, máy Ubuntu được đặt cùng LAN với máy Windows để tạo traffic East-West cho Virtual Network Sensor quan sát. Vì vậy, mô hình này không mô phỏng đầy đủ một attacker ngoài Internet, mà tập trung vào việc kiểm thử khả năng visibility và detection của NDR đối với các hành vi post-compromise trong mạng nội bộ.
Mục tiêu chính của bài lab không phải là mô phỏng giai đoạn khai thác ban đầu, mà là kiểm tra khả năng quan sát của Trend Micro NDR đối với các hành vi hậu khai thác ở tầng network. Thông qua Virtual Network Sensor, các luồng traffic giữa máy Windows đã bị compromise và máy Ubuntu đóng vai trò C2 simulator sẽ được thu thập, phân tích và gửi về Trend Vision One để quan sát alert/event nếu có.
I. Mục tiêu
II. Mô hình triển khai
III. Các bước thực hiện
Sau khi kiểm thử khả năng phát hiện của Trend Vision One bằng kịch bản Network Attack Simulation có sẵn, mình tiếp tục xây dựng một kịch bản giả lập khác để tạo traffic gần với giai đoạn hậu khai thác trong một chuỗi tấn công khác.
Trong bài lab này, máy Windows được giả định là một endpoint đã bị compromise bên trong mạng nội bộ. Từ trạng thái đã bị kiểm soát, máy này thực hiện một số hành vi đáng ngờ như kiểm tra kết nối đến một máy Ubuntu nội bộ đóng vai trò Internal C2 / Attacker Simulator, tải thêm payload qua HTTP, tạo kết nối reverse shell, gửi HTTP beacon giống hành vi Command and Control.
Do giới hạn của môi trường lab, máy Ubuntu được đặt cùng LAN với máy Windows để tạo traffic East-West cho Virtual Network Sensor quan sát. Vì vậy, mô hình này không mô phỏng đầy đủ một attacker ngoài Internet, mà tập trung vào việc kiểm thử khả năng visibility và detection của NDR đối với các hành vi post-compromise trong mạng nội bộ.
Mục tiêu chính của bài lab không phải là mô phỏng giai đoạn khai thác ban đầu, mà là kiểm tra khả năng quan sát của Trend Micro NDR đối với các hành vi hậu khai thác ở tầng network. Thông qua Virtual Network Sensor, các luồng traffic giữa máy Windows đã bị compromise và máy Ubuntu đóng vai trò C2 simulator sẽ được thu thập, phân tích và gửi về Trend Vision One để quan sát alert/event nếu có.
I. Mục tiêu
Mục tiêu của bài lab gồm:
- Mô phỏng hành vi của một máy Windows đã bị compromise bên trong mạng nội bộ.
- Sử dụng một máy Ubuntu cùng LAN làm Internal C2 / Attacker Simulator để tạo traffic kiểm thử.
- Tạo các luồng traffic thường gặp trong giai đoạn hậu khai thác:
- Kiểm tra kết nối và probe port đến máy C2 simulator.
- Tải thêm file/payload qua HTTP.
- Thực thi file giả lập trên máy đã bị compromise.
- Tạo reverse shell callback về C2 simulator.
- Gửi HTTP beacon đến fake C2 server.
- Kiểm tra khả năng Virtual Network Sensor ghi nhận traffic East-West trong mạng nội bộ.
- Quan sát alert hoặc event sinh ra trên Trend Vision One.
- Đánh giá khả năng hiển thị của NDR đối với các hành vi C2, reverse shellvà suspicious HTTP traffic trong môi trường lab.
II. Mô hình triển khai
Mô hình lab gồm một máy Windows được giả định đã bị compromise trong mạng nội bộ và một máy Ubuntu đóng vai trò Internal C2 / Attacker Simulator. Cả hai máy được đặt trong cùng network segment để tạo traffic East-West cho Virtual Network Sensor quan sát.
Trong bài lab này Ubuntu không đại diện cho attacker ngoài Internet. Do giới hạn môi trường lab, Ubuntu được đặt cùng LAN với máy Windows để chủ động tạo traffic kiểm thử như payload download, reverse shell callback, HTTP beacon.
Mô hình lab gồm hai máy chính và một sensor giám sát traffic:
| Thành phần | Hệ điều hành | IP | Vai trò | |||
| Internal C2 / Attacker Simulator | Ubuntu | 192.168.1.95 | Host payload, fake C2 server và reverse shell listener | |||
|
| 192.168.1.96 |
| |||
| Sensor | Virtual Network Sensor | 192.168.1.111 | Thu thập và phân tích traffic East-West |
Trên máy Ubuntu, các dịch vụ giả lập được khởi chạy để tạo traffic kiểm thử:
- HTTP payload server :8888: phục vụ các file mô phỏng payload như update.ps1, hollowing.exe, invoice_update.zip.
- Fake C2 server :8081: nhận các HTTP GET/POST request từ máy Windows, mô phỏng beacon hoặc callback traffic.
- Reverse shell listener :444: chờ kết nối callback từ máy Windows đã bị compromise.
Các tài nguyên phục vụ demo gồm:
- update.ps1: script PowerShell demo, mô phỏng payload/script phụ.
- hollowing.exe: file payload reverse shell được thực thi trên máy đã bị compromise.
- fake_invoice.txt: file tài liệu giả dùng để đóng gói vào archive.
- invoice_update.zip: file nén mô phỏng archive được tải từ C2 simulator.
- fake_c2_server.py: HTTP server đơn giản nhận request beacon/C2-like.
Ở phía máy Windows, endpoint này được giả định đã bị compromise sẵn. Vì vậy, các hành vi trong bài lab không nhằm mô phỏng giai đoạn initial access, mà tập trung vào giai đoạn post-compromise. Máy Windows sẽ kiểm tra kết nối đến C2 simulator, tải thêm file qua HTTP, thực thi file giả lập, tạo reverse shell callback và gửi HTTP beacon.
Sequence diagram bên dưới mô tả thứ tự các bước tương tác giữa hai máy trong kịch bản:
Có thể chia sequence này thành các giai đoạn chính như sau:
1. Khởi tạo dịch vụ giả lập trên Ubuntu
Ubuntu khởi chạy HTTP payload server, fake C2 server và reverse shell listener. Đây là các thành phần dùng để tạo traffic kiểm thử cho lab.
2. Connectivity check / port probing
Máy Windows đã bị compromise kiểm tra khả năng kết nối đến Ubuntu và probe các port đang mở. Hành vi này mô phỏng việc malware hoặc attacker-controlled process kiểm tra hạ tầng điều khiển.
3. Payload download qua HTTP
Máy Windows tải thêm các file như update.ps1, hollowing.exe, invoice_update.zip từ HTTP payload server trên port 8888. Đây là hành vi thường thấy trong giai đoạn post-compromise khi endpoint tải thêm công cụ hoặc payload phụ.
4. Payload execution
Máy Windows thực thi hollowing.exe để mô phỏng hành vi execution sau khi endpoint đã bị compromise. Trong lab, bước này chứa payload reverse shell nhằm tạo callback traffic phục vụ kiểm thử NDR.
5. Reverse shell callback
Sau khi thực thi, máy Windows tạo kết nối TCP ngược về Ubuntu trên port 444. Đây là hành vi đáng chú ý vì endpoint nội bộ chủ động mở kết nối đến một port không phổ biến.
6. HTTP beacon đến fake C2
Máy Windows gửi các HTTP request đến fake C2 server trên port 8081. Các request này mô phỏng beacon hoặc callback traffic thường gặp trong Command and Control.
7. Command execution qua reverse shell
Sau khi reverse shell được thiết lập, máy Ubuntu đóng vai trò C2 / Attacker Simulator có thể gửi lệnh đến máy Windows thông qua kênh TCP/444. Máy Windows thực thi lệnh và trả output ngược lại qua cùng kết nối.
III. Các bước thực hiện
Sau khi xác định mô hình và luồng kịch bản giả lập, quá trình thực hiện lab được chia thành hai phần chính:
- Chạy script trên máy Ubuntu để khởi tạo môi trường Internal C2 / Attacker Simulator.
- Chạy script trên máy Windows đã giả định bị compromise để tạo traffic post-compromise.
Trong đó, Ubuntu đóng vai trò chuẩn bị các dịch vụ nhận/gửi traffic, còn Windows đóng vai trò endpoint đã bị compromise và tạo ra các hành vi như tải file, beacon, reverse shell callback và nhận lệnh qua kênh reverse shell.
Bước 1: Chuẩn bị và chạy script trên Ubuntu
Trên máy Ubuntu 192.168.1.95, chạy script chuẩn bị môi trường demo. Script trên Ubuntu thực hiện các công việc chính sau:
- Tạo file update.ps1 để mô phỏng script payload phụ.
- Tạo file fake_invoice.txt để mô phỏng tài liệu giả.
- Đóng gói các file thành invoice_update.zip.
- Tạo file fake_c2_server.py.
- Khởi chạy HTTP payload server trên port 8888.
- Khởi chạy fake C2 HTTP server trên port 8081.
- Mở reverse shell listener trên port 444.
Bước 2: Chuẩn bị và chạy script trên Windows
Trên máy Windows 192.168.1.96, chạy script mô phỏng hành vi của một endpoint đã bị compromise. Script Windows thực hiện các hành vi chính sau:
- Kiểm tra kết nối đến Ubuntu C2 simulator.
- Probe các port được sử dụng trong lab như 8888, 8081, 444.
- Tải các file từ HTTP payload server:
- update.ps1
- hollowing.exe
- invoice_update.zip
- Thực thi file hollowing.exe tạo reverse shell callback về Ubuntu trên port 444.
- Gửi HTTP beacon hoặc request đến fake C2 server trên port 8081.
Phase đầu tiên là Check connectivity và Probe port.
Tiếp theo, máy Victim tiến hành tải các tài nguyên bao gồm có payload reverse shell, và payload sẽ được thực thi để tạo callback về C2.
Cuối cùng là tạo các Beacon Traffic giả.
Bước 3: Kiểm tra reverse shell callback
Sau khi file giả lập trên Windows được thực thi, kết nối reverse shell được tạo ngược về máy Ubuntu trên port 444. Trên terminal Ubuntu, listener nhận được kết nối từ máy Windows. Tại thời điểm này, Ubuntu có thể gửi lệnh qua kênh reverse shell và nhận output trả về. Hành vi này mô phỏng việc attacker đã có khả năng điều khiển endpoint bị compromise thông qua một kênh TCP outbound.
IV. Kiểm tra kết quả trên nền tảng Trend Vision OneSau khi chạy kịch bản giả lập trên hai máy Ubuntu và Windows, Trend Vision One đã ghi nhận được nhiều dấu hiệu bất thường từ traffic do Virtual Network Sensor thu thập.
1. Workbench Insights
Trong mục Workbench Insights, hệ thống tạo một insight mới với score 57, liên quan đến model [Heuristic Attribute] Server Software Component. Insight này có impact scope gồm 2 endpoints và được ánh xạ vào các attack phase như Initial Access, Persistence và Command and Control.
2. Observed Attack Techniques
Trong mục Observed Attack Techniques, hệ thống ghi nhận tổng cộng 6 events liên quan đến hai host 192.168.1.95 và 192.168.1.96.
3. Chi tiết Detection
Ở phần chi tiết event, Trend Vision One ghi nhận rõ các object quan trọng như:
- src: 192.168.1.96
- dst: 192.168.1.95
- dpt: 444
- app: TCP
- ruleName: Remote Command Shell - TCP
- request: http://192.168.1.95/update.ps1
- botCmd: ví dụ lệnh whoami
Điều này cho thấy hệ thống không chỉ phát hiện kết nối bất thường, mà còn trích xuất được một số thông tin liên quan đến command, request URL, IP nguồn/đích, port và rule detection.
Ở một event khác, chi tiết event còn cho thấy output của Reverse Shell được ghi lại thông qua field botCmd.
4. Network Overview
Trong Network Overview, dashboard ghi nhận: 4 C2C detections và 2 Lateral Movement detections. Kết quả này cho thấy traffic giả lập đã tạo đủ tín hiệu để Trend Vision One phân loại vào các nhóm hành vi tấn công ở tầng network.
MITRE mapping có các tactic như Initial Access, Execution, Persistence và Command and Control.
5. Workbench Case
Trong Workbench case, hệ thống hiển thị insight [Heuristic Attribute] Server Software Component với score 57. Case ghi nhận hai endpoint liên quan là 192.168.1.95 và 192.168.1.96.
Ở tab Highlighted Objects, các object chính được tổng hợp:
- interestedHost: 192.168.1.95
- peerHost: 192.168.1.96
- interestedIp: 192.168.1.95
- peerIp: 192.168.1.96
- ruleName: Remote Command Shell - TCP
- app: TCP
Ở tab Timeline, hệ thống ghi nhận sự kiện Remote Command Shell TCP - Outbound và network activity từ 192.168.1.96 đến 192.168.1.95. Điều này giúp tái hiện nhanh luồng giao tiếp giữa compromised host và C2 simulator.
Khi mở chi tiết alert, Workbench hiển thị attack graph giữa 192.168.1.96 với 192.168.1.95, mô tả về detection rule kèm theo các tactic được mapping từ MITRE ATT&CK. Thông tin này giúp xác nhận hệ thống đã nhận diện được luồng reverse shell/command traffic giữa compromised host và C2 simulator.
Bài viết liên quan
Được quan tâm
Bài viết mới