Hoàng Doanh
Intern
Sau khi đã triển khai Virtual Network Sensor, cấu hình môi trường thu thập traffic và chạy kịch bản Network Attack Simulation, bước tiếp theo là quan sát cách Trend Vision One hiển thị và tương quan các dấu hiệu tấn công. Trong bài lab này, mình tập trung phân tích hai thành phần chính là Observed Attack Techniques và Workbench.
Observed Attack Techniques giúp hiển thị các kỹ thuật tấn công được phát hiện theo framework MITRE ATT&CK, trong khi Workbench tổng hợp nhiều alert liên quan thành một case có ngữ cảnh đầy đủ hơn. Thông qua kết quả mô phỏng, bài viết sẽ phân tích cách hệ thống nhận diện hành vi Command and Control qua HTTP, ánh xạ kỹ thuật tấn công và hỗ trợ quá trình điều tra sự cố.
Ở các bài lab trước, mình đã cấu hình môi trường thu thập traffic cho Virtual Network Sensor và chạy kịch bản Network Attack Simulation do Trend Vision One cung cấp. Sau khi script mô phỏng được thực thi trên máy Windows 10, dữ liệu phân tích được hệ thống ghi nhận và hiển thị thông qua hai thành phần chính là Observed Attack Techniques và Workbench.
I. Tổng quan về Observed Attack Techniques và Workbench
Trong quá trình kiểm thử, mình sử dụng script Network Attack Simulation do Trend Vision One cung cấp để tạo ra các hành vi đáng ngờ trên traffic mạng. Kịch bản này tập trung vào hai nhóm kỹ thuật chính:
Do hạn chế về tài nguyên, môi trường lab chỉ sử dụng một máy Windows thay vì hai máy như khuyến nghị ban đầu. Vì vậy, các hành vi liên quan đến lateral movement chưa được thể hiện đầy đủ. Tuy nhiên, hệ thống vẫn ghi nhận được các dấu hiệu tấn công dựa trên mẫu lưu lượng và hành vi đặc trưng.
III. Kết quả quan sát trên Observed Attack Techniques
Sau khi chạy kịch bản mô phỏng, Trend Vision One ghi nhận nhiều alert bất thường trong mục Observed Attack Techniques. Các sự kiện nổi bật chủ yếu liên quan đến hành vi Command and Control với mức độ nghiêm trọng High, cho thấy host trong môi trường lab đã thực hiện các kết nối đáng ngờ ra bên ngoài.
Khi kiểm tra chi tiết, host 192.168.1.37, là máy Windows 10 dùng để chạy script, đã gửi các request HTTP đến domain trend-micro-test.com với địa chỉ IP 16.144.93.214. Dạng traffic này mô phỏng mô hình C2, trong đó máy bị kiểm soát chủ động kết nối đến server bên ngoài để nhận lệnh điều khiển.
Điểm đáng chú ý là traffic sử dụng giao thức HTTP thông thường trên port 80 và User-Agent giả lập trình duyệt hợp pháp. Đây là cách thường được dùng để ngụy trang traffic độc hại trong lưu lượng mạng bình thường.
Dựa trên các đặc điểm này, hệ thống phát hiện các dấu hiệu liên quan đến Cobalt Strike thông qua các rule như “Possible Cobalt Strike Connection” và “CobaltStrike HTTP (Request) Variant 4”. Điều này cho thấy lưu lượng mạng có đặc điểm tương đồng với beacon của Cobalt Strike, một kỹ thuật thường được sử dụng để duy trì kết nối điều khiển từ xa một cách kín đáo. Các event được ánh xạ tới MITRE ATT&CK, cụ thể là tactic TA0011 - Command and Control và các technique T1071, T1071.001.
Bên cạnh các cảnh báo mức High, hệ thống cũng ghi nhận một số sự kiện Informational như “Possible Malware Traffic” và “Possible Internal Network Testing”. Đây là các traffic được sinh ra trong quá trình simulation nhằm kiểm tra khả năng phát hiện của hệ thống.
Tổng thể, kết quả quan sát cho thấy Virtual Network Sensor trong Trend Vision One có khả năng phát hiện hiệu quả các hành vi bất thường trên mạng, đồng thời cung cấp ngữ cảnh phân tích rõ ràng phục vụ cho quá trình điều tra và giám sát an ninh mạng.
IV. Kết quả phân tích trên Workbench
Trong Trend Vision One, Workbench là nơi tổng hợp và phân tích các sự kiện bảo mật sau khi hệ thống đã xử lý và tương quan dữ liệu. Với kịch bản simulation, hệ thống đã tạo một case liên quan đến hành vi Command and Control với score cao, cho thấy đây là sự kiện cần được ưu tiên phân tích.
Kết quả quan sát cho thấy Trend Vision One không chỉ ghi nhận alert đơn lẻ mà còn có khả năng ánh xạ hành vi sang MITRE ATT&CK và tương quan nhiều alert thành một case có ngữ cảnh. Điều này giúp quá trình phân tích trở nên trực quan hơn, đặc biệt khi cần xác định host bị ảnh hưởng, kỹ thuật tấn công, domain/IP liên quan và timeline sự kiện.
Trong môi trường lab, dù chỉ sử dụng một máy Windows để chạy simulation, Virtual Network Sensor vẫn phát hiện được các dấu hiệu C2 thông qua traffic HTTP bất thường. Điều này cho thấy sensor có thể cung cấp dữ liệu hữu ích cho quá trình giám sát và điều tra, ngay cả khi mô hình kiểm thử được triển khai ở quy mô nhỏ.
VI. Kết luận
Trong bài lab này, mình đã quan sát và phân tích kết quả phát hiện từ Trend Vision One sau khi chạy kịch bản Network Attack Simulation. Observed Attack Techniques giúp hiển thị các kỹ thuật tấn công theo MITRE ATT&CK, trong khi Workbench tổng hợp các alert liên quan thành một case có bối cảnh rõ ràng hơn.
Kết quả nổi bật là hệ thống đã phát hiện hành vi Command and Control thông qua traffic HTTP từ host 192.168.1.37 đến domain trend-micro-test.com, đồng thời ánh xạ sự kiện tới các kỹ thuật T1071 và T1071.001. Các thành phần như Case Overview, Impact Scope, Highlighted Objects, Alerts, Timeline và In-depth Investigation hỗ trợ tốt cho quá trình điều tra, giúp người phân tích hiểu được diễn biến và phạm vi ảnh hưởng của sự kiện.
Observed Attack Techniques giúp hiển thị các kỹ thuật tấn công được phát hiện theo framework MITRE ATT&CK, trong khi Workbench tổng hợp nhiều alert liên quan thành một case có ngữ cảnh đầy đủ hơn. Thông qua kết quả mô phỏng, bài viết sẽ phân tích cách hệ thống nhận diện hành vi Command and Control qua HTTP, ánh xạ kỹ thuật tấn công và hỗ trợ quá trình điều tra sự cố.
Ở các bài lab trước, mình đã cấu hình môi trường thu thập traffic cho Virtual Network Sensor và chạy kịch bản Network Attack Simulation do Trend Vision One cung cấp. Sau khi script mô phỏng được thực thi trên máy Windows 10, dữ liệu phân tích được hệ thống ghi nhận và hiển thị thông qua hai thành phần chính là Observed Attack Techniques và Workbench.
I. Tổng quan về Observed Attack Techniques và Workbench
1) Observed Attack Techniques
Observed Attack Techniques là khu vực hiển thị các kỹ thuật tấn công đã được Trend Vision One phát hiện và ánh xạ theo framework MITRE ATT&CK. Thay vì chỉ hiển thị từng alert riêng lẻ, OAT giúp người quản trị quan sát các hành vi bất thường theo tactic/technique, mức độ rủi ro và mối liên hệ với chuỗi tấn công.
Chức năng chính:
- Hiển thị các hành vi tấn công theo tactic và technique.
- Phân loại mức độ rủi ro như Low, Medium hoặc High.
- Hỗ trợ lọc, theo dõi và ưu tiên xử lý các hành vi bất thường.
- Giúp người phân tích hiểu kỹ thuật tấn công đang được sử dụng.
Thông qua OAT, người quản trị có thể nhanh chóng xác định hệ thống đang ghi nhận loại hành vi nào, mức độ nguy hiểm ra sao và kỹ thuật đó thuộc giai đoạn nào trong MITRE ATT&CK.
2) Workbench
Workbench là khu vực hỗ trợ điều tra và phân tích sự kiện bảo mật trong Trend Vision One. Thành phần này tổng hợp nhiều alert có liên quan thành một case hoặc incident có ngữ cảnh rõ ràng hơn, giúp người phân tích không cần xử lý từng cảnh báo rời rạc.
Chức năng chính:
- Tổng hợp và tương quan các alert liên quan.
- Hiển thị attack chain hoặc luồng sự kiện theo thời gian.
- Cung cấp thông tin về nguồn phát sinh, mục tiêu, domain/IP liên quan và rule detection.
- Hỗ trợ đánh giá phạm vi ảnh hưởng và mức độ nghiêm trọng.
- Cung cấp insight phục vụ điều tra và phản ứng sự cố.
Có thể hiểu OAT giúp quan sát kỹ thuật tấn công ở góc nhìn MITRE ATT&CK, còn Workbench giúp phân tích toàn cảnh một sự kiện bảo mật cụ thể.
II. Mô tả kịch bản mô phỏng tấn côngTrong quá trình kiểm thử, mình sử dụng script Network Attack Simulation do Trend Vision One cung cấp để tạo ra các hành vi đáng ngờ trên traffic mạng. Kịch bản này tập trung vào hai nhóm kỹ thuật chính:
- Command and Control - T1071: mô phỏng lưu lượng HTTP bất thường có đặc điểm tương tự hành vi beacon/callback của công cụ Cobalt Strike, nhằm thể hiện quá trình kết nối tới máy chủ điều khiển.
- Exploitation of Remote Services - T1210: mô phỏng hành vi khai thác dịch vụ từ xa, ví dụ MS17-010 thông qua giao thức SMB.
Do hạn chế về tài nguyên, môi trường lab chỉ sử dụng một máy Windows thay vì hai máy như khuyến nghị ban đầu. Vì vậy, các hành vi liên quan đến lateral movement chưa được thể hiện đầy đủ. Tuy nhiên, hệ thống vẫn ghi nhận được các dấu hiệu tấn công dựa trên mẫu lưu lượng và hành vi đặc trưng.
III. Kết quả quan sát trên Observed Attack Techniques
Sau khi chạy kịch bản mô phỏng, Trend Vision One ghi nhận nhiều alert bất thường trong mục Observed Attack Techniques. Các sự kiện nổi bật chủ yếu liên quan đến hành vi Command and Control với mức độ nghiêm trọng High, cho thấy host trong môi trường lab đã thực hiện các kết nối đáng ngờ ra bên ngoài.
Khi kiểm tra chi tiết, host 192.168.1.37, là máy Windows 10 dùng để chạy script, đã gửi các request HTTP đến domain trend-micro-test.com với địa chỉ IP 16.144.93.214. Dạng traffic này mô phỏng mô hình C2, trong đó máy bị kiểm soát chủ động kết nối đến server bên ngoài để nhận lệnh điều khiển.
Điểm đáng chú ý là traffic sử dụng giao thức HTTP thông thường trên port 80 và User-Agent giả lập trình duyệt hợp pháp. Đây là cách thường được dùng để ngụy trang traffic độc hại trong lưu lượng mạng bình thường.
Dựa trên các đặc điểm này, hệ thống phát hiện các dấu hiệu liên quan đến Cobalt Strike thông qua các rule như “Possible Cobalt Strike Connection” và “CobaltStrike HTTP (Request) Variant 4”. Điều này cho thấy lưu lượng mạng có đặc điểm tương đồng với beacon của Cobalt Strike, một kỹ thuật thường được sử dụng để duy trì kết nối điều khiển từ xa một cách kín đáo. Các event được ánh xạ tới MITRE ATT&CK, cụ thể là tactic TA0011 - Command and Control và các technique T1071, T1071.001.
Bên cạnh các cảnh báo mức High, hệ thống cũng ghi nhận một số sự kiện Informational như “Possible Malware Traffic” và “Possible Internal Network Testing”. Đây là các traffic được sinh ra trong quá trình simulation nhằm kiểm tra khả năng phát hiện của hệ thống.
Tổng thể, kết quả quan sát cho thấy Virtual Network Sensor trong Trend Vision One có khả năng phát hiện hiệu quả các hành vi bất thường trên mạng, đồng thời cung cấp ngữ cảnh phân tích rõ ràng phục vụ cho quá trình điều tra và giám sát an ninh mạng.
IV. Kết quả phân tích trên Workbench
Trong Trend Vision One, Workbench là nơi tổng hợp và phân tích các sự kiện bảo mật sau khi hệ thống đã xử lý và tương quan dữ liệu. Với kịch bản simulation, hệ thống đã tạo một case liên quan đến hành vi Command and Control với score cao, cho thấy đây là sự kiện cần được ưu tiên phân tích.
1) Workbench Insights
Workbench Insights cung cấp góc nhìn tổng quan về các sự kiện đã được hệ thống tổng hợp từ nhiều alert liên quan. Thay vì xem từng alert riêng lẻ, người phân tích có thể nhanh chóng nhận diện một hành vi bất thường lớn trong hệ thống.
2) Case Overview
Trong case được ghi nhận, hệ thống xác định host nội bộ 192.168.1.37 đang thực hiện các kết nối HTTP đáng ngờ ra bên ngoài. Hành vi này được ánh xạ tới MITRE ATT&CK T1071 và T1071.001, thể hiện việc sử dụng giao thức tầng ứng dụng, cụ thể là HTTP, để che giấu kênh Command and Control.
3) Impact Scope
Impact Scope cho biết phạm vi ảnh hưởng của sự cố, bao gồm các tài sản (endpoint, IP) liên quan và số lượng alert tương ứng trên từng đối tượng. Trong bài lab này, hệ thống xác định chỉ có một host bị ảnh hưởng là 192.168.1.37. Nhiều alert phát sinh từ host này được hệ thống tự động tương quan thành một case duy nhất.
4) Highlighted Objects
Highlighted Objects tổng hợp các đối tượng quan trọng liên quan đến case, bao gồm endpoint, IP, domain, URL và thuộc tính traffic. Trong kịch bản này, host 192.168.1.37 thực hiện kết nối HTTP đến domain trend-micro-test.com, IP 16.144.93.214, với request submit.php. Rule “COBALTSTRIKE - HTTP (REQUEST)” cho thấy traffic có đặc điểm liên quan đến hoạt động Cobalt Strike.
5) Alerts
Mục Alerts hiển thị các cảnh báo chi tiết được sinh ra từ Virtual Network Sensor. Trong case này, hệ thống ghi nhận nhiều alert có mức độ nghiêm trọng High và xảy ra trong khoảng thời gian ngắn, cho thấy các hành vi được simulation sinh ra có liên quan chặt chẽ với nhau.
6) Timeline
Timeline thể hiện diễn biến sự kiện theo trình tự thời gian. Các alert liên quan đến Cobalt Strike và Command and Control Communication via HTTP xuất hiện gần như đồng thời, đều xuất phát từ host 192.168.1.37 và được ánh xạ tới TA0011, T1071.001.
Ngoài ra, hệ thống cũng bổ sung một sự kiện “Added after initial detection”, thể hiện quá trình tự động correlation, trong đó lưu lượng từ host nội bộ đến IP bên ngoài (16.144.93.214) được xác định là một phần của chuỗi tấn công
7) In-depth Investigation
Một điểm đáng chú ý trong Workbench của TrendAI Vision One là khả năng tái hiện (replay) lại quá trình tấn công dựa trên dữ liệu đã thu thập. Thông qua mục In-depth Investigation, hệ thống không chỉ hiển thị các sự kiện rời rạc mà còn mô phỏng lại luồng tấn công dưới dạng trực quan, thể hiện rõ hướng đi của lưu lượng từ host nội bộ 192.168.1.37 đến server bên ngoài 16.144.93.214. Các request HTTP được sắp xếp theo thời gian, cho phép quan sát quá trình C&C Callback diễn ra như thế nào. Tính năng này giúp người phân tích dễ dàng hình dung lại toàn bộ hành vi tấn công, từ thời điểm bắt đầu cho đến các lần callback tiếp theo, thay vì phải tự tổng hợp từ nhiều log khác nhau
8) All Alerts
All Alerts hiển thị danh sách chi tiết các alert được sinh ra từ detection rule.
Khi phân tích một alert cụ thể như “Possible Cobalt Strike Connection”, hệ thống cung cấp các thông tin chính gồm host nguồn, domain đích, IP đích, URL, port, User-Agent, rule detection và kỹ thuật MITRE ATT&CK liên quan. Ngoài ra, sơ đồ kết nối đi kèm giúp trực quan hóa luồng traffic từ host nội bộ ra server bên ngoài.
Workbench Insights phù hợp để nắm bức tranh tổng quan và ưu tiên xử lý, trong khi All Alerts cung cấp dữ liệu kỹ thuật chi tiết phục vụ điều tra sâu.
V. Nhận xétKết quả quan sát cho thấy Trend Vision One không chỉ ghi nhận alert đơn lẻ mà còn có khả năng ánh xạ hành vi sang MITRE ATT&CK và tương quan nhiều alert thành một case có ngữ cảnh. Điều này giúp quá trình phân tích trở nên trực quan hơn, đặc biệt khi cần xác định host bị ảnh hưởng, kỹ thuật tấn công, domain/IP liên quan và timeline sự kiện.
Trong môi trường lab, dù chỉ sử dụng một máy Windows để chạy simulation, Virtual Network Sensor vẫn phát hiện được các dấu hiệu C2 thông qua traffic HTTP bất thường. Điều này cho thấy sensor có thể cung cấp dữ liệu hữu ích cho quá trình giám sát và điều tra, ngay cả khi mô hình kiểm thử được triển khai ở quy mô nhỏ.
VI. Kết luận
Trong bài lab này, mình đã quan sát và phân tích kết quả phát hiện từ Trend Vision One sau khi chạy kịch bản Network Attack Simulation. Observed Attack Techniques giúp hiển thị các kỹ thuật tấn công theo MITRE ATT&CK, trong khi Workbench tổng hợp các alert liên quan thành một case có bối cảnh rõ ràng hơn.
Kết quả nổi bật là hệ thống đã phát hiện hành vi Command and Control thông qua traffic HTTP từ host 192.168.1.37 đến domain trend-micro-test.com, đồng thời ánh xạ sự kiện tới các kỹ thuật T1071 và T1071.001. Các thành phần như Case Overview, Impact Scope, Highlighted Objects, Alerts, Timeline và In-depth Investigation hỗ trợ tốt cho quá trình điều tra, giúp người phân tích hiểu được diễn biến và phạm vi ảnh hưởng của sự kiện.
Đính kèm
Bài viết liên quan
Được quan tâm
Bài viết mới