Χρήση του εργαλείου Sysmon για τον εντοπισμό επιθέσεων εσωτερικής μετακίνησης ενός επιτιθέμενου

Abstract

Στην παρούσα διπλωματική εργασία παρουσιάζεται το εργαλείο Sysmon καθώς και ο τρόπος εγκατάστασης και παραμετροποίησης του ώστε να μπορεί να εντοπιστεί η εσωτερική μετακίνηση ενός επιτιθέμενου μέσα στο δίκτυο. Το Sysmon είναι ένα εργαλείο παρακολούθησης συστημάτων Windows το οποίο παρέχει λεπτομερείς πληροφορίες σχετικά με τις δημιουργίες διεργασιών, τις συνδέσεις δικτύου και τις αλλαγές στον χρόνο δημιουργίας αρχείων. Μέσα από την συλλογή των συμβάντων που δημιουργούνται από το Windows Event Collection agent, μπορεί να εντοπιστεί η κακόβουλη δραστηριότητα και να κατανοηθεί πως λειτουργούν οι επιτιθέμενοι μέσα στο δίκτυο. Αρχικά, αναλύεται η έννοια της εσωτερικής μετακίνησης, χρησιμοποιώντας τη στήλη Lateral Movement σύμφωνα με την κατηγοριοποίηση του MITRE ATT&CK και έπειτα με τη βοήθεια του Sysmon θα παρουσιαστούν τα καταγεγραμμένα συμβάντα που εντοπίστηκαν κατά τη διαδικασία της εσωτερικής μετακίνησης ανάμεσα σε δύο (2) Windows συστήματα. Τέλος, θα αναπτυχθούν οι τεχνικές παραμετροποίησης του εργαλείου για την σωστή καταγραφή αρχείων καθώς και τα διάφορα εργαλεία που θα χρησιμοποιηθούν κατά την διάρκεια αυτής της διαδικασίας. Ως τελικό αποτέλεσμα, θα υπάρχει ένας ταξινομημένος πίνακας με όλα τα ευρήματα από την συγκεκριμένη έρευνα.