Playbook: Phương pháp Hunting APT Trung Quốc toàn diện

Giới thiệu

Bài viết này phân tích chi tiết “Playbook Hunting Chinese APT” trên Detect.FYI, một hướng dẫn thực chiến giúp các đội bảo mật và SOC phát hiện, phân tích và ứng phó với các chiến dịch tấn công APT có nguồn gốc từ Trung Quốc. Nội dung tập trung vào:

• Hồ sơ mối đe dọa (threat profile) và đặc điểm riêng của các nhóm APT Trung Quốc
• Dữ liệu và nguồn thông tin để triển khai hunting
• Các bước quy trình hunting theo chu kỳ Kill Chain / MITRE ATT&CK
• Kỹ thuật và truy vấn phát hiện (detection techniques) thiết thực
• Các quy tắc mẫu (Sigma rules) và lưu ý khi triển khai

1. Threat Profile: APT Trung Quốc

Các nhóm APT Trung Quốc thường có các đặc điểm sau:

• Chiến lược dài hạn: Kiên trì tấn công nhiều giai đoạn, thường quay lại mục tiêu đã bị phát hiện.
• Kỹ thuật đa dạng: Sử dụng cả mã độc tự phát triển và công cụ thương mại (Cobalt Strike, Mimikatz…).
• Tập trung vào thu thập thông tin chiến lược: Gián điệp công nghiệp, hạ tầng quan trọng, nghiên cứu R&D.
• Tận dụng lỗ hổng zero-day và phishing cao cấp.

2. Nguồn dữ liệu cho Hunting

Để phát hiện hành vi APT hiệu quả, Playbook khuyến nghị thu thập và phân tích từ:

• Windows Event Logs: Security, Sysmon, PowerShell logs
• Endpoint telemetry: EDR agent (process, network, file events)
• Network flow: Zeek/Suricata, firewall logs
• Cloud logs: AWS CloudTrail, Azure Activity logs
• Email gateway: Phishing payload, macro-less attack indicators

3. Quy trình Hunting theo MITRE ATT&CK

Playbook chia quy trình thành các bước tương ứng với các tactic của MITRE ATT&CK:

1. Initial Access: Phishing, Watering Hole, ProxyShell
2. Execution: PowerShell, WMI, BITSAdmin
3. Persistence: Scheduled Task, Registry Run Keys
4. Privilege Escalation: DLL Search Order Hijacking, Token Impersonation
5. Defense Evasion: Process Hollowing, Obfuscated Scripts
6. Credential Access: LSASS Memory, Mimikatz
7. Discovery: Network Scanning, System Information Discovery
8. Lateral Movement: SMB, WMI Remote Exec, RDP
9. Command and Control: HTTP(s) beacon, DNS tunneling
10. Exfiltration: FTP, SCP, Cloud Storage

4. Kỹ thuật và truy vấn phát hiện

4.1 Phát hiện Initial Access

• Theo dõi hoạt động PowerShell bất thường:

  Get-WinEvent -FilterHashtable @{
    LogName = 'Microsoft-Windows-PowerShell/Operational'
    Id = 4104
  } | Where-Object {
    $_.Message -match 'DownloadString|Invoke-Expression'
  }

• Giám sát macro-less Office loading:
• Sự kiện WinEvent ID 8004 (ApplicationLoader)

4.2 Phát hiện Persistence

• Kiểm tra Scheduled Tasks mới:

  schtasks /Query /FO LIST | Select-String -Pattern 'Author:' 

• Kiểm soát Registry Run Keys:

  Get-ItemProperty 'HKLM:\Software\Microsoft\Windows\CurrentVersion\Run'

4.3 Phát hiện C2 Beacon

• Kiểm tra kết nối HTTPS không chuẩn:

  index=network sourcetype=bro_ssl | stats count by dest_ip, dest_port, ssl_subject

• Giám sát DNS request bất thường:

  index=dns | stats count by query_type, query_answer | where count>100

5. Bảng Mapping Tactic ↔ Dữ liệu Telemetry

6. Ví dụ Sigma Rule

title: Suspicious PowerShell Download
id: abcd1234-5678-90ab-cdef-1234567890ab
status: experimental
description: Detects PowerShell scripts using DownloadString and Invoke-Expression
logsource:
  product: windows
  service: sysmon
detection:
  selection:
    EventID: 1
    CommandLine|contains:
      - 'DownloadString'
      - 'Invoke-Expression'
  condition: selection
falsepositives:
  - Administrators using Invoke-WebRequest
level: high

7. Kết luận

Playbook trên Detect.FYI cung cấp một hướng dẫn rõ ràng, có hệ thống để hunting các chiến dịch APT đến từ Trung Quốc. Bằng cách kết hợp dữ liệu từ nhiều nguồn, áp dụng quy trình theo MITRE ATT&CK và sử dụng các truy vấn/luật mẫu, đội ngũ SOC và chuyên gia bảo mật có thể nâng cao khả năng phát hiện sớm và phản ứng kịp thời trước các mối đe dọa phức tạp.

Source link: Playbook Hunting Chinese APT