Tweet
Nếu có 1 kỹ năng mà SOC bắt buộc phải giỏi, thì đó chính là:
Thực tế, 90% các vụ ransomware nghiêm trọng đều thất bại ở bước này:
❌ Không phát hiện được attacker đang lan rộng
❌ Chỉ phát hiện khi ransomware bắt đầu mã hóa
🧠 Vì sao Lateral Movement cực kỳ nguy hiểm?
Khi hacker đã:
✔ Có credential
✔ Có foothold
✔ Bắt đầu login sang máy khác
Thì:
🎯 Domain Admin chỉ còn là vấn đề thời gian
🎯 File server, DC, backup server sớm muộn cũng bị chiếm
🧭 Hacker di chuyển ngang bằng cách nào?
Một số kỹ thuật cực kỳ phổ biến theo MITRE ATT&CK:
🛠️ PsExec
🛠️ WMI
🛠️ RDP
🛠️ SMB (pass-the-hash, pass-the-ticket)
🛠️ Scheduled Task từ xa
🛠️ Remote Service Creation
Điểm chung:
🔍 SOC nhìn thấy gì trong log?
Khi lateral movement xảy ra, hệ thống sẽ phát ra rất nhiều dấu hiệu:
🔐 Một account đăng nhập vào rất nhiều máy trong thời gian ngắn
🖥️ Một workstation user lại login vào server
🚨 Logon type 3 / 10 xuất hiện bất thường
⚙️ Service mới được tạo từ xa
🧰 PsExec / WMI / sc.exe xuất hiện trong command line
🧠 Một máy user bắt đầu “hành xử như server admin”
📜 Những loại log cực kỳ quan trọng
Nếu làm SOC mà thiếu mấy cái này là mù:
📌 Windows Security Log:
🧪 Một kịch bản rất thực tế
Giả sử:
🧑 User A chỉ dùng máy PC-A mỗi ngày
⛔ Không có quyền admin server
Nhưng SOC thấy:
🚨 User A login:
=> 100% có vấn đề
🛠️ SIEM nên detect như thế nào?
Tư duy đúng:
🧠 Không tìm “tool”
🧠 Không tìm “malware”
🎯 Mà tìm HÀNH VI
Ví dụ:
✔ Một user login vào > 5 máy trong 5 phút
✔ Một workstation mở kết nối SMB tới nhiều server
✔ Một user thường bắt đầu dùng PsExec
✔ Một máy user tạo service trên máy khác
🧱 Ví dụ rule tư duy (pseudo)
🚨 Những false positive phổ biến
⚠️ IT admin thật sự
⚠️ Tool quản lý tập trung (SCCM, Ansible, PDQ, v.v.)
⚠️ Monitoring system
👉 Vì vậy SOC phải:
✔ Whitelist account quản trị
✔ Whitelist server quản lý
✔ Nhưng cực kỳ cảnh giác nếu các account này bị lạm dụng
🧠 Mapping sang MITRE ATT&CK
Hành vi này tương ứng:
🧩 TA0008 – Lateral Movement
🔥 Thực tế phũ phàng
Trong hầu hết incident:
🏁 Kết luận
Nếu bạn phát hiện được:
🛑 Lateral Movement
🛑 Credential abuse
🛑 Privilege escalation sớm
=> Bạn giết chết ransomware từ trong trứng.
Phát hiện Lateral Movement – khi attacker đã vào được 1 máy và bắt đầu bò khắp hệ thống.
Thực tế, 90% các vụ ransomware nghiêm trọng đều thất bại ở bước này:
❌ Không phát hiện được attacker đang lan rộng
❌ Chỉ phát hiện khi ransomware bắt đầu mã hóa
🧠 Vì sao Lateral Movement cực kỳ nguy hiểm?
Khi hacker đã:
✔ Có credential
✔ Có foothold
✔ Bắt đầu login sang máy khác
Thì:
🎯 Domain Admin chỉ còn là vấn đề thời gian
🎯 File server, DC, backup server sớm muộn cũng bị chiếm
Nếu SOC không chặn được ở đây, thì coi như thua.
🧭 Hacker di chuyển ngang bằng cách nào?
Một số kỹ thuật cực kỳ phổ biến theo MITRE ATT&CK:
🛠️ PsExec
🛠️ WMI
🛠️ RDP
🛠️ SMB (pass-the-hash, pass-the-ticket)
🛠️ Scheduled Task từ xa
🛠️ Remote Service Creation
Điểm chung:
Không cần exploit. Chỉ cần credential.
🔍 SOC nhìn thấy gì trong log?
Khi lateral movement xảy ra, hệ thống sẽ phát ra rất nhiều dấu hiệu:
🔐 Một account đăng nhập vào rất nhiều máy trong thời gian ngắn
🖥️ Một workstation user lại login vào server
🚨 Logon type 3 / 10 xuất hiện bất thường
⚙️ Service mới được tạo từ xa
🧰 PsExec / WMI / sc.exe xuất hiện trong command line
🧠 Một máy user bắt đầu “hành xử như server admin”
📜 Những loại log cực kỳ quan trọng
Nếu làm SOC mà thiếu mấy cái này là mù:
📌 Windows Security Log:
- 4624: Logon success
- 4672: Special privileges assigned
- 4688: Process creation
- 7045: Service created
- Process create
- Network connection
- Remote thread
- Authentication bất thường
- TGT / TGS request lạ
🧪 Một kịch bản rất thực tế
Giả sử:
🧑 User A chỉ dùng máy PC-A mỗi ngày
⛔ Không có quyền admin server
Nhưng SOC thấy:
🚨 User A login:
- 10.0.0.5 (file server)
- 10.0.0.10 (DC)
- 10.0.0.20 (SQL server)
Trong vòng 3 phút
=> 100% có vấn đề
🛠️ SIEM nên detect như thế nào?
Tư duy đúng:
🧠 Không tìm “tool”
🧠 Không tìm “malware”
🎯 Mà tìm HÀNH VI
Ví dụ:
✔ Một user login vào > 5 máy trong 5 phút
✔ Một workstation mở kết nối SMB tới nhiều server
✔ Một user thường bắt đầu dùng PsExec
✔ Một máy user tạo service trên máy khác
🧱 Ví dụ rule tư duy (pseudo)
Nếu cùng 1 user:
- Event 4624 xuất hiện trên ≥ 5 host khác nhau
- Trong vòng 10 phút
=> Cảnh báo: Possible Lateral Movement
🚨 Những false positive phổ biến
⚠️ IT admin thật sự
⚠️ Tool quản lý tập trung (SCCM, Ansible, PDQ, v.v.)
⚠️ Monitoring system
👉 Vì vậy SOC phải:
✔ Whitelist account quản trị
✔ Whitelist server quản lý
✔ Nhưng cực kỳ cảnh giác nếu các account này bị lạm dụng
🧠 Mapping sang MITRE ATT&CK
Hành vi này tương ứng:
🧩 TA0008 – Lateral Movement
- T1021: Remote Services
- T1047: WMI
- T1569: Service Execution
- T1077: Windows Admin Shares
🔥 Thực tế phũ phàng
Trong hầu hết incident:
SOC hoàn toàn có đủ log để thấy lateral movement.
Nhưng không ai để ý… hoặc không có rule.
Nhưng không ai để ý… hoặc không có rule.
🏁 Kết luận
Nếu bạn phát hiện được:
🛑 Lateral Movement
🛑 Credential abuse
🛑 Privilege escalation sớm
=> Bạn giết chết ransomware từ trong trứng.