Cyber Threat Hunter (ဆိုင်ဘာအမဲလိုက်မုဆိုးလို့ ဘာသာပြန်ရမလား :3)

Threat Hunter တွေက Defensive Cyber Security နယ်ပယ်မှာ အဆင့်အမြင့်ဆုံး Position လို့ပြောလို့ရသလို လစာလည်းအကောင်းဆုံးတွေထဲမှာပါတယ်

ဘာလို့လဲဆိုတော့ Threat Hunter တစ်ယောက်ဖြစ်ဖို့ဆိုရင် Hacker Mindset ရှိဖို့လိုသလို Digital Forensics & Incident Response (DFIR), Threat Intelligence, Critical Thinking လို Skills မျိုးတွေပါလိုအပ်တာမို့လို့ Threat Hunter တွေဟာ ဒီလိုလစာကောင်းပြီး SANS ရဲ့ Coolest Cyber Career မှာပါ နံပါတ် ၁ ချိတ်နေတာပါ

ဒီတော့ Threat Hunter တွေကဘာလုပ်ရလဲ?

ကိုယ်လုပ်နေတဲ့ Organisation Environment မှာ နေ့စဉ်ဖြစ်ပျက်နေတဲ့ Normal Activities တွေကိုနားလည်အောင်ကြိုးစားခြင်းပဲလို့ ကိုယ်ပိုင် Definition ဖွင့်ချင်တယ် (try to understand what is normal in the environment)

သိတဲ့အတိုင်းကုမ္ပဏီတွေက နှစ်စဉ်ဒေါ်လာသန်းပေါင်းများစွာအကုန်ခံပြီး ကုမ္ပဏီကို Protect ပေးမယ့် Cyber Security products အစုံဝယ်သုံးကြတယ် (SIEM, SOAR, EDR, XDR, Email Threat Protection, WAF, VPN, Anti-Virus, IDS, IPS, PAM, Vulnerability Management, Threat Intelligence စသဖြင့် စုံစိနေအောင်ကို နည်းပညာပေါင်းစုံနဲ့ကာကွယ်ထားကြတယ်ပေါ့လေ)

ဒါပေမယ့် အစိုးရကျောထောက်နောက်ခံပေးထားတဲ့ အဆင့်မြင့်ဟက်ကာတွေ (Advanced Persistent Threat – APT) လို့ခေါ်တဲ့ ဟက်ကာတွေဟာ ဒီလိုကာကွယ်ထားတာတွေကို ကျော်ဖြတ်ပြီး ကုမ္ပဏီရဲ့ Network, Infrastructure ထဲကိုထိုးဖောက်ဝင်လာနိုင်တဲ့ အစွမ်းမျိုးတွေရှိတယ်

ဝင်လာပြီးရင်လည်း အထဲမှာလျှို့ဝှက်နေနေတာဖြစ်လို့ ခုနကပြောခဲ့တဲ့ Tools တွေကနေ Detect သိမှာမဟုတ်ဘူး

ဒီလိုအခြေအနေတွေမှာ Cyber Threat Hunter တွေက အဲ့လိုပုန်းနေတဲ့ဟက်ကာတွေကို အမဲလိုက်ပြီး မောင်းထုတ်ဖို့၊ ထပ်မဝင်လာအောင်တားဆီးဖို့ကြိုးစားကြတယ်

ဒါကိုစဉ်ဆက်မပြတ်လုပ်နေတာဖြစ်လို့ Threat Hunting ဟာ proactive activity ဖြစ်တယ်လို့ သတ်မှတ်ကြတယ် .. လက်ရှိ Cyber Space မှာ အစွမ်းအထက်ဆုံး APT Group တွေက ရုရှား၊ မြောက်ကိုးရီးယား၊ တရုတ်၊ အီရန်နိုင်ငံတွေကဖြစ်တယ်

ဒီဟက်ကာတွေက အမြဲတမ်းတခြားနိုင်ငံတွေကို ထောက်လှမ်းဖို့ပဲဖြစ်စေ၊ ပိုက်ဆံညှစ်ဖို့ပဲဖြစ်စေ၊ operate လုပ်မရတော့အောင်ဖျက်ဆီးချင်လို့ပဲဖြစ်စေ motivation အမျိုးမျိုးနဲ့ တောက်လျှောက်တိုက်ခိုက်နေကြတယ်

ဒီတော့ Threat Hunter တွေကဘာလုပ်လဲ .. အရင်ဆုံး Know your enemy ဆိုတဲ့အတိုင်း ကိုယ့်ကုမ္ပဏီကိုတိုက်ခိုက်မယ့်ဟက်ကာတွေကို ထောက်လှမ်းထားတဲ့အချက်အလက်တွေကို စုဆောင်းမယ် .. ဆိုင်ဘာထောက်လှမ်းရေးကိုတော့ Threat Intelligence Team ကလုပ်ပါတယ်

ဒီအချက်အလက်အရ ဘယ်ဟက်ကာအဖွဲ့က ဘယ်လိုနည်းစနစ်တွေသုံးပြီးတိုက်ခိုက်လဲဆိုတာလေ့လာတယ် (Learn their TTPs)

ပြီးရင် ဒီအချက်အလက်တွေပေါ်မူတည်ပြီး Hypothesis (ယူဆချက်) ထုတ်ကြတယ် .

ဥပမာ ကုမ္ပဏီကို target ထားနေတဲ့ဟက်ကာအဖွဲ့တစ်ခုက RDP နဲ့ Lateral Movement လုပ်တယ်ဆိုရင် ဒီဟာကို Hypothesis လုပ်ပြီး ဒီ Hypothesis မှန်/မမှန် Prove လုပ်ဖို့ Hunt (အမဲလိုက်) ကြတယ်ပေါ့

ဒီနေရာမှာ ကျွန်တော်အပေါ်မှာပြောခဲ့တဲ့ try to understand what is normal in the environment ဆိုတဲ့ definition ကိုပြန်ကိုးကားရမယ် .

– RDP ကို ကိုယ့် organisation မှာအသုံးပြုလား?

– သုံးရင်ရော ဘယ်သူတွေက ဘယ်ရည်ရွယ်ချက်ကြောင့်သုံးတာလဲ?

– အဲ့လူတွေက RDP ကိုဘယ်အချိန်မှာသုံးလေ့ရှိလဲ?

– Server to Workstation OR Workstation to Workstation ဘယ်လို scenario မှာသုံးတာလဲ?

စသဖြင့် Low Level ထိ နားလည်ဖို့ကြိုးစားရပါတယ် ..

ပြီးရင် RDP Connection Initiate လုပ်တဲ့အခါ၊ Connect/Disconnect/Reconnect/Logoff လုပ်တဲ့အခါတွေမှာ ဘယ်လို Logs တွေက ဘယ်နေရာမှာကျန်ခဲ့လဲ? Host-based Logs, Network Logs တွေကိုရော ဘယ်မှာရှာလို့ရမလဲ စသဖြင့် RDP Connection အလုပ်လုပ်ပုံကို Low Level ထိနားလည်နိုင်အောင် ထပ်ကြိုးစားရပြန်ပါတယ်

ပြီးရင် RDP Process creation/termination နဲ့ Registry Changes အပြင် RDP ကြောင့်ဖြစ်လာတဲ့ Artifacts မှန်သမျှတွေကိုလည်း ထပ်နားလည်အောင်ကြိုးစားရပြန်ပါတယ်

ဒီကနေမှ ပုံမှန်မဟုတ်တဲ့ RDP Activities တွေကိုရှာတွေ့ဖို့ကြိုးစားရင်း Threat Hunt ကြရတာပါ (ဒါက RDP Lateral Movement ကိုဥပမာထားပြီးပြောပြတာပါ .. ဒါမျိုးတွေအများကြီး အများကြီးရှိပါတယ်)

ဒါကြောင့်လည်း Threat Hunt တဲ့အချိန်မှာ ကိုယ်သာဟက်ကာဆိုရင် ဘယ်လိုပြုမူမလဲဆိုတဲ့ Hacker Mindset နဲ့ Technically ဖြစ်နိုင်ချေရှိမရှိကို နားလည်နိုင်တဲ့ Hacking Skills လည်းရှိထားဖို့လိုအပ်တာဖြစ်ပါတယ်

နောက်တစ်နည်းကတော့ Proactive မဖြစ်တဲ့ Reactive ဖြစ်တဲ့ Threat Hunt နည်းပါ .. ဆိုင်ဘာထောက်လှမ်းရေးအဖွဲ့ကနေရရှိလာတဲ့ အချက်အလက်တွေအရ ဟက်ကာတွေက ဘယ် File Name, Hash, IP Address, Domain တွေကို အသုံးပြုပြီးတိုက်ခိုက်လေ့ရှိတယ်ဆိုတာကိုသိရတာနဲ့ အဲ့ IOCs တွေဟာ ကိုယ့် system ထဲမှာ အပြန်အလှန်ဆက်သွယ်ခဲ့ဖူးတဲ့ အထောက်အထားရှိလားဆိုတာပြန်ရှာတာပဲဖြစ်ပါတယ်

ဒါကတော့ Threat Hunting စစ်စစ်လို့ပြောလို့မရပါဘူး .. ဟက်ကာတွေက အဲ့အချက်အလက်တွေကိုအချိန်မရွေးလွယ်လွယ်ကူကူပြောင်းပစ်လို့ရပါတယ် (ဒီအကြောင်းကို Pyramid of Pain မှာသွားလေ့လာနိုင်ပါတယ်) .. ကျွန်တော်လည်း အရင်တုန်းက ဒီနည်းနဲ့ Threat Hunt ပြီးကိုယ့်ကိုယ်ကိုဟုတ်လှပြီမှတ်နေခဲ့တာ

တကယ်တမ်းက ပြောင်းလဲရခက်တဲ့ Hacker တွေရဲ့ TTPs ကိုနားလည်အောင်ကြိုးစားပြီး အဲ့တာတွေနဲ့ Hunt နိုင်မှသာတကယ်ထိရောက်မှာဖြစ်ပါတယ်

Featured Photo: xcitium

By Pyae Heinn Kyaw

Pyae is a Defensive Cyber Professional, currently working at one of Australia's largest energy retailer.