Phần 13: Analyzing Network IOCs

Port Scan / Port Sweep

Hoạt động dò quét một hoặc nhiều host để phát hiện port mở—một IOC phổ biến cho hoạt động trinh sát.

Non-Standard Port Usage

Khi dịch vụ sử dụng các port không theo chuẩn, có thể là dấu hiệu che giấu hoạt động độc hại.

Covert Channels

Phương thức bí mật để truyền dữ liệu nhằm tránh bị phát hiện (ví dụ: dữ liệu ẩn trong header hoặc traffic không hợp lệ).

Traffic Spikes

Sự tăng đột ngột số lượng kết nối so với baseline—có thể là IOC của tấn công hoặc tải bất thường.

Distributed Denial of Service (DDoS)

Tấn công sử dụng nhiều máy bị chiếm quyền (botnet) để làm nghẽn dịch vụ bằng lượng request/response khổng lồ, có thể vượt cả hệ thống phòng thủ mạnh.

DDoS Indicators

• Surge đột ngột traffic từ Internet

• Nhiều TIME_WAIT connections

• Nhiều lỗi HTTP 503 (Service Unavailable)

• Lượng traffic outbound lớn → có thể mạng bạn đang bị dùng để tấn công người khác.

Measuring a DDoS Attack

Đánh giá qua mức độ tiêu thụ băng thông (bytes sent/received hoặc % link utilization).

Distributed Reflection DoS (DRDoS)

Tấn công DDoS có khuếch đại: kẻ tấn công spoof IP nạn nhân, gửi yêu cầu nhỏ tới nhiều server để tạo phản hồi lớn đổ về nạn nhân.

DRDoS Examples

• Bogus DNS query → phản hồi lớn

• Một yêu cầu NTP có thể trả về danh sách 600 máy từng liên hệ → khuếch đại cực mạnh.

Traffic Spikes – Other Causes

Spikes không chỉ do tấn công—website có thể bị quá tải vì tăng traffic đột biến.

Slashdot Effect (Slashdotting)

Website nhỏ bị sập khi bất ngờ trở nên nổi tiếng do được chia sẻ trên Reddit, Slashdot, Twitter, v.v.

Mitigating a DDoS Attack – Log Analysis

Phân tích log theo thời gian thực để xác định mẫu traffic đáng ngờ và chuyển nó về black hole hoặc sinkhole.

Mitigating a DDoS Attack – Geolocation & Reputation

Sử dụng dữ liệu geolocation và IP reputation để chặn hoặc bỏ qua traffic nghi ngờ.

Mitigating a DDoS Attack – Timeout Tuning

Giảm timeout trên server để đóng các kết nối chậm nhằm giảm khả năng bị giữ tài nguyên.

Mitigating a DDoS Attack – Caching & Backend Offloading

Dùng caching và phân tải backend để giảm gánh xử lý cho server chính.

Enterprise DDoS Protection Services

Giải pháp DDoS chuyên dụng như Cloudflare hoặc Akamai giúp hấp thụ traffic tấn công.

DDoS Defense Goal

Mục tiêu chính: Sống sót (Survive the DDoS attack) càng lâu càng tốt để duy trì dịch vụ.

Beaconing

Cơ chế để một node mạng quảng bá sự hiện diện và duy trì liên lạc với các node khác.
Exam note:
➡ Beaconing không mặc định là độc hại

Legitimate Beaconing

Beaconing hợp pháp được dùng để duy trì hoạt động hoặc đồng bộ hệ thống.

Examples (hay gặp trong đề):

• Wireless AP beacon frames

• NTP servers

• Auto-update systems

• Cluster services

Malicious Beaconing

Beaconing do malware dùng để kiểm tra bot còn sống và chờ lệnh từ C2.

Typical form:

• Ping

• Heartbeat định kỳ

Beaconing (Malware IOC)

Kết nối lặp lại theo chu kỳ tới cùng một đích với payload nhỏ.

Exam clue:

• Regular interval

• Small, consistent traffic

Command and Control (C2 / C&C)

Hạ tầng cho phép attacker gửi lệnh và nhận dữ liệu từ các bot/zombie.

Exam focus:
➡ Botnet không thể hoạt động nếu thiếu C2

Botnet Zombie

Máy bị nhiễm malware và nhận lệnh từ C2 server.

DGA (Domain Generation Algorithm)

Thuật toán tạo nhiều domain ngẫu nhiên để né việc block C2.

Exam relevance:

• Làm C2 khó bị chặn & truy vết

Fast Flux DNS

Kỹ thuật thay đổi IP liên tục cho cùng một domain.

Exam takeaway:
➡ Tăng khả năng sống sót của C2

Jitter

Độ trễ ngẫu nhiên hóa giữa các lần beacon để né phát hiện.

Sparse Delivery

Gửi dữ liệu rất nhỏ và thưa, hòa lẫn vào traffic hợp pháp.

Exam clue:

• “Hide in the noise”

• Tránh tạo spike bất thường

C2 Communication Channel

Kênh mà C2 server dùng để ra lệnh cho botnet zombies.

IRC (Internet Relay Chat) – C2

Giao thức chat nhóm từng được dùng làm kênh C2.

Exam note:

• Hiện nay ít dùng hơn

• Do nhiều tổ chức block IRC

HTTP / HTTPS as C2

HTTP/HTTPS được dùng làm C2 vì gần như luôn được cho phép trong mạng doanh nghiệp.

Exam focus:
➡ “Blends in with normal traffic”

C2 Mitigation – Intercepting Proxy

Dùng proxy ở network edge để inspect & control outbound HTTP/HTTPS traffic.

Exam keyword:

• Visibility

• Control

• Decryption (HTTPS)

DNS as Command and Control

DNS là kênh C2 hiệu quả vì không cần kết nối trực tiếp Internet, chỉ cần DNS resolver nội bộ.

Exam must-know:
➡ DNS tunneling

DNS C2 – IOC #1

Cùng một DNS query được lặp lại nhiều lần khi bot check-in nhận lệnh.

DNS C2 – IOC #2

DNS request/response dài và phức tạp bất thường.

Exam clue:

• Không giống truy vấn DNS thông thường

DNS C2 – Evasion

Attacker chia nhỏ lệnh C2 thành nhiều DNS query khác nhau.

Goal:
➡ Tránh IDS/IPS threshold

Living off the Land (LotL) – Social Media

Dùng chức năng nhắn tin của mạng xã hội làm kênh C2.

Exam insight:

• Khó block

• Dùng hạ tầng hợp pháp

Cloud-based C2

C2 được triển khai trên nền tảng cloud hợp pháp.

Exam example:

• Google App Engine

• Custom hosted application

Metadata

Dữ liệu mô tả thông tin về dữ liệu khác.

Metadata-based C2

Attacker nhúng lệnh C2 vào metadata của file.

Exam relevance:

• Rất stealthy

• Khó phát hiện bằng signature-based detection

P2P Communications

Mô hình giao tiếp peer-to-peer, trong đó các host giao tiếp trực tiếp với nhau, không qua server trung tâm.

Exam context:

• Trái ngược với mô hình client–server

• Không phải loại traffic phổ biến trong hầu hết enterprise networks

Normal Network Traffic Pattern

Phần lớn lưu lượng trong mạng doanh nghiệp là client ↔ server.

Exam takeaway:
➡ P2P traffic thường dễ bị chú ý nếu không có lý do hợp lệ

Irregular Peer-to-Peer (P2P) Communication

Dấu hiệu tấn công khi các host trong mạng thiết lập kết nối trực tiếp bất thường, thường qua port không được phép hoặc truyền dữ liệu trái phép.

Exam keyword:

• Attack indicator

• Unauthorized ports

• Unexpected data transfers

Irregular P2P – IOC

• Host nội bộ giao tiếp trực tiếp với nhau

• Không phù hợp với vai trò hệ thống

• Không đúng baseline traffic

Exam scenario:
Workstation ↔ workstation liên tục

SMB (Server Message Block)

Giao thức dùng cho Windows File và Printer Sharing.

Default ports:

• TCP 445

• TCP 139 (legacy)

SMB Abuse (Attacker Technique)

Kẻ tấn công thường lợi dụng SMB vì nó phổ biến trong môi trường Windows, nên dễ ẩn mình.

Exam relevance:

• Lateral movement

• Internal P2P traffic

Lateral Movement (via SMB)

Kỹ thuật kẻ tấn công di chuyển ngang giữa các host nội bộ sau khi xâm nhập.

Exam clue:

• SMB sessions giữa nhiều workstation

• Credential reuse

ARP Spoofing

Tấn công khi attacker ánh xạ sai IP → MAC, chuyển traffic về máy của mình.

Also known as:

• ARP Poisoning

ARP Poisoning

Kẻ tấn công gửi ARP reply giả mạo, khiến nạn nhân tin rằng MAC của attacker là gateway hoặc host hợp lệ.

Exam focus:
➡ Man-in-the-Middle (MitM)

Impact of ARP Spoofing

• Nghe lén traffic

• Chỉnh sửa dữ liệu

• Redirect traffic

• Session hijacking

ARP Spoofing – IOC

Lưu lượng ARP tăng đột biến, nhiều ARP reply bất thường so với baseline.

Exam clue:

• Gratuitous ARP bất thường

• MAC address thay đổi liên tục

Detecting ARP Poisoning

Dùng IDS để phát hiện pattern ARP bất thường.

Exam keyword:

• IDS alerts

• Excessive ARP traffic

IDS (Intrusion Detection System)

Hệ thống giám sát mạng nhằm phát hiện hành vi tấn công dựa trên signature hoặc anomaly.

Exam context:

• Detection, không phải prevention

ARP Poisoning – Why It’s Detectable

ARP poisoning tạo ra nhiều ARP traffic hơn bình thường, dễ bị anomaly-based IDS phát hiện.

Irregular P2P vs Legitimate P2P

P2P hợp pháp có mục đích rõ ràng; P2P bất thường không phù hợp với vai trò host.

Network Device Identification

Thiết bị mạng được định danh bằng MAC address (phần cứng) và IP address (logic).

Exam note:
➡ Dùng để xác thực, kiểm soát truy cập và truy vết

Rogue Device

Thiết bị hoặc dịch vụ không được phép tồn tại trên mạng nhưng vẫn cho phép kết nối trái phép.

Exam examples:

• Rogue WAP

• Rogue DHCP / DNS server

Rogue System Detection

Quy trình phát hiện và loại bỏ các máy/thiết bị không nên tồn tại trên mạng.

Exam keyword:

• Detection & removal

• Asset visibility

Port Scan

Quá trình liệt kê trạng thái các cổng TCP/UDP trên một hệ thống mục tiêu bằng công cụ quét.

TCP SYN Scan (Exam hint)

Kiểu port scan phổ biến dựa trên SYN → SYN/ACK → RST.

Why it matters:

• Nhanh

• Ít để lại log đầy đủ

Fingerprinting

Xác định loại và phiên bản hệ điều hành hoặc ứng dụng server bằng cách phân tích response từ network scan.

Exam takeaway:
➡ Giúp attacker chọn exploit phù hợp

OS / Service Fingerprinting

Nhận diện OS hoặc dịch vụ dựa trên:

• TCP/IP stack behavior

• Banner

• Response timing

Sweep

Một dạng scan trên nhiều địa chỉ IP, nhằm xác định host nào phản hồi với port cụ thể.

Exam shortcut:

• Scan = sâu (1 host)

• Sweep = rộng (nhiều host)

Port Sweep

Kiểm tra cùng một port (ví dụ 445) trên nhiều host trong subnet.

Ping Sweep

Gửi ICMP Echo tới nhiều IP để xác định host đang online.

Footprinting

Giai đoạn thu thập thông tin ban đầu về mục tiêu trước khi tấn công hoặc pentest.

Exam position:
➡ Trước scanning & exploitation

Reconnaissance (Recon)

Pha trinh sát của attacker bao gồm footprinting, scanning và enumeration.

Authorized Network Scans

Quét mạng hợp lệ chỉ nên được thực hiện từ một phạm vi host được phép (restricted range).

Exam relevance:

• Giảm false positives

• Dễ phân biệt với tấn công

IDS Detection – Scan Behavior

IDS phát hiện scanning khi SYN, SYN/ACK và FIN packets mất cân bằng thống kê.

Exam clue:

• SYN nhiều

• Ít SYN/ACK

• FIN bất thường

SYN Flood vs Port Scan (Exam trap)

Port scan tập trung khám phá cổng, không phải làm sập dịch vụ.

Key difference:

• Scan = reconnaissance

• Flood = DoS

Internet-facing Scan Warning

Scan/sweep nhắm vào tài nguyên public-facing là rất phổ biến.

Exam warning:
❌ Không phải scan nào cũng là tấn công
✔ Cần context & baseline

Scan ≠ Immediate Incident

Việc phát hiện scan không đồng nghĩa hệ thống đã bị xâm nhập.

Exam mindset:
➡ Correlate with other IOCs

Scan IOC Correlation

Scan trở nên nguy hiểm khi kết hợp với IOC khác như:

• Exploit attempt

• Beaconing

• Lateral movement

Nonstandard Port Usage

Việc ứng dụng TCP/IP (HTTP, FTP, DNS, …) giao tiếp trên port không đúng chuẩn đã được quy ước cho giao thức đó.

Exam focus:
➡ Indicator of Compromise (IOC) phổ biến

IANA (Internet Assigned Numbers Authority)

Tổ chức duy trì danh sách ánh xạ TCP/UDP port chuẩn cho các dịch vụ.

Well-known Ports

Các port 0–1023, dành cho dịch vụ chuẩn.

Exam examples:

• HTTP: 80

• HTTPS: 443

• FTP: 21

• DNS: 53

Registered Ports

Các port 1024–49151, thường được ứng dụng đăng ký sử dụng.

Dynamic (Ephemeral) Ports

Các port 49152–65535, thường dùng tạm thời cho client.

Exam clue:
➡ Server nghe cố định trên dynamic port là dấu hiệu bất thường

Legitimate Port Usage

Ứng dụng hợp pháp mặc định dùng well-known hoặc registered ports.

Malware Port Usage Reality

❌ Không có danh sách đầy đủ các port malware dùng
✔ Phải dựa vào baseline & hành vi

Constant Open Dynamic Port (IOC)

Một port trong dải 49152–65535 luôn mở trên host → có thể là malicious traffic channel.

Non-standard Port (IOC #1)

Dùng port không chuẩn trong khi đã có port chuẩn cho giao thức đó.

Exam example:

• DNS chạy trên port ≠ 53

Port/Application Mismatch (IOC #2)

Traffic không đúng loại giao thức chạy trên port chuẩn.

Exam example:

• Shell traffic chạy trên port 80 hoặc 443

Why Attackers Use Nonstandard Ports

• Né firewall

• Né signature-based detection

• Ẩn C2 traffic trong lưu lượng hợp pháp

Mitigation #1 – Port Whitelisting

Cấu hình firewall chỉ cho phép port nằm trong whitelist (ingress & egress).

Mitigation #2 – Configuration Documentation

Tài liệu hóa host type → allowed ports để dễ phát hiện sai lệch.

Mitigation #3 – Protocol Detection

Cấu hình rule phát hiện mismatch giữa port và protocol.

Exam keyword:

• Deep Packet Inspection (DPI)

Remote Command Execution Goal

Attacker tìm cách truy cập từ xa để chạy lệnh trên host bị nhiễm.

Shell

Attacker mở listening port trên máy nạn nhân và kết nối từ xa để nhận command prompt.

Exam clue:

• Inbound connection tới host bị nhiễm

Reverse Shell

Host bị nhiễm chủ động kết nối ra ngoài tới attacker.

Exam relevance:
➡ Tận dụng thiếu outbound filtering

Reverse Shell – Why It Works

Nhiều tổ chức không lọc traffic outbound, nên reverse shell dễ vượt firewall.

Netcat (nc)

Công cụ đọc/ghi raw network data, thường dùng để tạo listener cho shell.

Exam nickname:
➡ “Swiss Army knife of networking”

Netcat Listener (Shell Example)

Tạo listener trên port (có thể là port chuẩn để né phát hiện).

Exam insight:

• Shell trên port 443 trông giống HTTPS

Netcat – File Transfer

Netcat có thể dùng để gửi/nhận file qua port bất kỳ.

Exam IOC:

• File transfer qua port không phù hợp chức năng

Netcat File Transfer (IOC)

Truyền dữ liệu (VD: .sql) qua DNS/HTTP port là hành vi đáng nghi.

TCP 21 – FTP

File Transfer Protocol – truyền file không mã hóa.

Exam IOC:

• Credential sniffing

• Data exfiltration

TCP 22 – SSH / SFTP

Secure Shell – truy cập từ xa được mã hóa.

Exam focus:

• Brute force

• Lateral movement

TCP 23 – Telnet

Giao diện quản trị từ xa không bảo mật.

Exam tip:
➡ Nếu thấy Telnet mở → high risk

TCP 25 – SMTP

Simple Mail Transfer Protocol – gửi email.

Exam IOC:

• Spam relay

• Malware email delivery

TCP 53 – DNS (Zone Transfer)

DNS dùng TCP cho zone transfer.

Exam trap:

• TCP 53 mở → có thể rò rỉ thông tin DNS

TCP 80 – HTTP

Web traffic không mã hóa.

Exam IOC:

• Web shell

• C2 traffic