ISELAB SOC by Scenario

Brute-force Windows Login — Tình huống chi tiết

Mô phỏng tình huống phát hiện tấn công brute-force sử dụng nhiều username và password khác nhau trên hệ thống Windows.
Tình huống này sẽ cung cấp cái nhìn về một trong những tình huống tấn công phổ biến trong bất kì SOC nào trên thế giới. Đặc biệt là trong xu hướng sử dụng các Desktop Windows ảo như VDI và VPS Windows ngày càng phổ biến hiện nay.
(Tất cả thông tin trong tình huống là mô phỏng và không phải thực tế, mọi trùng hợp về thông tin đều là ngẫu nhiên)

💡 Nhằm nâng cao trải nghiệm: Nếu bạn lần đầu biết đến khái niệm SOC hoặc Ứng cứu sự cố, hãy đọc blog để có những kiến thức cơ bản nhất nhé.

← Quay lại danh sách

Bối cảnh tình huống

01:47 rạng sáng ngày 23/10/2025 - Ca trực đêm

Dashboard từ hệ thống quản lý cảnh báo chớp đỏ với dòng cảnh báo vừa xuất hiện: "Multiple Failed Logons – Brute Force Attempt Detected"

Địa điểm

Phòng SOC thuộc trung tâm an toàn thông tin, khối công nghệ thông tin, tập đoàn ABC. Kíp trực gồm có 3 người:

Tuấn

SOC L1

Người trực và xử lý, phân loại các cảnh báo.

Duyên

SOC L2

Phụ trách điều tra sâu các cảnh báo được escalate

Dũng

SOC L3

Trưởng kíp, điều phối và đưa ra quyết định xử lý

HIGH ALERT

Security Operations Center

🚨 Multiple Failed Logons – Brute Force Attempt Detected

TARGET HOST
Hostname: AnhLP-Laptop-01
Host IP: 10.0.0.100
THREAT INDICATORS
Failure Count: 7**
Top Username: *******
Top Suspicious IP: 14.***.***.**8
Alert ID: SOC-2025-573 Generated: 01:47:27 UTC
Tuấn (SOC L1) đang suy nghĩ...

"Máy này là laptop cá nhân, tại sao lại có thể bị brute-force từ IP Public được nhỉ. Vô lý, có nhầm lẫn gì ở đây chăng? Để mình kiểm tra xem các authentication thất bại này sử dụng giao thức gì..."

🔍 Query kiểm tra giao thức Authentication, thống kê số lần thất bại, số IP, số username

Tuấn quyết định chạy truy vấn để phân tích chi tiết các loại giao thức đăng nhập thất bại trên máy trạm.

🔍 Mục tiêu

Phát hiện:

  • Loại giao thức được sử dụng (RDP, Local, Network, …)
  • Địa chỉ IP nguồn thực hiện đăng nhập
  • Tài khoản mục tiêu bị thử đăng nhập

🧠 Câu lệnh truy vấn (KQL)

event.code:4625 and host.name:"AnhLP-Laptop-01"

Khi đã lọc được log 4625 (đăng nhập thất bại), Tuấn tạo bảng thống kê trong Kibana Lens như sau:

Mục thống kê Field
Giao thức đăng nhập winlog.event_data.LogonType
Địa chỉ IP nguồn source.ip
Tài khoản bị tấn công user.name

Metric: Count()

Sort: Count → Descending

📊 Ý nghĩa kết quả

Thuộc tính Mô tả
LogonType Xác định loại giao thức đăng nhập (RDP = 10, Network = 3, Local = 2, Service = 5, …)
source.ip Nguồn gốc của phiên đăng nhập – giúp nhận diện IP tấn công
user.name Tài khoản bị thử đăng nhập hoặc bị brute-force

📈 Kết quả thống kê:

Tổng số lần thất bại: ***
Số IP khác nhau: **
Top IP tấn công: 14.***.***.*8
Số lần từ IP này: **
Top user bị tấn công: *******
LogonType: ** (Network)

Tuấn quyết định kiểm tra IP top 1 (14.***.***.*8) trên AbuseIPDB để xem có phải là IP đáng ngờ không và có bị báo cáo bởi nhiều người không:

🚨 Kết quả kiểm tra AbuseIPDB

Tuấn tra cứu IP 14.***.***.*8 trên AbuseIPDB và nhận được kết quả:

14.***.***.*8
was found in our database!
This IP was reported: 24,221 times
Confidence of Abuse is: 100%
ISP: ***** Telecom
Usage Type: Fixed Line ISP
ASN: AS85**
Domain: **.com
Country: ** South *****
City: *****

📋 SOC L1 TRIAGE CHECKLIST & QUYẾT ĐỊNH

Mục kiểm tra Mô tả Kết quả
1 IP thử nhiều tài khoản khác nhau. Nhiều Event ID 4625 từ cùng source.ip nhưng với user.name khác nhau.
Distinct IP > 5 Nhiều nguồn IP cùng brute force
Same username repeated? Các username nhạy cảm như sa, admin, svc_backup bị thử nhiều lần
Event xuất phát từ scanner nội bộ? Kiểm tra watchlist
internal_scanner_ips
IP bị report bởi Threat Intelligence? Kiểm tra IP trên AbuseIPDB, VirusTotal hoặc các nguồn TI khác
Top IP: 14.***.***.*8 - Reported 24,221 times
Đánh giá & Quyết định của Tuấn:

4/5 tiêu chí đạt - Đây là True Positive. RDP brute force từ IP bên ngoài với 100% confidence abuse. Không phải scanner nội bộ. Sau khi kiểm tra checklist, đây chắc chắn là một cuộc tấn công brute force thực sự từ bên ngoài. IP có 100% confidence abuse với 24,221 lần báo cáo. Quyết định: ESCALATE lên L2 để điều tra sâu hơn.

📤 ALERT ESCALATED TO SOC L2

Trạng thái Alert:

Alert đã được Tuấn (SOC L1) escalate lên Duyên (SOC L2) để điều tra sâu hơn. Case ID: INC-2025-0892 - Status: Investigating

SOC L1 - Tuấn

Đã hoàn thành triage và xác định True Positive. Thông tin tổng quan được đính kèm.

SOC L2 - Duyên

Nhận case và bắt đầu tiến hành điều tra.

Next Steps:
  • SOC L2 sẽ phân tích sâu hơn về source IP và correlation với các events khác
  • Kiểm tra threat intelligence và IOCs từ các nguồn bên ngoài
  • Đưa ra khuyến nghị xử lý: block IPs, disble account, reset password
  • Chuẩn bị incident response plan nếu cần thiết

🔍 SOC L2 INVESTIGATION

Duyên (SOC L2) nhận case từ Tuấn và bắt đầu điều tra sâu. Cô quyết định tìm kiếm các event 4624 (Logon success) để xem liệu có ai đã đăng nhập thành công vào máy AnhLP-Laptop-01 hay không.

# Query tìm kiếm successful logon
event.code : 4624 and host.name : "anhlp-laptop-01" and source.ip : * and winlog.event_data.LogonType: "3"

🎯 Kết quả tìm kiếm:

⚠️ PHÁT HIỆN LOGIN THÀNH CÔNG!
Timestamp: 2025-10-23 **:**:**
Username: *****
Source IP: 18*.***.***.**9
LogonId: 0x*******
Phân tích timeline:

01:50:22 đến 02:03:18: Ghi nhận ** lần đăng nhập thất bại (Event 4625) từ IP 18*.***.***.**9

01:**:** LOGIN THÀNH CÔNG từ IP 18*.***.***.**9 với user "*****"

Kết luận: Bruteforce thành công. Tài khoản ***** đã bị compromise!

🚨 KẾT LUẬN CỦA SOC L2 - Duyên:

"Đây là INCIDENT thực sự! Tài khoản '*****' đã bị compromise sau cuộc tấn công brute force. Cần chuyển trạng thái cảnh báo thành INCIDENT: Compromised Account và kích hoạt quy trình ứng cứu sự cố ngay lập tức."

Duyên & Dũng đang trao đổi...
Duyên: "Anh Dũng, anh có biết **** là ai không ạ?"
Dũng: "**** là anh Ánh bên team quản trị hệ thống. Sao, có chuyện gì?"
Duyên: "Máy và account của anh Ánh bị compromise rồi anh!"
Dũng: "Cái gì?! Đẩy thành sự cố critical, thực hiện playbook ứng cứu sự cố Compromised account!"

🚨 INCIDENT RESPONSE ACTIVATION

Trạng thái Alert:

Trước: Alert - Multiple Failed Logons

Sau: INCIDENT - Compromised Account (Critical)

Case ID: INC-2025-0892

📋 Playbook được kích hoạt:

✅ Cách ly máy

AnhLP-Laptop-01 đã được cách ly khỏi mạng

✅ Block IPs

Tổng số ** IPs đã bị block trên firewall. List IP đã bị block: 147.185.132.165, 138.197.64.148, 147.185.132.159,....

✅ Reset Password

Password cho '*****' đã được reset

Kết quả:

Tất cả các biện pháp ứng cứu sự cố đã được thực hiện thành công.

🔍 Thảo luận Root Cause

Duyên & Dũng đang phân tích...
Duyên (SOC L2): "Anh Dũng, em thắc mắc tại sao một máy laptop cá nhân lại có thể mở RDP ra ngoài Internet?"
Dũng (SOC L3): "Em kiểm tra giúp anh xem có bất kì thay đổi gì về cấu hình của hệ thống hay không, việc này xảy ra là rất bất thường."
Dũng (SOC L3): "Chúng ta cũng sẽ cần thực hiện threat hunting hệ thống để kiểm tra xem có bất kì hành vi đáng ngờ nào trong hệ thống hay không."
Dũng (SOC L3): "Em làm điều tra chi tiết và chuẩn bị báo cáo. Anh sẽ review và gửi lên CISO."

🔍 ROOT CAUSE ANALYSIS

Phân tích nguyên nhân gốc rễ:
1. Cấu hình mạng:

RDP được NAT ra Internet, ghi nhận thay đổi cấu hình NAT trên firewall

2. Quy trình bảo mật:

Thiếu kiểm soát đối với các thay đổi trên hệ thống, đặc biệt là các thay đổi đến từ account đặc quyền.

3. Nhận thức người dùng:

Không tuân thủ chính sách bảo mật khi làm việc từ xa

📧 EMAIL BÁO CÁO SỰ CỐ NHANH

Subject:
[Executive Summary] RDP Brute Force Attack on Admin Laptop – Critical Incident Notification

Kính gửi Ông/Bà [CISO, CIO],

SOC xin thông báo nhanh về sự cố an ninh nghiêm trọng được phát hiện rạng sáng ngày 21/10/2025:

  • Tấn công brute-force sử dụng RDP (TCP/3389) nhắm vào laptop của quản trị viên hệ thống – AnhLP-Laptop-01.
  • Cuộc tấn công xuất phát từ hơn ** IPs public, và đã có IP nhập thành công sử dụng tài khoản của người dùng có quyền quản trị hệ thống.

Hiện SOC đã:

Cách ly máy bị ảnh hưởng sử dụng EDR
Disable tài khoản quản trị liên quan
Block toàn bộ IP tấn công trên firewall
Thu thập dữ liệu forensics phục vụ điều tra
Đánh giá ban đầu:
Mức độ nghiêm trọng: High (Critical Asset Compromise)
Nguyên nhân chính: RDP được NAT ra Internet, không đóng sau khi sử dụng

SOC sẽ gửi báo cáo chi tiết trong 24 giờ tới, và đề xuất tổ chức cuộc họp khẩn Post-Incident Review vào 10:00 sáng ngày 23/10/2025 để thống nhất các biện pháp khắc phục lâu dài.

Trân trọng,

Dũng Nguyễn

SOC L3 – Incident Response Lead

📧 [email protected] | ☎️ Ext. 321

Bài học từ sự cố

"Không có tường lửa nào đủ mạnh để có thể bảo vệ trước sự bất cẩn và thiếu trách nhiệm.

An toàn thông tin luôn bắt đầu từ con người -
Kiểm soát, theo dõi hệ thống và nâng cao nhận thức luôn là những chốt chặn cơ bản nhưng đầy hiệu quả."

SOC by Scenario - Nơi học hỏi từ những sự cố thực tế

🧩 Sẵn sàng thử sức?

Chuyển sang phần thử thách tương tác để kiểm tra năng lực xử lý theo SLA - Triage → Investigate → Respond. Để có thể thực hiện được thử thách này, bạn cần đăng ký account để truy cập vào hệ thống SIEM đã được cấu hình sẵn. Sau khi đăng ký, bạn sẽ nhận được một email với tên tài khoản và mật khẩu để truy cập vào hệ thống.

Bắt đầu Thử Thách