[Mới Nhất 2026] Sophos Endpoint: Hướng Dẫn Kiểm Thử Adaptive Attack Protection

Adaptive Attack Protection (AAP) là một cơ chế phòng thủ nâng cao của Sophos Endpoint, được thiết kế để đối phó với các cuộc tấn công “hands-on-keyboard”, khi kẻ tấn công đã xâm nhập và đang trực tiếp thao tác trên máy nạn nhân.

Không giống antivirus truyền thống hoặc cơ chế “block từng lệnh”, Adaptive Attack Protection hoạt động theo nguyên tắc: “Phân tích chuỗi hành vi tấn công và chủ động phá vỡ chuỗi đó trước khi attacker đạt được mục tiêu.”

AAP không chặn mọi thao tác ngay lập tức, mà:

• Cho phép một số hành động hợp lệ diễn ra
• Sau đó kích hoạt Disrupt mode khi nhận diện attacker thật sự
• Ngăn chặn các hành vi có giá trị tấn công như persistence, privilege abuse, remote access, post‑exploitation

• Hướng dẫn kiểm thử Adaptive Attack Protection đúng bản chất hoạt động
• Tránh hiểu sai rằng AAP phải “block mọi lệnh”
• Minh họa rõ:
  • Hành vi nào attacker vẫn thực hiện được
  • Hành vi nào bị Adaptive Attack Protection ngăn chặn hoặc làm vô hiệu
• Giúp quản trị viên hiểu đúng để demo, đào tạo hoặc đánh giá hệ thống

1. Đăng nhập Sophos Central Admin
2. Truy cập: Endpoint Protection → Policies → Threat Protection
3. Mở policy đang áp dụng cho endpoint
4. Đảm bảo mục Adaptive Attack Protection được bật với các tùy chọn sau:
   • Turn on extra protections automatically when a device is under attack
   • Block safe mode abuse
   • Enable protection in safe mode
   • Block devices from communicating with compromised IP addresses

Adaptive Attack Protection không luôn ở trạng thái active. Tính năng này chỉ được kích hoạt tự động khi Sophos phát hiện endpoint có dấu hiệu của một cuộc tấn công đang diễn ra. Khi đó, Sophos tạm thời harden endpoint để ngăn kẻ tấn công tiếp tục hoạt động.

Việc bật Adaptive Attack Protection thủ công không làm tăng mức phát hiện hay bảo vệ, mà chỉ dùng để harden thiết bị tạm thời trong quá trình điều tra hoặc giám sát.

Để kích hoạt Adaptive Attack Protection theo kịch bản kiểm thử, trên máy đã cài Sophos Endpoint, truy cập trang sophostest.com và chọn mục Adaptive Attack Protection trong phần Recommended Tests. Tại đây, tải gói kiểm thử về máy.

Sau khi tải xong, giải nén thư mục kiểm thử. Trong thư mục tải về sẽ xuất hiện các file thực thi, bao gồm sophostest-aap.exe và sophostest-aap-rule.exe

Thực thi file sophostest-aap.exe. Sau khi chạy file sophostest-aap.exe, Sophos Endpoint lập tức chặn thực thi và hiển thị cảnh báo Threat detected trên giao diện máy người dùng.

Thực hiện lệnh PowerShell với cơ chế bypass để mô phỏng hành vi attacker tải dữ liệu từ bên ngoài:

Ngay khi lệnh được thực thi, PowerShell trả về lỗi Access is denied, cho thấy thao tác đã bị chặn. Đồng thời, Sophos Endpoint Agent sinh cảnh báo Threat detected trên giao diện người dùng.

Trong popup thông báo, Sophos ghi nhận sự kiện Disrupt_7f (T1105) liên quan tới tiến trình powershell.exe, cho thấy hành vi PowerShell bị đánh giá là nguy hiểm và bị ngăn chặn.

Sau khi thực hiện kiểm thử hành vi PowerShell bất thường trên endpoint, Sophos Central ghi nhận sự kiện tương ứng trong mục Detections thuộc Threat Analysis Center.

Trong danh sách detections, sự kiện được hiển thị với mức độ High, loại Threat, và rule WIN‑PROT‑BEHAVIORAL‑MALWARE‑DISRUPT‑7F‑T1105, thuộc nhóm Command and Control.

Khi mở chi tiết detection, Sophos Central hiển thị thông tin cho thấy tiến trình powershell.exe (C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe) đã thực thi lệnh tải nội dung từ mạng ngoài. Trường Process Command Line ghi nhận lệnh PowerShell sử dụng ExecutionPolicy Bypass và Invoke‑WebRequest, phản ánh chính xác hành vi PowerShell bất thường đã được thực hiện trên endpoint.

Sự kiện này được Sophos phân loại theo kỹ thuật T1105 (Ingress Tool Transfer), cho thấy nỗ lực sử dụng PowerShell để tải nội dung từ bên ngoài hệ thống đã bị phát hiện và xử lý ở mức độ hành vi.

Sau khi endpoint đã ở trong trạng thái bị giám sát, tiếp tục mô phỏng hành vi leo thang đặc quyền – kỹ thuật thường được attacker sử dụng để duy trì và mở rộng quyền kiểm soát hệ thống.

Thực hiện tạo một tài khoản cục bộ mới:

net user phongattack Password /add

Lệnh tạo user được Windows thực thi thành công. Tuy nhiên, khi attacker cố gắng thêm user này vào nhóm Administrators để chiếm quyền quản trị hệ thống:

net localgroup administrators phongattack /add

Hệ thống trả về lỗi Access is denied, cho thấy thao tác leo thang đặc quyền đã bị chặn. Đồng thời, Sophos Endpoint Agent ghi nhận hành vi này và phát sinh cảnh báo Disrupt_5a (T1136) liên quan đến kỹ thuật tạo tài khoản với mục đích leo thang đặc quyền.

Sau khi thực hiện kiểm thử hành vi leo thang đặc quyền trên endpoint, Sophos Central ghi nhận sự kiện tương ứng trong mục Detections thuộc Threat Analysis Center.

Trong danh sách detections, sự kiện được hiển thị với mức độ Medium, loại Threat, và rule WIN‑PROT‑BEHAVIORAL‑MALWARE‑DISRUPT‑5A‑T1136‑001.

Khi mở chi tiết detection, Sophos Central hiển thị thông tin cho thấy tiến trình C:\Windows\System32\net.exe đã thực hiện lệnh thêm tài khoản vào nhóm quản trị. Trường Process Command Line ghi nhận lệnh net localgroup administrators phongattack /add, phản ánh chính xác thao tác leo thang đặc quyền đã được thực hiện trên endpoint.

Sự kiện này được Sophos phân loại theo kỹ thuật T1136 (Create Account), cho thấy hành vi leo thang đặc quyền đã bị nhận diện và xử lý ở mức độ hành vi, ngay cả khi lệnh được thực thi bởi thành phần hệ thống hợp lệ

Trong một số kịch bản tấn công, attacker cố gắng cấu hình hệ thống khởi động vào Safe Mode với mục đích làm suy giảm hoặc né tránh các giải pháp bảo mật đang hoạt động. Để mô phỏng hành vi này, attacker sử dụng công cụ System Configuration (msconfig.exe) và bật tùy chọn Safe boot cho hệ điều hành hiện tại.

Khi thao tác áp dụng cấu hình Safe Mode được thực hiện, Sophos Endpoint phát hiện hành vi bất thường liên quan đến việc thay đổi cơ chế khởi động. Trên máy người dùng, Sophos Endpoint Agent hiển thị cảnh báo với thông báo Disrupt_4a (T1562.009) đối với tiến trình C:\Windows\System32\msconfig.exe, cho thấy hành vi lạm dụng Safe Mode đã bị nhận diện và ngăn chặn.

Kết quả là hệ thống không cho phép áp dụng cấu hình khởi động vào Safe Mode, đảm bảo các thành phần bảo mật vẫn hoạt động đầy đủ và attacker không thể sử dụng Safe Mode để bypass cơ chế bảo vệ.

Sau khi thực hiện kiểm thử hành vi lạm dụng Safe Mode trên endpoint, Sophos Central ghi nhận sự kiện tương ứng trong mục Detections thuộc Threat Analysis Center.

Trong danh sách detections, sự kiện được hiển thị với mức độ Medium, loại Threat, và rule WIN‑PROT‑BEHAVIORAL‑MALWARE‑DISRUPT‑4A‑T1562.009, phản ánh hành vi cố gắng làm suy yếu cơ chế bảo vệ hệ thống thông qua thay đổi cấu hình khởi động.

Khi mở chi tiết detection, Sophos Central hiển thị thông tin cho thấy tiến trình msconfig.exe (C:\Windows\System32\msconfig.exe) đã thực hiện thao tác thay đổi cấu hình boot. Trường Process Command Line ghi nhận trực tiếp việc gọi msconfig.exe, trong khi Parent Process Path là C:\Windows\System32\svchost.exe. Detection được ghi nhận trên endpoint PHONG‑VACIF và gắn với người dùng PHONG YANG LAKE.

Sophos phân loại hành vi này theo kỹ thuật T1562.009, cho thấy nỗ lực vô hiệu hóa hoặc né tránh các biện pháp bảo vệ thông qua Safe Mode đã bị phát hiện và xử lý ở mức độ hành vi

1. Truy cập: Endpoint → chọn thiết bị
2. Mở menu Actions
3. Các tùy chọn liên quan đến Adaptive Attack Protection:
   • Extend Adaptive Attack Protection
   • Turn off Adaptive Attack Protection

**Lưu ý: chỉ tắt Adaptive Attack Protection sau khi đã điều tra và xử lý xong sự cố.

Qua các kịch bản kiểm thử PowerShell bất thường, leo thang đặc quyền và Safe Mode abuse, có thể xác nhận Adaptive Attack Protection trên Sophos Endpoint đã hoạt động đúng. Các hành vi hậu khai thác quan trọng đều bị phát hiện và ghi log đầy đủ trên Sophos Central dưới dạng Behavioral Disrupt.

Adaptive Attack Protection không chặn từng lệnh riêng lẻ, mà tập trung ngăn attacker tiếp tục mở rộng và hoàn tất chuỗi tấn công, đồng thời cung cấp đầy đủ log phục vụ điều tra và xử lý sau sự cố.