(von Alessandro Rugolo) Auch in diesem Jahr wird in Tallin (aber tatsächlich in ganz Europa) wie üblich die größte Cyber-Übung der Welt stattfinden: Locked Shield. Wenn Sie die Informationen aus den vorherigen Übungen verwenden und ein Minimum an OSINT ausführen, werden Sie sehen, worauf Sie sich konzentrieren können.
Was wissen wir?
- Wir wissen, dass die Übung im vergangenen Jahr zwischen 24 und 28 April stattfand;
- wir wissen, dass zwischen der 15 und 17 wird im Mai nächsten Jahres den Workshop mit dem Titel „Locked Shields Forensics Herausforderung“ statt, in dem sie die Ergebnisse der Übung diskutieren und stellt mögliche Lösungen für forensische Aspekte.
- Wir wissen, dass die Daten im letzten Jahr mehr oder weniger ähnlich waren.
Für eine Sache, trotz noch nicht offizielle Nachrichten haben, erwarte ich, dass die Übung auf den gleichen Daten durchgeführt wird, wahrscheinlich zwischen den 23 und 27 April oder höchstens der nächsten Woche.
Um zu verstehen, was fokussiert sein wird, beziehe ich mich auf die Themen, die in der "Forensics Challenge" behandelt werden, die bereits verfügbar sind, auch wenn sie sehr allgemein sind und in den Hauptherausforderungen, mit denen die Welt Cyber im letzten Jahr konfrontiert war.
Mal sehen, ob sich aus der Analyse etwas Nützliches ergibt. Zwischen dem 15. und 17. Mai werden während der "Locked Shields Forensics Challenge" folgende Aspekte behandelt:
Böswillige Verkehrsanalyse
NTFS-Dateisystemanalyse
Dateianalyse
Verschiedene OS-Artefakte-Analyse
Analyse des Benutzerverhaltens
Malware-Identifizierung.
Während des Jahres hatten wir folgende Hauptprobleme:
- NotPetya und WannaCry;
- Spectre und Meltdown.
Unter den aufkommenden Bedrohungen finden wir:
- mögliche Varianten von WannaCry, Spectre und Meltdown;
- "Ghostly Cryptomining" -Angriffe;
- Cloud-Hacking;
- Social-Engineering-Taktiken;
- neue Angriffstaktiken gegen Denial of Service;
- Sandbox-Sicherheitslücke;
- Prozess Doppelgang.
Unter den neuen Technologien haben wir stattdessen:
- Quantencomputer und Quantenkryptographie;
- digitale Identität auf Blockchain;
- IoT.
Ich habe im Internet nichts über das Übungsszenario gefunden, aber es ist wahrscheinlich, dass das zu verteidigende System ein System von der Größe einer Nation ist, die bekannte Technologien nutzt, basierend auf Cloud und vielleicht mit digitalen Identitäten und einem Kryptom auf Blockchain. Es wäre nicht verwunderlich, wenn sogar generische Geräte (IoT) im Netzwerk gefunden würden, die bekanntermaßen sicher sind.
Nun, indem ich das obige System in Betrieb nehme, kann ich einige Annahmen darüber treffen, wie die Übung stattfinden könnte und über einige Arten von Angriffen, mit denen die Blue-Teams konfrontiert werden könnten.
Wenn ich sehe, dass es in der Sitzung „Forensics Challenge“ im Mai den Eintrag „Analyse des Benutzerverhaltens“ gibt, denke ich zunächst, dass der Angriff von internen Benutzern ausgeht, die möglicherweise durch E-Mail-Anhänge mit bösartigem Code infiziert sind. Blaue Teams müssen sich daher auf die Verhaltensanalyse von Benutzern und Geräten (IoT) konzentrieren.
Wahrscheinlich könnte die Malware die am Ende von 2017 entstandene Injektionstechnik namens Process Doppelganging ausnutzen, dies würde auch die Indikation zur Analyse auf Dateisystem NTFS rechtfertigen.
Das Endziel des Angreifers könnte sein, die Rechenressourcen zu nutzen, die verteilt werden, um durch gespenstische Minenaktivitäten Geld zu verdienen.
Natürlich ist all das nichts als Spekulation, basierend auf den wenigen verfügbaren Informationen. Eines ist sicher, bald wird es die Übung geben und dann werden sich wieder Blaue Teams und Rote Teams im Cyber-Feld stellen.
