(Alessandro Rugoloによる)また、今年はタリンで(しかし実際にはヨーロッパ全体で)、いつものように、世界最大のサイバーエクササイズであるLockedShieldが開催されます。 前の演習の情報を使用し、最小限のOSINTを実行して、何に焦点を当てることができるかを見てみましょう。
私たちは何を知っていますか?
- 私たちは昨年、24と28の間で練習が行われたことを知っています。
- 私たちは、15と17 Mayの間で "Locked Shields Forensics Challenge"というワークショップが開催されることを知っています。このワークショップでは、練習の結果が議論され、法医学的側面についての解決策が提示されます。
- 私たちは昨年、日付が多かれ少なかれ類似していたことを知っています。
まず、公式のニュースはありませんが、私はこの日の運動は23と27の間、おそらく翌週には同じ日に行われると思います。
焦点を当てることを理解するために、私は、「フォレンジックチャレンジ」で扱われるトピックを参照してください。これらのトピックは、非常に一般的であっても、サイバー世界が昨年直面した主な課題であっても利用可能です。
分析から何か有用なものが浮かび上がるかどうか見てみましょう。 15月17日からXNUMX日までの「LockedShieldsForensics Challenge」では、次の側面が処理されます。
悪意のあるトラフィック分析
Ntfsファイルシステム分析
ファイル解析
さまざまなOSアーチファクト分析
ユーザーの行動分析
マルウェアの識別。
一方、私たちは次のような主な問題に直面しました。
- NotPetyaとWannaCry;
- スペクターとメルトダウン。
新たに出現する脅威のうち、
- WannaCry、Spectre、Meltdownの可能な変形。
- "幽霊暗号化"攻撃。
- クラウドハッキング。
- 社会工学の戦術。
- 新しいサービス拒否攻撃の戦術。
- サンドボックスの脆弱性。
プロセスドッペルギャング。
代わりに新しい技術の中には:
- 量子コンピュータと量子暗号。
- ブロックチェーン上のデジタルアイデンティティ。
- IoT。
esercitativoシーンのインターネット上で何かを見つけるが、システムが全国に知られている技術、クラウドベースのと、おそらくとデジタルアイデンティティとblockchainのcriptomonetaを利用したシステムの大きさを守るためであると考えられることができませんでした。 彼らはネットでも確認することが検討されることが知られていない一般的なデバイス(IOT)で見つかった場合は驚かないだろう。
今、上記のシステムを運用することで、演習がどのように行われるか、Blueチームが対処できるいくつかの種類の攻撃についていくつかの仮定を立てることができます。
まず、XNUMX月の「フォレンジックチャレンジ」セッションに「ユーザー行動分析」というエントリがあるのを見ると、攻撃は内部ユーザーから始まり、おそらく悪意のあるコードを含む電子メールの添付ファイルに感染していると思います。 したがって、ブルーチームは、ユーザーとデバイスの行動分析(IoT)に焦点を当てる必要があります。
おそらくマルウェアは2017の終わりに登場したProcess Doppelgangingと呼ばれる注入技術を利用する可能性があります。これはFile System NTFSの分析を行うことの正当性も示しています。
攻撃者の最終目標は、幽霊採掘活動を通してお金を稼ぐために配布された計算資源を奪取することです。
当然のことながら、これは利用可能な情報がほとんどないことに基づく推測です。 1つのことは確かであり、すぐに運動があり、そして再び、青チームと赤チームがサイバーフィールドで対峙するだろう。
