(od Alessandra Rugola) Aj tento rok sa v Talline (ale vlastne v celej Európe) bude konať, ako inak, najväčšie kybernetické cvičenie na svete: Locked Shield. Využitím informácií z predchádzajúcich cvičení a vykonaním minima OSINT pochopíme, na čo by sa to mohlo zamerať.
Čo vieme?
- vieme, že minulý rok sa cvičenie konalo medzi 24. a 28. aprílom;
- vieme, že medzi 15. a 17. májom sa uskutoční workshop s názvom: “Locked Shields Forensics Challenge”, na ktorom sa budú diskutovať o výsledkoch cvičenia a predstavené možné riešenia forenzných aspektov.
- vieme, že minulý rok boli termíny viac-menej podobné.
Na začiatok, hoci zatiaľ nie sú žiadne oficiálne správy, predpokladám, že cvičenie sa uskutoční v rovnakých termínoch, pravdepodobne medzi 23. a 27. aprílom alebo najneskôr v nasledujúcom týždni.
Aby som pochopil, na čo sa zameriame, odkazujem na témy, ktorým sa bude venovať „Forenzná výzva“, tie, ktoré sú už dostupné, aj keď veľmi všeobecné, a hlavné výzvy, ktorým kybernetický svet musel čeliť za posledný rok. .
Uvidíme, či z analýzy vzíde niečo užitočné. Medzi 15. a 17. májom počas „Locked Shields Forensics Challenge“ sa budú riešiť tieto aspekty:
Škodlivá analýza návštevnosti
Analýza súborového systému Ntfs
Analýza súboru
Analýza rôznych artefaktov OS
Analýza správania používateľov
Identifikácia škodlivého softvéru.
Počas roka sme museli čeliť týmto hlavným problémom:
- NotPetya a WannaCry;
- Spectre a Meltdown.
Medzi vznikajúcimi hrozbami nájdeme:
- možné varianty WannaCry, Spectre a Meltdown;
- "Ghostly Cryptomining" útoky;
- cloud hacking;
- taktiky sociálneho inžinierstva;
- nová taktika útoku odmietnutia služby;
- zraniteľnosť sandboxu;
- Doppelganging procesov.
Medzi novými technológiami máme namiesto toho:
- kvantový počítač a kvantová kryptografia;
- digitálna identita na blockchaine;
- IoT.
Na internete som nenašiel nič o scenári cvičenia, ale je pravdepodobné, že systém, ktorý treba brániť, je systém veľkosti národa, ktorý využíva známe technológie, založený na cloude a možno s digitálnymi identitami a kryptomenou na blockchaine. . Nebolo by prekvapujúce, keby na sieti existovali aj generické (IoT) zariadenia, ktoré nie sú notoricky navrhnuté tak, aby boli bezpečné.
Teraz, začlenením vyššie uvedeného do systému, môžem urobiť predpoklady o tom, ako by cvičenie mohlo prebiehať, ao niektorých typoch útokov, s ktorými by mohli byť povolané modré tímy.
Po prvé, keď vidím, že v májovej relácii „Forensics Challenge“ je položka „analýza správania používateľov“, myslím si, že útok začne od interných používateľov, možno infikovaných prostredníctvom príloh e-mailov obsahujúcich škodlivý kód. Modré tímy sa preto budú musieť zamerať na analýzu správania používateľov a zariadení (IoT).
Malvér by pravdepodobne mohol využívať injekčnú techniku nazývanú Process Doppelganging, ktorá sa objavila na konci roka 2017, čo by tiež odôvodňovalo indikáciu na vykonávanie analýz súborových systémov NTFS.
Konečným cieľom útočníka by mohlo byť prevzatie distribuovaných výpočtových zdrojov na zarábanie peňazí prostredníctvom strašidelnej ťažby.
Samozrejme, toto všetko nie je nič iné ako špekulácie založené na veľmi malom množstve dostupných informácií. Jedna vec je istá, čoskoro sa uskutoční cvičenie a potom sa opäť stretnú modré tímy a červené tímy na kybernetickom poli.
