(аутор Алессандро Руголо) Такође ће се ове године у Талину (али заправо у целој Европи) одржати, као и обично, највећа сајбер вежба на свету: Закључани штит. Користећи информације из претходних вежби и радећи минимум ОСИНТ-а, да видимо на шта би то могло бити усмерено.
Шта ми знамо?
- знамо да је прошле године вежба одржана између 24. и 28. априла;
- знамо да ће се између 15. и 17. маја одржати радионица под називом: „Изазов форензике закључаних штитова“, на којој ће се разговарати о резултатима вежбе и представити могућа решења за форензичке аспекте.
- знамо да су прошле године датуми били мање-више слични.
За почетак, иако још увек нема званичних вести, очекујем да ће се вежба одржати истог датума, вероватно између 23. и 27. априла или најкасније следеће недеље.
Да бих разумео на шта ће се фокусирати, позивам се на теме које ће бити обрађене у „Форенсицс Цхалленгеу“, оне које су већ доступне, иако врло генеричке, и на главне изазове са којима се цибер свет морао суочити у последњих годину дана.
Да видимо да ли из анализе произилази нешто корисно. Између 15. и 17. маја током „Изазова форензике закључаних штитова“ биће обрађени следећи аспекти:
Анализа злонамерног саобраћаја
Анализа система датотека Нтфс
Анализа датотека
Анализа различитих артефаката ОС
Анализа понашања корисника
Идентификација злонамерног софтвера.
Док смо се током године морали суочити са следећим главним проблемима:
- НотПетиа и ВаннаЦри;
- Спецтре анд Мелтдовн.
Међу новонасталим претњама налазимо:
- могуће варијанте ВаннаЦри, Спецтре и Мелтдовн;
- напади „Гхостли Цриптомининг“;
- хаковање облака;
- тактике социјалног инжењеринга;
- нова тактика одбијања услуге;
- рањивост песковитог окружења;
- Процесс Доппелгангинг.
Међу новим технологијама које имамо уместо њих:
- квантни рачунар и квантна криптографија;
- дигитални идентитет на блоцкцхаин-у;
- ИоТ.
Нисам пронашао ништа о сценарију вежбања на Интернету, али је вероватно да је систем који треба бранити систем величине нације који користи познате технологије, засноване на облаку и можда са дигиталним идентитетима и крипто валутом на блок-ланцу. . Не би изненадило да на мрежи постоје и генерички (ИоТ) уређаји који ноторно нису дизајнирани да буду сигурни.
Сад, стављајући горе наведено у систем, могу да претпоставим о томе како би се вежба могла одвијати и о неким врстама напада са којима би плави тимови могли да се баве.
Пре свега, видећи да у мајској сесији „Форенсицс Цхалленге“ постоји унос „Анализа понашања корисника“, чини ми се да ће напад започети од интерних корисника, можда заражених путем прилога е-поште који садрже злонамерни код. Плави тимови ће се зато морати усредсредити на анализу понашања корисника и уређаја (ИоТ).
Вероватно би злонамерни софтвер могао да искористи технику убризгавања под називом Процесс Доппелгангинг, која се појавила крајем 2017. године, што би такође оправдало индикацију да се изврше анализе на НТФС системима датотека.
Крајњи циљ нападача могао би бити преузимање дистрибуираних рачунарских ресурса како би зарадио новац сабласним рударством.
Наравно, све ово није ништа друго него нагађање засновано на врло мало доступних информација. Једно је сигурно, ускоро ће бити вежба, а затим ће се још једном плави и црвени тимови суочити на Цибер терену.
