(由亚历山德罗·鲁戈洛(Alessandro Rugolo))今年同样在塔林(但实际上是整个欧洲)将照常举行世界上最大的网络运动:锁盾(Locked Shield)。 使用前面的练习中的信息并最少做一次OSINT,让我们看看它可以专注于什么。
我们知道什么?
- 我们知道去年的演习是在4月份的24和28之间进行的;
- 我们知道的15 17和明年五月将举行题为“锁定盾牌取证挑战”研讨会,在其中他们将讨论工作的结果,并提出了法医方面的可能的解决方案。
- 我们知道去年的日期差不多相似。
首先,虽然目前还没有官方消息,但我预计这次演习会在相同的日期进行,可能在23和27之间的四月或最晚一周。
要了解什么将围绕我指的是将在“取证挑战”讨论的话题,那些已经上市,虽然很一般,而且网络世界面临在去年的重大挑战。
让我们看看分析中是否有有用的东西。 在15月17日至XNUMX日的“锁定盾牌取证挑战赛”中,将涉及以下方面:
恶意流量分析
Ntfs文件系统分析
文件分析
各种OS人工制品分析
用户行为分析
恶意软件识别。
虽然在这一年我们面临以下主要问题:
- NotPetya和WannaCry;
- 幽灵和崩溃。
在我们发现的新威胁当中:
- WannaCry,Spectre和Meltdown的可能变种;
- “幽灵加密”攻击;
- 云黑客;
- 社会工程学策略;
- 新的拒绝服务攻击手段;
- 沙盒漏洞;
- 处理Doppelganging。
在我们拥有的新技术中,有:
- 量子计算机和量子密码学;
- 区块链上的数字身份;
- 物联网。
我在互联网上没有发现任何有关演习场景的内容,但它很可能是一个国家规模的系统,它使用已知的技术,基于云,也许还有数字身份和区块链上的cryptomata。 如果在网络上发现即使是通用设备(IoT)也是不足为奇的,这些设备在设计上并不安全。
现在,将上述系统投入使用,我可以对运动如何发生以及蓝队可能需要处理的某些类型的攻击做出一些假设。
首先,看到在XNUMX月的“取证挑战”会议上有“用户行为分析”条目,这使我认为攻击将始于内部用户,可能是通过包含恶意代码的电子邮件附件感染的。 因此,蓝色团队将必须专注于用户和设备行为分析(IoT)。
可能是恶意软件可以利用喷射称为Process Doppelganging的技术中,出现在2017的端部,这也是合理的执行NTFS文件SISTEM的分析的指示。
攻击者的最终目标可能是抓住分发的计算资源,通过幽灵般的采矿活动赚钱。
当然,所有这些都只是基于很少的可用信息而进行的猜测。 有一点是肯定的,不久就会有这个练习,然后再次,蓝队和红队将在赛场上面对面。
