Auch in diesem Jahr wird in Tallin (eigentlich in ganz Europa) wie immer die weltgrößte Cyber-Übung stattfinden: Locked Shield.
Anhand der Informationen aus den vorherigen Übungen und einem Minimum an OSINT können wir verstehen, auf was es sich konzentrieren könnte.
Was wissen wir?
- Wir wissen, dass die Übung im vergangenen Jahr zwischen 24 und 28 April stattfand;
- Wir wissen, dass im nächsten Mai der Workshop "Locked Shields Forensics Challenge" zwischen 15 und 17 stattfinden wird, in dem die Ergebnisse der Übung diskutiert und mögliche Lösungen für die forensischen Aspekte vorgestellt werden.
- Wir wissen, dass die Daten im letzten Jahr mehr oder weniger ähnlich waren.
Zu Beginn, obwohl es noch keine offiziellen Nachrichten gibt, erwarte ich, dass die Übung an den gleichen Tagen stattfindet, wahrscheinlich zwischen 23 und 27 April oder höchstens in der folgenden Woche.
Um zu verstehen, was fokussiert sein wird, beziehe ich mich auf die Themen, die in der "Forensics Challenge" behandelt werden, die bereits verfügbar sind, auch wenn sie sehr allgemein sind und in den Hauptherausforderungen, mit denen die Welt Cyber im letzten Jahr konfrontiert war.
Mal sehen, ob sich aus der Analyse etwas Nützliches ergibt. Zwischen dem 15. und 17. Mai werden während der "Locked Shields Forensics Challenge" folgende Aspekte behandelt:
Böswillige Verkehrsanalyse
NTFS-Dateisystemanalyse
Dateianalyse
Verschiedene OS-Artefakte-Analyse
Analyse des Benutzerverhaltens
Malware-Identifizierung.
Während des Jahres hatten wir folgende Hauptprobleme:
- NotPetya und WannaCry;
- Spectre und Meltdown.
Unter den aufkommenden Bedrohungen finden wir:
- mögliche Varianten von WannaCry, Spectre und Meltdown;
- "Ghostly Cryptomining" -Angriffe;
- Cloud-Hacking;
- Social-Engineering-Taktiken;
- neue Angriffstaktiken gegen Denial of Service;
- Sandbox-Sicherheitslücke;
- Prozess Doppelgang.
Unter den neuen Technologien haben wir stattdessen:
- Quantencomputer und Quantenkryptographie;
- digitale Identität auf Blockchain;
- IoT.
Ich habe im Internet nichts über das Übungsszenario gefunden, aber es ist wahrscheinlich, dass das zu verteidigende System ein System von der Größe einer Nation ist, die bekannte Technologien nutzt, basierend auf Cloud und vielleicht mit digitalen Identitäten und einem Kryptom auf Blockchain. Es wäre nicht verwunderlich, wenn sogar generische Geräte (IoT) im Netzwerk gefunden würden, die bekanntermaßen sicher sind.
Nun, indem ich das obige System in Betrieb nehme, kann ich einige Annahmen darüber treffen, wie die Übung stattfinden könnte und über einige Arten von Angriffen, mit denen die Blue-Teams konfrontiert werden könnten.
Angesichts der Tatsache, dass es in der Sitzung "Forensics Challenge" im Mai den Eintrag "Analyse des Benutzerverhaltens" gibt, denke ich zunächst, dass der Angriff von internen Benutzern ausgeht, die möglicherweise durch E-Mail-Anhänge mit bösartigem Code infiziert sind. Blaue Teams müssen sich daher auf die Verhaltensanalyse von Benutzern und Geräten (IoT) konzentrieren.
Wahrscheinlich könnte die Malware die Call-Injection-Technik nutzen Prozess Doppelgang, am Ende von 2017 entstanden, würde dies auch die Angabe rechtfertigen, eine Analyse auf Dateisystem NTFS durchzuführen.
Das Endziel des Angreifers könnte sein, die verteilten Rechenressourcen in Besitz zu nehmen, um durch die Aktivitäten von gespenstischer Bergbau.
Natürlich ist das alles nichts als Spekulation, die auf den wenigen zur Verfügung stehenden Informationen beruht. Eines ist sicher, bald wird es die Übung geben und dann werden sich wieder Blaue Teams und Rote Teams im Cyber-Feld stellen.
Viel Glück und, da es ein Spiel ist, gewinnst du das Beste!
Um mehr zu erfahren:
- https://ccdcoe.org/locked-shields-forensics-challenge-workshop-2018.html
- https://ccdcoe.org/new-research-red-teaming-technical-capabilities-and-c...
- https://www.cybersecurity-insiders.com/most-dangerous-cyber-security-thr...
- https://www.cdnetworks.com/en/news/2018s-most-dangerous-cyber-threats/6812
- https://www.tripwire.com/state-of-security/featured/5-notable-ddos-attac...
- https://niccs.us-cert.gov/training/search/champlain-college-online/opera...
- https://thehackernews.com/2017/12/malware-process-doppelganging.html
(Foto: Verteidigungsarchiv)
