Lounastauko

Ettei liikaa pääsisi laiskistumaan, 45 minuuttisen lounastunnin ohella tehtäväksi, kuusituntisen kurssiluennon ohessa, tuli Att&ckiin tutustuminen. Muistakaa kokata, syödä, ulkoilla ja punnertaa samalla, demosta plussaa. $ sudo saa suorittaa

• Tässä kurssin viittä opintopistettä suorittaessa mieleen juolahtaa vuodessa maisteriksi lukenut ja 583 opintopistettä suorittanut ihme Helsingin yliopistolta https://www.hs.fi/kaupunki/helsinki/art-2000008385480.html. Lisää kahvia koneeseen.

Kommentit harjoituksia edeltävältä tunnilta

• Att&ck: https://attack.mitre.org
  • Taktiikat on mitä tavoitellaan (yläkäsite)
  • Tekniikka taktiikan saavuttamiseksi tarkoitettu spesifi toimintatapa
  • Prosedure miten hyökkäystä käytetty tosimaailmassa
• Pyramid of pain: https://attackiq.com/2019/06/26/emulating-attacker-activities-and-the-pyramid-of-pain/

Tehtävä: t45a -

Attaaack! Esittele valittu ATT&CK tekniikka. Selitä mihin taktiikkaan se liittyy. Anna esimerkki proseduurista, jossa sitä on käytetty. Esittele tekniikka siten, että sitä pystyy soveltamaan käytännössä. Demosta plussaa, jos aikaa jää yli. Tero valitsee taktiikan, jonka sisältä voit itse valita tekniikan.

Taktiikka: Lateral movement - siirtyminen kohdeympäristössä sivuttain

• Lateral movement: 9 techniques: Tekniikoissa alakohtia - esimerkiksi riittää yksi alakohta
  • Hyökkääjä pyrkii liikkuman ympäristössä sisään järjestelmistiin ja verkkoihin tai hallitsemaan niitä.
  • Yleensä hyökkääjä kartoittaa verkkoa kohteiden löytämiseksi ja niihin tunkeutumiseksi.
  • Yleensä tavoitteen saavuttamiseksi pitää pivotoida useiden järjestelmien ja tilien halki.
  • Hyökkääjä voi asentaa omia etähallintatyökalujaan taktiikassa tai käyttää legitiimejä kredentiaaleja kohdeverkossa ja järjestelmissä.
• Tekniikoita: Mielenkiintoisen kuulosia tekniikoita lateraalin liikkeen osuudessa ja alkutunnelmat:
  • Internal Spearphishing - Keihäskalastus on mielestäni yksi phishingin alalaji ja internal spearphishing varmaankin organisaation sisäistä kohdistettua kalastelua.
  • Remote Service Session Hijacking - Etäpalvelun session kaappaus, hmmh, vaikuttaa mielenkiintoiselta mutta…
  • Software Deployment Tools - Ei niin mielenkiintonen kun moni muu mutta kehittäjälle tämä vaikuttaa oleelliselta.
  • Replication Through Removable Media - Eli varmaan tiedostoja jotka voi poistaa mutta hyökkääjä jää koneelle.

Tekniikka: T1072 - Software Deployment Tools

• Hyökkääjä voi saavuttaa pääsyn kolmannen osapuolen ohjelmistojen kautta jotka on asennettu organisaation verkkoon.
  • Näitä voi olla hallinta-, monitorointi- ja deployment-järjestelmät.
• Näiden avulla päästään liikkumaan verkossa. Voivat olla käytössä hallintasyistä käytössä verkossa.
  • Esimerkkeinä annettu SCCM, HBSS, Altiris. https://en.wikipedia.org/wiki/Altiris

Proseduuri: ID: G0040, Name: APT32

• APT32 hyökkäsi McAfee ePO:ssa ja jakoi haittaohjelmistoa ohjelmistona.

APT32 ran legitimately-signed executables from Symantec and McAfee which load a malicious DLL. The group also side-loads its backdoor by dropping a library and a legitimate, signed executable (AcroTranscoder).