Locked Shield 2018 к стартовым блокам!

(Ди Алессандро Руголо)
10/04/18

Также в этом году в Таллине (но фактически по всей Европе) будут проводиться, как обычно, крупнейшие кибер-упражнения в мире: Locked Shield.
Используя информацию из предыдущих упражнений и делая минимум OSINT, давайте поймем, на что она может быть сосредоточена.

Что мы знаем?

- мы знаем, что в прошлом году мероприятие проводилось между 24 и 28 April;
- мы знаем, что семинар под названием «Заблокированная криминалистическая защита» будет проходить между 15 и 17 мая следующего года, в котором будут обсуждаться результаты упражнения, и будут представлены возможные решения для судебных аспектов.
- Мы знаем, что в прошлом году даты были более или менее похожи.

Для начала, хотя официальных новостей нет, я ожидаю, что это мероприятие состоится в одни и те же даты, вероятно, между 23 и 27 апреля или максимум на следующей неделе.

Чтобы понять, что будет сфокусировано, я имею в виду темы, которые будут рассмотрены в «Проблеме судебной экспертизы», те, которые уже доступны, даже если они очень общие и в основных проблемах, с которыми столкнулся мир Cyber ​​в прошлом году.

Посмотрим, не появится ли что-нибудь полезное из анализа. В период с 15 по 17 мая во время «Судебной экспертизы закрытых щитов» будут рассмотрены следующие аспекты:

Анализ вредоносного трафика
Анализ файловой системы Ntfs
Анализ файлов
Анализ различных артефактов ОС
Анализ поведения пользователя
Вредоносная программа. 

Хотя в течение года мы столкнулись со следующими основными проблемами:

- NotPetya и WannaCry;
- Призрак и расплавление.

Среди возникающих угроз мы находим:

- возможные варианты WannaCry, Spectre и Meltdown;
- атаки «Призрачной криптомины»;
- взлом облаков;
- тактика социальной инженерии;
- новая тактика атаки на отказ в обслуживании;
- уязвимость в песочнице;
- Процесс Doppelganging.

Среди новых технологий мы имеем вместо этого:

квантовая компьютерная и квантовая криптография;
- цифровая идентичность на блочной цепочке;
- IoT.

Я не нашел ничего в Интернете по сценарию упражнений, но вполне вероятно, что система для защиты - это система размера нации, которая использует известные технологии, основанные на облаке и, возможно, с цифровыми идентификаторами и криптоматой на блочной цепочке. Не удивительно, если бы в сети были обнаружены даже общие устройства (IoT), которые, как известно, не предназначены для обеспечения безопасности.

Теперь, поставив вышеперечисленную систему в действие, я могу сделать некоторые предположения о том, как это может происходить, и о некоторых типах атак, с которыми могли бы столкнуться команды Blue.

Прежде всего, видя, что в майском сеансе Forensics Challenge есть запись «Анализ поведения пользователей», я думаю, что атака начнется с внутренних пользователей, возможно, зараженных через вложения электронной почты, содержащие вредоносный код. Таким образом, синие команды должны будут сосредоточиться на анализе поведения пользователей и устройств (IoT).

Вероятно, вредоносное ПО может использовать технологию наведения вызова Процесс Doppelganging, появившийся в конце 2017, это также оправдывало бы указание провести анализ файловой системы NTFS.

Конечной целью атакующего может быть захват распределенных вычислительных ресурсов, чтобы заработать деньги в рамках деятельности призрачная добыча.

Естественно, все это не что иное, как спекуляция, основанная на очень небольшой информации. Одно можно сказать наверняка, скоро будет упражнение, а затем, Синие команды и Красные команды будут противостоять в кибер-поле.

Удачи, и, поскольку это игра, вы выигрываете лучше!

  
 Для получения дополнительной информации:
- https://ccdcoe.org/locked-shields-forensics-challenge-workshop-2018.html
- https://ccdcoe.org/new-research-red-teaming-technical-capabilities-and-c...
- https://www.cybersecurity-insiders.com/most-dangerous-cyber-security-thr...
- https://www.cdnetworks.com/en/news/2018s-most-dangerous-cyber-threats/6812
- https://www.tripwire.com/state-of-security/featured/5-notable-ddos-attac...
- https://niccs.us-cert.gov/training/search/champlain-college-online/opera...
- https://thehackernews.com/2017/12/malware-process-doppelganging.html

(фото: Оборонный архив)

оборона рейнметалла