Juga tahun ini di Tallin (tetapi memang di seluruh Eropa), seperti biasa, latihan siber terbesar di dunia akan diadakan: Locked Shield.
Menggunakan informasi dari latihan sebelumnya dan membuat minimum OSINT mari kita lihat apa yang bisa kita fokuskan.
Apa yang kita ketahui?
- kita tahu bahwa tahun lalu latihan diadakan antara 24 dan 28 April;
- kita tahu bahwa lokakarya berjudul "Locked Shields Forensics Challenge" akan diadakan antara 15 dan 17 Mei mendatang, di mana hasil latihan akan dibahas dan kemungkinan solusi untuk aspek forensik akan disajikan.
- kita tahu bahwa tahun lalu tanggalnya kurang lebih sama.
Untuk mulai dengan, meskipun belum ada berita resmi, saya berharap latihan akan berlangsung pada tanggal yang sama, mungkin antara 23 dan 27 April atau paling banyak pada minggu berikutnya.
Untuk memahami apa yang akan difokuskan pada saya merujuk pada topik yang akan dibahas dalam "Tantangan Forensik", yang sudah tersedia meskipun sangat generik dan dalam tantangan utama yang harus dihadapi dunia Cyber pada tahun lalu.
Mari kita lihat apakah ada sesuatu yang berguna yang muncul dari analisis. Antara 15 dan 17 Mei selama "Tantangan Forensik Perisai Terkunci", aspek-aspek berikut akan dibahas:
Analisis lalu lintas berbahaya
Analisis sistem file ntfs
Analisis file
Berbagai analisis artefak OS
Analisis perilaku pengguna
Identifikasi malware.
Sementara selama tahun ini kami harus menghadapi masalah utama berikut:
- NotPetya dan WannaCry;
- Spectre and Meltdown.
Di antara ancaman yang muncul kita temukan:
- kemungkinan varian WannaCry, Specter, dan Meltdown;
- serangan "Ghostly Cryptomining";
- peretasan cloud;
- taktik rekayasa sosial;
- taktik penolakan serangan layanan baru;
- kerentanan kotak pasir;
- Memproses Doppelganging.
Di antara teknologi baru yang kami miliki:
- komputer kuantum dan kriptografi kuantum;
- identitas digital pada blockchain;
- IOT.
Saya tidak menemukan apa pun di internet tentang skenario latihan tetapi mungkin sistem yang dipertahankan adalah sistem ukuran sebuah bangsa yang menggunakan teknologi yang diketahui, berdasarkan cloud dan mungkin dengan identitas digital dan cryptomata di blockchain. Tidak mengherankan jika bahkan perangkat generik (IoT) ditemukan di jaringan, yang terkenal tidak dirancang untuk aman.
Sekarang, dengan menempatkan hal-hal di atas dalam sistem seperti yang dijelaskan di atas, saya dapat membuat asumsi tentang bagaimana latihan itu bisa terjadi dan tentang jenis-jenis serangan tertentu yang bisa dihadapi oleh tim Biru.
Pertama-tama, melihat di sesi Mei "Forensics Challenge" ada entri "analisis perilaku pengguna", membuat saya berpikir bahwa serangan akan dimulai dari pengguna internal, mungkin terinfeksi melalui lampiran email yang berisi kode berbahaya. Oleh karena itu, tim biru harus fokus pada analisis perilaku pengguna dan perangkat (IoT).
Malware mungkin dapat memanfaatkan teknik injeksi yang disebut Memproses Doppelganging, muncul pada akhir 2017, ini juga akan membenarkan indikasi untuk melakukan analisis pada File Sistem NTFS.
Tujuan utama penyerang adalah mengambil alih sumber daya komputasi yang didistribusikan untuk menghasilkan uang penambangan hantu.
Tentu saja semua ini tidak lebih dari spekulasi berdasarkan sangat sedikit informasi yang tersedia. Satu hal yang pasti, akan segera ada latihan dan kemudian, sekali lagi, Tim Biru dan Tim Merah akan berhadapan di bidang Cyber.
Semoga berhasil dan, karena ini adalah permainan, menangkan yang terbaik!
Untuk mempelajari lebih lanjut:
- https://ccdcoe.org/locked-shields-forensics-challenge-workshop-2018.html
- https://ccdcoe.org/new-research-red-teaming-technical-capabilities-and-c...
- https://www.cybersecurity-insiders.com/most-dangerous-cyber-security-thr...
- https://www.cdnetworks.com/en/news/2018s-most-dangerous-cyber-threats/6812
- https://www.tripwire.com/state-of-security/featured/5-notable-ddos-attac...
- https://niccs.us-cert.gov/training/search/champlain-college-online/opera...
- https://thehackernews.com/2017/12/malware-process-doppelganging.html
(foto: Arsip pertahanan)
