Искусство цифровой войны. Руководство для следователя

Sztuka wojny cyfrowej. Przewodnik dla śledczego po szpiegostwie, oprogramowaniu ransomware i cyberprzestępczości zorganizowanej

Jon DiMaggio

Cyberprzestępcy mogą nie tylko wykradać dane i pieniądze. Mogą atakować instytucje rządowe, prać brudne pieniądze i dokonywać aktów terroru. Na naszych oczach toczy się wojna hybrydowa - operacje wojenne przeniosły się częściowo do cyberprzestrzeni. Agresorzy posługują się wyrafinowanymi technikami z rosnącą skutecznością. Niebezpieczeństwo grozi każdemu, również rządom, instytucjom i wielkim korporacjom. Aby się obronić, najpierw trzeba poznać wroga.

Dzięki temu przewodnikowi zrozumiesz techniki ataków, jak również metody śledcze obrońców. Nauczysz się analizować i śledzić ataki, a także stawiać hipotezy dotyczące ich sprawców. Znajdziesz tu opisy najważniejszych cyberataków, w tym przeprowadzonych na zlecenie rządów. Poznasz świat ukierunkowanych ataków szyfrujących i prób wymuszeń okupu, które sparaliżowały wiele korporacji. Dowiesz się także, w jaki sposób cyberataki służą do zakłócania przebiegu wyborów na całym świecie. Następnie prześledzisz krok po kroku proces analityczny, stosowany przez obrońców do badania każdego etapu cyberkampanii, pozwalający poprawnie zidentyfikować agresora i przygotować się do odpierania kolejnych ataków.

Z pomocą tej książki nauczysz się:

• określać najbardziej prawdopodobnego sprawcę ataku
• chronić się przed najczęściej popełnianymi błędami atrybucji
• analizować wiadomości phishingowe, zawartość rekordów DNS, dane rejestracyjne domen internetowych i wskazówki językowe
• wykrywać długotrwałe kampanie wywiadowcze
• stosować narzędzia analityczne, takie jak Recon-ng lub Wireshark

Tu nie chodzi tylko o hakerów anarchistów. To jest regularna wojna!

O autorze:

Jon DiMaggio od ponad 15 lat zajmuje się identyfikacją, badaniem i opisywaniem zaawansowanych zagrożeń w cyberprzestrzeni. Specjalizuje się w kwestiach wykorzystywania szkodliwego oprogramowania szyfrującego i cyberoperacji obcych rządów. Współpracował z organami ścigania przy sporządzaniu federalnych aktów oskarżenia. Często bierze udział w konferencjach branżowych poświęconych bezpieczeństwu.

Spis treści:

Podziękowania

Wprowadzenie

CZĘŚĆ I. PRZEGLĄD ZAAWANSOWANYCH CYBERZAGROŻEŃ

• 1. ATAKI PROWADZONE PRZEZ ORGANIZACJE PAŃSTWOWE

  Chiny

  Titan Rain

  Kampanie szpiegowskie Hidden Lynx

  Raport firmy Madiant na temat grupy APT1

  Zawieszenie broni pomiędzy USA a ChRL w 2015 r.

  Rosja

  Moonlight Maze

  Konflikt z Estonią

  Konflikt z Gruzją

  Buckshot Yankee

  Red October

  Iran

  Wczesne lata

  Atak na usługę Gmail w 2011 r.

  Shamoon

  Stany Zjednoczone

  Crypto AG

  Stuxnet

  Grupa Equation

  Regin

  Korea Północna

  Jednostka 121

  Cyberataki

  Podsumowanie

• 2. ATAKI FINANSOWE PROWADZONE PRZEZ HAKERÓW RZĄDOWYCH

  Rozproszone ataki DoS w sektorze finansowym

  Atak z użyciem narzędzia Dozer

  Atak Ten Days of Rain

  Korpus Strażników Rewolucji Islamskiej obiera za cel amerykańskie banki (2011 - 2013)

  DarkSeoul

  Rosyjskie ataki przeciwko Ukrainie

  Miliardowe kradzieże

  Ataki na system SWIFT

  Model kradzieży finansowych stosowany przez Koreę Północną

  Reakcja Banku Bangladeszu

  FASTCash - globalna kradzież bankomatowa

  Odinaff - cyberprzestępcy uczą się od hakerów rządowych

  Podsumowanie

• 3. SZYFROWANIE DLA OKUPU

  Atak GoGalocker

  Atak SamSam

  Atak Ryuk

  Atak MegaCortex

  Grupa EvilCorp

  Wirus szyfrujący BitPaymer

  Akt oskarżenia

  Ataki WastedLocker

  Odnajdywanie powiązań między atakami

  Ataki szyfrujące jako usługa

  Atak grupy DarkSide na rurociąg

  Metody obrony

  Podsumowanie

• 4. HAKOWANIE WYBORÓW

  Wybory prezydenckie na Ukrainie w 2014 r.

  Model ataku zastosowany wobec ukraińskich wyborów prezydenckich

  Fałszywe tożsamości internetowe

  Kampanie propagandowe

  Ataki DDoS i kradzież danych

  Fałszowanie wykradzionych informacji politycznych i ich publikacje

  Szkodliwe oprogramowanie i fałszywe wyniki wyborów

  Wybory prezydenckie w USA w 2016 r.

  Wybory prezydenckie we Francji w 2017 r.

  Podsumowanie

CZĘŚĆ II. WYKRYWANIE I ANALIZA ZAAWANSOWANYCH CYBERZAGROŻEŃ

• 5. PRZYPISYWANIE ATAKÓW PRZECIWNIKOM

  Klasyfikacja grup zagrożeń

  Haktywiści

  Cyberprzestępcy

  Szpiegostwo cyfrowe

  Nieznani

  Atrybucja

  Pewność przypisania sprawstwa

  Proces przypisywania sprawstwa

  Identyfikacja metod, technik i procedur

  Prowadzenie analizy stref czasowych

  Błędy atrybucji

  Nie określaj agresora na podstawie danych z dynamicznego systemu nazw domenowych

  Nie traktuj domen uruchomionych pod tym samym adresem IP jako należących do tego samego agresora

  Nie używaj do atrybucji domen zarejestrowanych przez brokerów

  Nie próbuj określić sprawcy ataku na podstawie publicznie dostępnych narzędzi hakerskich

  Wskazówki

  Tworzenie profili zagrożeń

  Podsumowanie

• 6. SPOSOBY ROZPOWSZECHNIANIA SZKODLIWEGO OPROGRAMOWANIA I JEGO METODY KOMUNIKACJI

  Wykrywanie personalizowanych wiadomości phishingowych

  Podstawowe informacje o adresie

  Informacja o użytym programie pocztowym

  Identyfikator wiadomości

  Pozostałe przydatne pola

  Analiza szkodliwych lub przejętych przez hakerów stron internetowych

  Wykrywanie skrytej komunikacji

  Nadużycie mechanizmu Alternate Data Stream podczas ataku Shamoon

  Nadużycie protokołów komunikacyjnych przez wirusa Bachosens

  Analiza wielokrotnego wykorzystania szkodliwego kodu

  Atak WannaCry

  Platforma dystrybucji eksploitów Elderwood

  Podsumowanie

• 7. POSZUKIWANIE INFORMACJI O ZAGROŻENIACH W OGÓLNODOSTĘPNYCH ŹRÓDŁACH

  Używanie narzędzi OSINT

  Stosowanie zasad bezpieczeństwa operacyjnego

  Wątpliwości natury prawnej

  Narzędzia do enumeracji elementów infrastruktury

  Farsight DNSDB

  PassiveTotal

  DomainTools

  Whoisology

  DNSmap

  Narzędzia do analizy szkodliwego oprogramowania

  VirusTotal

  Hybrid Analysis

  Joe Sandbox

  Hatching Triage

  Cuckoo Sandbox

  Wyszukiwarki

  Tworzenie zapytań

  Poszukiwanie próbek kodu za pomocą wyszukiwarki NerdyData

  Narzędzie TweetDeck

  Przeglądanie zasobów ciemnej strony internetu

  Oprogramowanie VPN

  Narzędzia wspomagające organizowanie informacji zebranych podczas śledztwa

  ThreatNote

  MISP

  Analyst1

  DEVONthink

  Analizowanie komunikacji sieciowej za pomocą narzędzia Wireshark

  Korzystanie z platform rozpoznawczych

  Recon-ng

  TheHarvester

  SpiderFoot

  Maltego

  Podsumowanie

• 8. ANALIZA RZECZYWISTEGO ZAGROŻENIA

  Kontekst

  Analiza wiadomości e-mail

  Analiza nagłówka

  Analiza treści wiadomości

  Analiza publicznie dostępnych źródeł informacji (OSINT)

  Analiza dokumentu pułapki

  Identyfikacja infrastruktury sterowania i kontroli

  Identyfikacja zmodyfikowanych plików

  Analiza pobranych plików

  Analiza pliku dw20.t

  Analiza pliku netidt.dll

  Korzystanie ze wskazówek silników detekcji

  Analiza infrastruktury

  Odszukanie dodatkowych domen

  Rekordy pasywnego DNS

  Wizualizacja powiązań między wskaźnikami włamania

  Wnioski

  Tworzenie profilu zagrożenia

  Podsumowanie

A. PYTANIA POMOCNICZE DO TWORZENIA PROFILU ZAGROŻENIA

B. PRZYKŁADOWY SZABLON PROFILU ZAGROŻENIA

PRZYPISY KOŃCOWE