Sztuka wojny cyfrowej. Przewodnik dla śledczego po szpiegostwie, oprogramowaniu ransomware i cyberprzestępczości zorganizowanej Będzin

Cyberprzestępcy mogą nie tylko wykradać dane i pieniądze. Mogą atakować instytucje rządowe, prać brudne pieniądze i dokonywać aktów terroru. Na naszych oczach toczy się wojna hybrydowa - operacje wojenne przeniosły się częściowo do cyberprzestrzeni. Agresorzy posługują się wyrafinowanymi technikami z rosnącą skutecznością. Niebezpieczeństwo grozi każdemu, również rządom, instytucjom i wielkim korporacjom. Aby się obronić, najpierw trzeba poznać wroga. Dzięki temu przewodnikowi zrozumiesz techniki ataków, jak również metody śledcze obrońców. Nauczysz się analizować i śledzić ataki, a także stawiać hipotezy dotyczące ich sprawców. Znajdziesz tu opisy najważniejszych cyberataków, w tym przeprowadzonych na zlecenie rządów. Poznasz świat ukierunkowanych ataków szyfrujących i prób wymuszeń okupu, które sparaliżowały wiele korporacji. Dowiesz się także, w jaki sposób cyberataki służą do zakłócania przebiegu wyborów na całym świecie. Następnie prześledzisz krok po kroku proces analityczny, stosowany przez obrońców do badania każdego etapu cyberkampanii, pozwalający poprawnie zidentyfikować agresora i przygotować się do odpierania kolejnych ataków. Z pomocą tej książki nauczysz się: określać najbardziej prawdopodobnego sprawcę ataku chronić się przed najczęściej popełnianymi błędami atrybucji analizować wiadomości phishingowe, zawartość rekordów DNS, dane rejestracyjne domen internetowych i wskazówki językowe wykrywać długotrwałe kampanie wywiadowcze stosować narzędzia analityczne, takie jak Recon-ng lub Wireshark Tu nie chodzi tylko o hakerów anarchistów. To jest regularna wojna! Spis treści: Podziękowania Wprowadzenie CZĘŚĆ I. PRZEGLĄD ZAAWANSOWANYCH CYBERZAGROŻEŃ1. ATAKI PROWADZONE PRZEZ ORGANIZACJE PAŃSTWOWEChiny Titan Rain Kampanie szpiegowskie Hidden Lynx Raport firmy Madiant na temat grupy APT1 Zawieszenie broni pomiędzy USA a ChRL w 2015 r. Rosja Moonlight Maze Konflikt z Estonią Konflikt z Gruzją Buckshot Yankee Red October Iran Wczesne lata Atak na usługę Gmail w 2011 r. Shamoon Stany Zjednoczone Crypto AG Stuxnet Grupa Equation Regin Korea Północna Jednostka 121 Cyberataki Podsumowanie 2. ATAKI FINANSOWE PROWADZONE PRZEZ HAKERÓW RZĄDOWYCHRozproszone ataki DoS w sektorze finansowym Atak z użyciem narzędzia Dozer Atak Ten Days of Rain Korpus Strażników Rewolucji Islamskiej obiera za cel amerykańskie banki (2011 - 2013) DarkSeoul Rosyjskie ataki przeciwko Ukrainie Miliardowe kradzieże Ataki na system SWIFT Model kradzieży finansowych stosowany przez Koreę Północną Reakcja Banku Bangladeszu FASTCash - globalna kradzież bankomatowa Odinaff - cyberprzestępcy uczą się od hakerów rządowych Podsumowanie 3. SZYFROWANIE DLA OKUPUAtak GoGalocker Atak SamSam Atak Ryuk Atak MegaCortex Grupa EvilCorp Wirus szyfrujący BitPaymer Akt oskarżenia Ataki WastedLocker Odnajdywanie powiązań między atakami Ataki szyfrujące jako usługa Atak grupy DarkSide na rurociąg Metody obrony Podsumowanie 4. HAKOWANIE WYBORÓWWybory prezydenckie na Ukrainie w 2014 r. Model ataku zastosowany wobec ukraińskich wyborów prezydenckich Fałszywe tożsamości internetowe Kampanie propagandowe Ataki DDoS i kradzież danych Fałszowanie wykradzionych informacji politycznych i ich publikacje Szkodliwe oprogramowanie i fałszywe wyniki wyborów Wybory prezydenckie w USA w 2016 r. Wybory prezydenckie we Francji w 2017 r. Podsumowanie CZĘŚĆ II. WYKRYWANIE I ANALIZA ZAAWANSOWANYCH CYBERZAGROŻEŃ5. PRZYPISYWANIE ATAKÓW PRZECIWNIKOMKlasyfikacja grup zagrożeń Haktywiści Cyberprzestępcy Szpiegostwo cyfrowe Nieznani Atrybucja Pewność przypisania sprawstwa Proces przypisywania sprawstwa Identyfikacja metod, technik i procedur Prowadzenie analizy stref czasowych Błędy atrybucji Nie określaj agresora na podstawie danych z dynamicznego systemu nazw domenowych Nie traktuj domen uruchomionych pod tym samym adresem IP jako należących do tego samego agresora Nie używaj do atrybucji domen zarejestrowanych przez brokerów Nie próbuj określić sprawcy ataku na podstawie publicznie dostępnych narzędzi hakerskich Wskazówki Tworzenie profili zagrożeń Podsumowanie 6. SPOSOBY ROZPOWSZECHNIANIA SZKODLIWEGO OPROGRAMOWANIA I JEGO METODY KOMUNIKACJIWykrywanie personalizowanych wiadomości phishingowych Podstawowe informacje o adresie Informacja o użytym programie pocztowym Identyfikator wiadomości Pozostałe przydatne pola Analiza szkodliwych lub przejętych przez hakerów stron internetowych Wykrywanie skrytej komunikacji Nadużycie mechanizmu Alternate Data Stream podczas ataku Shamoon Nadużycie protokołów komunikacyjnych przez wirusa Bachosens Analiza wielokrotnego wykorzystania szkodliwego kodu Atak WannaCry Platforma dystrybucji eksploitów Elderwood Podsumowanie 7. POSZUKIWANIE INFORMACJI O ZAGROŻENIACH W OGÓLNODOSTĘPNYCH ŹRÓDŁACHUżywanie narzędzi OSINT Stosowanie zasad bezpieczeństwa operacyjnego Wątpliwości natury prawnej Narzędzia do enumeracji elementów infrastruktury Farsight DNSDB PassiveTotal DomainTools Whoisology DNSmap Narzędzia do analizy szkodliwego oprogramowania VirusTotal Hybrid Analysis Joe Sandbox Hatching Triage Cuckoo Sandbox Wyszukiwarki Tworzenie zapytań Poszukiwanie próbek kodu za pomocą wyszukiwarki NerdyData Narzędzie TweetDeck Przeglądanie zasobów ciemnej strony internetu Oprogramowanie VPN Narzędzia wspomagające organizowanie informacji zebranych podczas śledztwa ThreatNote MISP Analyst1 DEVONthink Analizowanie komunikacji sieciowej za pomocą narzędzia Wireshark Korzystanie z platform rozpoznawczych Recon-ng TheHarvester SpiderFoot Maltego Podsumowanie 8. ANALIZA RZECZYWISTEGO ZAGROŻENIAKontekst Analiza wiadomości e-mail Analiza nagłówka Analiza treści wiadomości Analiza publicznie dostępnych źródeł informacji (OSINT) Analiza dokumentu pułapki Identyfikacja infrastruktury sterowania i kontroli Identyfikacja zmodyfikowanych plików Analiza pobranych plików Analiza pliku dw20.t Analiza pliku netidt.dll Korzystanie ze wskazówek silników detekcji Analiza infrastruktury Odszukanie dodatkowych domen Rekordy pasywnego DNS Wizualizacja powiązań między wskaźnikami włamania Wnioski Tworzenie profilu zagrożenia Podsumowanie A. PYTANIA POMOCNICZE DO TWORZENIA PROFILU ZAGROŻENIAB. PRZYKŁADOWY SZABLON PROFILU ZAGROŻENIAPRZYPISY KOŃCOWE O autorze: Jon DiMaggio od ponad 15 lat zajmuje się identyfikacją, badaniem i opisywaniem zaawansowanych zagrożeń w cyberprzestrzeni. Specjalizuje się w kwestiach wykorzystywania szkodliwego oprogramowania szyfrującego i cyberoperacji obcych rządów. Współpracował z organami ścigania przy sporządzaniu federalnych aktów oskarżenia. Często bierze udział w konferencjach branżowych poświęconych bezpieczeństwu.