Sztuka wojny cyfrowej. Przewodnik dla śledczego po szpiegostwie, oprogramowaniu ransomware i cyberprzestępczości zorganizowanej - ebook

Cyberprzestępcy mogą nie tylko wykradać dane i pieniądze. Mogą atakować instytucje rządowe, prać brudne pieniądze i dokonywać aktów terroru. Na naszych oczach toczy się wojna hybrydowa - operacje wojenne przeniosły się częściowo do cyberprzestrzeni. Agresorzy posługują się wyrafinowanymi technikami z rosnącą skutecznością. Niebezpieczeństwo grozi każdemu, również rządom, instytucjom i wielkim korporacjom. Aby się obronić, najpierw trzeba poznać wroga.

Dzięki temu przewodnikowi zrozumiesz techniki ataków, jak również metody śledcze obrońców. Nauczysz się analizować i śledzić ataki, a także stawiać hipotezy dotyczące ich sprawców. Znajdziesz tu opisy najważniejszych cyberataków, w tym przeprowadzonych na zlecenie rządów. Poznasz świat ukierunkowanych ataków szyfrujących i prób wymuszeń okupu, które sparaliżowały wiele korporacji. Dowiesz się także, w jaki sposób cyberataki służą do zakłócania przebiegu wyborów na całym świecie. Następnie prześledzisz krok po kroku proces analityczny, stosowany przez obrońców do badania każdego etapu cyberkampanii, pozwalający poprawnie zidentyfikować agresora i przygotować się do odpierania kolejnych ataków.

Z pomocą tej książki nauczysz się:

• określać najbardziej prawdopodobnego sprawcę ataku
• chronić się przed najczęściej popełnianymi błędami atrybucji
• analizować wiadomości phishingowe, zawartość rekordów DNS, dane rejestracyjne domen internetowych i wskazówki językowe
• wykrywać długotrwałe kampanie wywiadowcze
• stosować narzędzia analityczne, takie jak Recon-ng lub Wireshark

Tu nie chodzi tylko o hakerów anarchistów. To jest regularna wojna!

Podziękowania

Wprowadzenie

CZĘŚĆ I. PRZEGLĄD ZAAWANSOWANYCH CYBERZAGROŻEŃ

• 1. ATAKI PROWADZONE PRZEZ ORGANIZACJE PAŃSTWOWE
  • Chiny
    • Titan Rain
    • Kampanie szpiegowskie Hidden Lynx
    • Raport firmy Madiant na temat grupy APT1
    • Zawieszenie broni pomiędzy USA a ChRL w 2015 r.
  • Rosja
    • Moonlight Maze
    • Konflikt z Estonią
    • Konflikt z Gruzją
    • Buckshot Yankee
    • Red October
  • Iran
    • Wczesne lata
    • Atak na usługę Gmail w 2011 r.
    • Shamoon
  • Stany Zjednoczone
    • Crypto AG
    • Stuxnet
    • Grupa Equation
    • Regin
  • Korea Północna
    • Jednostka 121
    • Cyberataki
  • Podsumowanie
• 2. ATAKI FINANSOWE PROWADZONE PRZEZ HAKERÓW RZĄDOWYCH
  • Rozproszone ataki DoS w sektorze finansowym
    • Atak z użyciem narzędzia Dozer
    • Atak Ten Days of Rain
    • Korpus Strażników Rewolucji Islamskiej obiera za cel amerykańskie banki (2011 - 2013)
    • DarkSeoul
    • Rosyjskie ataki przeciwko Ukrainie
  • Miliardowe kradzieże
    • Ataki na system SWIFT
    • Model kradzieży finansowych stosowany przez Koreę Północną
    • Reakcja Banku Bangladeszu
    • FASTCash - globalna kradzież bankomatowa
  • Odinaff - cyberprzestępcy uczą się od hakerów rządowych
  • Podsumowanie
• 3. SZYFROWANIE DLA OKUPU
  • Atak GoGalocker
  • Atak SamSam
  • Atak Ryuk
  • Atak MegaCortex
  • Grupa EvilCorp
    • Wirus szyfrujący BitPaymer
    • Akt oskarżenia
    • Ataki WastedLocker
  • Odnajdywanie powiązań między atakami
  • Ataki szyfrujące jako usługa
  • Atak grupy DarkSide na rurociąg
  • Metody obrony
  • Podsumowanie
• 4. HAKOWANIE WYBORÓW
  • Wybory prezydenckie na Ukrainie w 2014 r.
  • Model ataku zastosowany wobec ukraińskich wyborów prezydenckich
    • Fałszywe tożsamości internetowe
    • Kampanie propagandowe
    • Ataki DDoS i kradzież danych
    • Fałszowanie wykradzionych informacji politycznych i ich publikacje
    • Szkodliwe oprogramowanie i fałszywe wyniki wyborów
  • Wybory prezydenckie w USA w 2016 r.
  • Wybory prezydenckie we Francji w 2017 r.
  • Podsumowanie

CZĘŚĆ II. WYKRYWANIE I ANALIZA ZAAWANSOWANYCH CYBERZAGROŻEŃ

• 5. PRZYPISYWANIE ATAKÓW PRZECIWNIKOM
  • Klasyfikacja grup zagrożeń
    • Haktywiści
    • Cyberprzestępcy
    • Szpiegostwo cyfrowe
    • Nieznani
  • Atrybucja
    • Pewność przypisania sprawstwa
    • Proces przypisywania sprawstwa
    • Identyfikacja metod, technik i procedur
    • Prowadzenie analizy stref czasowych
  • Błędy atrybucji
    • Nie określaj agresora na podstawie danych z dynamicznego systemu nazw domenowych
    • Nie traktuj domen uruchomionych pod tym samym adresem IP jako należących do tego samego agresora
    • Nie używaj do atrybucji domen zarejestrowanych przez brokerów
    • Nie próbuj określić sprawcy ataku na podstawie publicznie dostępnych narzędzi hakerskich
  • Wskazówki
  • Tworzenie profili zagrożeń
  • Podsumowanie
• 6. SPOSOBY ROZPOWSZECHNIANIA SZKODLIWEGO OPROGRAMOWANIA I JEGO METODY KOMUNIKACJI
  • Wykrywanie personalizowanych wiadomości phishingowych
    • Podstawowe informacje o adresie
    • Informacja o użytym programie pocztowym
    • Identyfikator wiadomości
    • Pozostałe przydatne pola
  • Analiza szkodliwych lub przejętych przez hakerów stron internetowych
  • Wykrywanie skrytej komunikacji
    • Nadużycie mechanizmu Alternate Data Stream podczas ataku Shamoon
    • Nadużycie protokołów komunikacyjnych przez wirusa Bachosens
  • Analiza wielokrotnego wykorzystania szkodliwego kodu
    • Atak WannaCry
    • Platforma dystrybucji eksploitów Elderwood
  • Podsumowanie
• 7. POSZUKIWANIE INFORMACJI O ZAGROŻENIACH W OGÓLNODOSTĘPNYCH ŹRÓDŁACH
  • Używanie narzędzi OSINT
    • Stosowanie zasad bezpieczeństwa operacyjnego
    • Wątpliwości natury prawnej
  • Narzędzia do enumeracji elementów infrastruktury
    • Farsight DNSDB
    • PassiveTotal
    • DomainTools
    • Whoisology
    • DNSmap
  • Narzędzia do analizy szkodliwego oprogramowania
    • VirusTotal
    • Hybrid Analysis
    • Joe Sandbox
    • Hatching Triage
    • Cuckoo Sandbox
  • Wyszukiwarki
    • Tworzenie zapytań
    • Poszukiwanie próbek kodu za pomocą wyszukiwarki NerdyData
  • Narzędzie TweetDeck
  • Przeglądanie zasobów ciemnej strony internetu
  • Oprogramowanie VPN
  • Narzędzia wspomagające organizowanie informacji zebranych podczas śledztwa
    • ThreatNote
    • MISP
    • Analyst1
    • DEVONthink
  • Analizowanie komunikacji sieciowej za pomocą narzędzia Wireshark
  • Korzystanie z platform rozpoznawczych
    • Recon-ng
    • TheHarvester
    • SpiderFoot
    • Maltego
  • Podsumowanie
• 8. ANALIZA RZECZYWISTEGO ZAGROŻENIA
  • Kontekst
  • Analiza wiadomości e-mail
    • Analiza nagłówka
    • Analiza treści wiadomości
    • Analiza publicznie dostępnych źródeł informacji (OSINT)
  • Analiza dokumentu pułapki
    • Identyfikacja infrastruktury sterowania i kontroli
    • Identyfikacja zmodyfikowanych plików
  • Analiza pobranych plików
    • Analiza pliku dw20.t
    • Analiza pliku netidt.dll
    • Korzystanie ze wskazówek silników detekcji
  • Analiza infrastruktury
    • Odszukanie dodatkowych domen
    • Rekordy pasywnego DNS
  • Wizualizacja powiązań między wskaźnikami włamania
  • Wnioski
  • Tworzenie profilu zagrożenia
  • Podsumowanie

A. PYTANIA POMOCNICZE DO TWORZENIA PROFILU ZAGROŻENIA

B. PRZYKŁADOWY SZABLON PROFILU ZAGROŻENIA

PRZYPISY KOŃCOWE