ID: S202603271000
Status: school
Tags: Avans 2-2 Keuzenmodule, Cybersecurity

avans 2-2 m3w4 cyber kill chain

⇐ les ⇒

Opdrachten

INFO

De opdracht is de “student” aan te vallen. Zodoende gaan jullie veldwerk doen. Dat betekent rondlopen en goed kijken naar kwetsbaarheden in de leefomgeving van de “student”. Het resultaat van deze opdracht heb je nodig in de volgende workshop (workshop 5).

1. Welke waardevolle spullen heeft de “student”? (Denk ook out-of-the-box)

2. Welke aanvalsoppervlak heeft de “student”?

3. Welke kwetsbaarheden kan je vinden in het aanvalsoppervlak (leg dit ook vast met foto’s of schermafdrukken):

   • Onderzoek de fysieke omgeving (gebouw) van de “student”.
   • Onderzoek de digitale omgeving (applicaties en tools) van de “student”.
   • Onderzoek de “student” zelf en zijn/haar interesses.
   • … (bedenk met elkaar mogelijke andere interessante onderzoeken).

4. Werk een aanvalsplan uit op welke manier je de waardevolle spullen van de “student” kan bemachtigen door de gevonden kwetsbaarheden te misbruiken.

5. Maak een presentatie waarin de bovenstaande punten terugkomen. Het aanvalsplan mag als een infographic getoond worden.

Cyber kill chain

Een model wat verschillende fases van een cyber attack in kaart brengt. Van eerste verkenning tot uiteindelijk doel

Dit is handig als red teamer, maar ook als blue teamer want dan kan je fases detecteren en anticiperen.

Dit kan je klassificeren in 3 fases:

• Preperation, dit is stap 1 en 2:
  • Reconnaissance
  • Weaponization
• Intrusion, dit is stap 3 tot 5:
  • Delivery
  • Exploitation
  • Installation
• Breach, dit is stap 6 en 7:
  • Command & Control
  • Actions & Objectives

Fase 1: voorbereiding

Vergelijk het met de voorbereiding van een overval, je wilt eerst zo veel mogelijk weten en voorbereiden

Reconnaissance (footprinting)

• Informatie verzamelen van systemen, mensen en procedures.
• Zwakke plekken identificeren
• Passive footprinting met publiek toegankelijke informatie. (nmap scan bijvoorbeeld)
• Active footprinting: interactie met organisatie / social engineering

Deze informatie kan je later gebruiken.

Weaponization

• Het voorbereiden van een aanval
• O.B.V. de gevonden kwetsbaarheden
• Malware, exploits, tools ontwikkelen of kiezen / kopen
• De payload configureren

Fase 2: Intrusion

Vergelijk het met binnendringen in een goed beveiligd gebouw Eerst meot je een manier vinden om binnen te komen, dan omzeilen (exploitation)En tot slot zorgen dat je later terug kunt komen (installation) door bijv ontgrendelen van een branddeur

Delivery

• De payload (schadelijke code) bij doelwit afleveren
• Hacking, gadgets (USB-sticks) “laten vinden”
• Social engineering
  • (spear)fishing
  • Vishing: Impersonation via telefoon; iemand iets laten installeren

Je kan iemand iets laten installeren, of een slechte usb stick laten vinden, of via bluetooth. er zijn genoeg opties.

Exploitation

• Een kwetsbaarheid in het systeem van het doelwit misbruiken om toegang te verkrijgen (mogelijk met hulp van “iets” geleverd in delivery stap)

Installation

• Zorgen dat de aanvaller blijvende toegang heeft tot het systeem (ook na de reboot)

Fase 3: Breach

Vergelijk het met het plunderen van de kluis nadat je het bankgebouw bent binnengedrongen (intrusion). Je hebt nu controle (C2) en kunt je slag slaan (actions on objective), afhankelijk van wat het doel was.

interessant boek

Command & Control

• Communicatiekanaal opzetten tussen de aanvaller en het gecompromitteerd systeem
• Communicatie verbergen of onschuldig laten lijken
  • https://blog.gigamon.com/2021/01/20/dns-c2-sandwich-a-novel-approach/
• Toegang tot het systeem behouden

Actions & Objectives

• het geplande doel voltooien
• Data exfiltratie, sabotage (wiperware), spionage, ransomware, cryptojacking, …

Actoren

Cybercriminelen:

• Om financieel gewin State Actors:
• Spionage
• sabotage
• manipulatie Hacktivists:
• Ideologisch / politiek statement
• Stiekem vaak state actors Insider threats:
• Wraak, financieel gewin Script kiddies:
• Vandalisme
• “voor lolz”
• voor status
• “targets of oppertunity”
• vaak minder gestructureerd
• kan net zo desastreus zijn

OSINT

Informatie die legaal openbaar beschikbaar is, kan geanalyseerd worden voor inzichten.

gebruikt door aanvallers en verdedigers.

Social engineering

Manipuleren van mensen om informatie te verkrijgen. Mensen willen vaak behulpzaam zijn. Ook zijn call center medewerkers vaak niet gemotiveerd en dus een goede aanvals vector Als je een medewerker benadert en er druk achter zet dan is het makkelijk om informatie te ontfutselen.

Related films:

• Mr Robot (2015)
• Hackers (1995)

Lange adam - SSH backdoor

CVE-2024-3094

Waarbij een contributer trust bouwde en opeens malicious code toeveogde.

Dumpster diving

Tegenwoordig zou alles geschread moeten worden. Maar je kan nogsteeds met analystische tools informatie achter halen van een computer okal is er overheen geschreven.

Je kan zelfs een geschredde harde schijf restaureren.

Als je goed je informatie wilt verwijderen is dat nog best n klusje.

Je moet ook geen toets informatie in de prullenbak gooien, maar mensen gooien niet altijd protocol.

Veilige software

Denk goed na bij een software, heb je het echt nodig? Is het een betrouwbare bron? Controleer de integriteit via hashes.

certutil -hashfile <file-name> SHA256 Sha256sum <file-name>

GPG / PGP encryption

Nu gaan we GPG installeren, gelukkig heb ik hier al een tutorial voor : installing-kleopatra gpg.

Secure hash

Er werd hier uitgelegd hoe cyptography werkt en hoe pub+priv key auth werkt. maar lastig te noteren op de manier van de uitleg.

Public key and private key authentication.

Waarvoor gebruik je het:

• hiding paswords from attackers
• Comparing files and objects
• Checking integrity
• signing a fixed hash to a long document
• licensing files
• distributing of files
• blockchain integrity

---

References

• dit is de slides op Brightspace.
• interessant boek genaamd countdown to ZERO DAY
• podcast
• CVE-2024-3094
• de leraar zijn public key: link