4. Skadlig kod
• Axplock av skadlig kod:
– Careto
• Krypterade filer med .GIF
– Flame
• AutoCAD via SSH (puttys bibliotek)
– FrameworkPOS
• DNS
– Duqu ”The mask”
• Krypterade filer med JPG-filändelse
5. Flyga under radarn
• Steganografi
• Nyttja kända domäner/tjänster
– Twitter, Dropbox
• Installerade programvaror
• Inga spår på hårddisk
• Under lång tid
• Flera destinationer
• Kryptering
• Modulärt
6. Flyga under radarn
• Situation awareness
– Airgap
• Unikt för målsystemet
– Sökväg till progamvara som invärde till
nyckelderiveringsfunktion såsom scrypt
– MAC
• Tor Hidden Services
– Meek transport (domain fronting)
–
7. Detektion
• Ändpunkter
• Stora mängder ut/flöden
– Argus
• Minnesforensik
• Loggning
– Immunity El Jefe
• IOC
• Honeytokens
• Spela in nätverkstrafik (FIFO)
Ej insider, kan vara dock. Stadsunderstödda attacker med någon form av kod inblandad. Kvalificerade angrepp eller APT med mycket resurser i form av tid, kompetens, finansiering. Automatiserat
OSINT= Open Source Intelligence. Insamling av information via öppna källor. Såsom whois, E-post, anställda och deras fritidsintressen och förehavanden på sociala medier
Intrång/leverans= Utskick av .doc, USB-minne via E-post eller bakdörrad hårdvara. Ändra hårdvara in-transit hos FedEx/UPS etc
C&C= Command and control, dvs kontrollkanal. Inte alltid nödvändig. Vet vi innan vad vi vill exfiltrera så kan vi hålla en lägre nivå
Kartläggning= Var finns det vi är ute efter? Måste fler system komprometteras
Exfiltration= Skicka ut dokument, källkod, privata nycklar eller annat som antagonisten är ute efter. Ändra/lägga till information
Upprensning= Rensa spåren. Skriv aldrig till disk och nyttja helst redan befintliga komponenter i systemen
Careto – Mot Spansktalande länder
Flame - Mellanöstern