Säkerhetspodcasten #258 - Opsec Fails

Lyssna

• mp3, längd: 33:21

Innehåll

I dagens avsnitt diskuterar vi det här med opsec, vad är det, och hur går det snett för angripare?

Fails

• Tomer Bar: OopsSec - The bad, the worst and the ugly of APT’s operations security (SecurityFest2023)
• Dark Reading: Global Law Enforcement Disrupts LockBit Ransomware Gang - “The vulnerability used to compromise LockBit is tracked as CVE-2023-3824, a flaw present in PHP version 8.0 before 8.0.30, 8.1. before 8.1.22, and 8.2. before 8.2.8, according to Vx Underground”
• arstechnica: How digital detectives deciphered Stuxnet, the most menacing malware in history
  • bugg orsakade boot loop
  • spred sig utanför målområdet
• lulzsec dox
  • theguardian: lulzsec hacking fbi: jail
  • arstechnica: Doxed - how Sabu was outed by former Anons long before his arrest
  • knowyourmeme: topiary
  • Sabu läckte sin IP av misstag i en anon-chat
  • Sabu var redan känd av FBI innan lulsec pga handlat kreditkortuppgifter
  • Sabu’s fullständiga namn fanns i whois records för en av hans sajter
  • Topiary återanvände ett nick han använt i XBox gaming sammanhang, folk visste vem han var

Verktyg

• github.com/lyft/cartography - “Cartography … consolidates infrastructure assets and the relationships between them in an intuitive graph”
• github.com/alcideio/rbac-tool - “Kubernetes RBAC visualizer that generate a graph as dot file format or in HTML format”
• sqlmap - sql injection verktyg.

Koncept och termer

Så många stora ord vi slänger oss med i avsnittet!

• tactics, techniques, and procedures (TTP)
• ATT&CK Framework - “adversary tactics and techniques based on real-world observations”
  • TA0010 Exfiltration - trycka data ut ur målet. Helt tyst om du inte byggt kapabiliteten att stoppa/detektera egress eller andra typer av effektiv exfil.
  • TA0040 Impact - orsaka effekter i målet. Per defintion skrikit, man märker när ens server är död, ens dator krypterad eller ens AWS räkning drar en i konkurs.
• Egress filtering
• Operations security (OPSEC)
• Indicators of compromise (IOCs)
• IOA (Indicators of Attack) vs. IOC (Indicators of Compromise) - Infosectrain
  • IOAs fokus på Tactics, Techniques, and Procedures (TTPs) spår/tecken under en pågående attack. Fokus är detektion och respons.
  • IOC (Indicators of Compromise) är artifakter och bevis som indikerat att en lyckad attack har inträffat. Fokus är forensik och post-mortem analys.
• Operational - det som behöver opsec!
  • Explained: Tactics - Operations - Strategy (Military History not Visualized)
  • Tactics vs. Strategy: Levels of War Explained - Military History Handbook (DigitalBattlefieldTours)
• Hotkunskap och hotjagande =)
  • Threat intelligence
  • Microsoft: What is cyber threat hunting?

Folk

• Ryan McBeth
  • Army Stories - How I lost my arm (Never give up the will to live)