t45a – Attaaack! Esittele valittu ATT&CK tekniikka. Selitä mihin taktiikkaan se liittyy. Anna esimerkki proseduurista, jossa sitä on käytetty. Esittele tekniikka siten, että sitä pystyy soveltamaan käytännössä. Demosta plussaa, jos aikaa jää yli. Tero valitsee taktiikan, jonka sisältä voit itse valita tekniikan.
Tactic: Persistence
Pysyvän jalansijan saaminen kohdejärjestelmässä.
Hyökkääjä haluaa mahdollistaa pääsyn järjestelmiin mahdollisten poikkeustilanteiden, kuten kohdekoneen uudelleenkäynnistysten jälkeen tai tunnistetietojen muuttumisen jälkeen. Jalansija mahdollistetaan esimerkiksi lisäämällä omaa koodia tai ajettavia ohjelmia, muokkaamalla lähdekoodia tai muuttamalla käynnistysasetuksia.
Technique: scheduled task/job
Cron
. cron
illa voidaan aikatauluttaa järjestelmässä ajettavia komentoja, skriptejä tai ohjelmia. Hyökkääjä voi piilottaa cron
in suorittamia ohjelmia kohdekoneen eri hakemistoihin ja aikatauluttaa näiden ohjelmien suorittamisen. Hyökkääjän asettamat ohjelmat mahdollistavat pääsyn kohdekoneeseen vielä ensimmäisen murtautumisen jälkeen.
Procedure example: Kinsing
Golangilla kirjoitettu haittaohjelma, joka lisää kohdekoneen botnetiin louhimaan kryptovaluuttoja. Kinsing yrittää levittäytyä muihin saman verkon järjestelmiin.
Hyökkäyksen huomaaminen
- Auditointi
- Havaitse muutokset
- lokien tarkastelu
/var/log
.
- lokien tarkastelu
- Validoi ajettava
cron
tiedosto/etc/rsyslog.conf
tai/etc/syslog.conf
- Havaitse muutokset
- Käyttäjähallinta
- Kenellä oikeus määritellä cron-suorituksia?
- käyttäjät, joilla
cron
-oikeudet:/etc/cron.allow
- käyttäjät, joilla ei
cron
-oikeuksia:/etc/cron.deny
cron
iin vainsu
-oikeudet, jos em. tiedostoja ei ole
- käyttäjät, joilla
- Kenellä oikeus määritellä cron-suorituksia?