t45a – Attaaack! Esittele valittu ATT&CK tekniikka. Selitä mihin taktiikkaan se liittyy. Anna esimerkki proseduurista, jossa sitä on käytetty. Esittele tekniikka siten, että sitä pystyy soveltamaan käytännössä. Demosta plussaa, jos aikaa jää yli. Tero valitsee taktiikan, jonka sisältä voit itse valita tekniikan.
Tactic: Persistence
Pysyvän jalansijan saaminen kohdejärjestelmässä.
Hyökkääjä haluaa mahdollistaa pääsyn järjestelmiin mahdollisten poikkeustilanteiden, kuten kohdekoneen uudelleenkäynnistysten jälkeen tai tunnistetietojen muuttumisen jälkeen. Jalansija mahdollistetaan esimerkiksi lisäämällä omaa koodia tai ajettavia ohjelmia, muokkaamalla lähdekoodia tai muuttamalla käynnistysasetuksia.
Technique: scheduled task/job
Cron. cronilla voidaan aikatauluttaa järjestelmässä ajettavia komentoja, skriptejä tai ohjelmia. Hyökkääjä voi piilottaa cronin suorittamia ohjelmia kohdekoneen eri hakemistoihin ja aikatauluttaa näiden ohjelmien suorittamisen. Hyökkääjän asettamat ohjelmat mahdollistavat pääsyn kohdekoneeseen vielä ensimmäisen murtautumisen jälkeen.
Procedure example: Kinsing
Golangilla kirjoitettu haittaohjelma, joka lisää kohdekoneen botnetiin louhimaan kryptovaluuttoja. Kinsing yrittää levittäytyä muihin saman verkon järjestelmiin.
Hyökkäyksen huomaaminen
- Auditointi
- Havaitse muutokset
- lokien tarkastelu
/var/log.
- lokien tarkastelu
- Validoi ajettava
crontiedosto/etc/rsyslog.conftai/etc/syslog.conf
- Havaitse muutokset
- Käyttäjähallinta
- Kenellä oikeus määritellä cron-suorituksia?
- käyttäjät, joilla
cron-oikeudet:/etc/cron.allow - käyttäjät, joilla ei
cron-oikeuksia:/etc/cron.deny croniin vainsu-oikeudet, jos em. tiedostoja ei ole
- käyttäjät, joilla
- Kenellä oikeus määritellä cron-suorituksia?