Security Toolbox Forensics & Analysis Resources 10 - itnett/FTD02H-N GitHub Wiki

For å koble sammenfasene i Intrusion Kill Chain med relevante verktøy, dokumentasjon og opplæringsressurser, kan vi dele opp kjeden i de følgende fasene og knytte dem til spesifikke ressurser for å hjelpe til på hvert nivå. Dette vil gi en klar oversikt over hvordan sikkerhetsverktøy og opplæring kan brukes til å forsvare seg på hvert trinn.

1. Reconnaissance (Rekognosering)

• Beskrivelse: Identifisering og kartlegging av mål, inkludert innhenting av informasjon om systemer og sårbarheter.
• Verktøy/Plattformer:
  • Shodan – For å finne sårbare enheter og tjenester.
  • The Harvester – Samler e-poster, domener og metadata fra offentlige kilder.
  • SpiderFoot – Automatisert OSINT-verktøy for å samle inn data fra åpne kilder.
  • Maltego – Brukes til å visualisere forhold mellom mål (IP-er, domener, personer).
• Opplæringsressurser:
  • SANS Institute OSINT-kurs – Dekker rekognosering med OSINT-teknikker.
• Dokumentasjon:
  • MITRE ATT&CK – Rekognosering – Dokumentasjon om rekognoseringsmetoder brukt av angripere.

---

2. Weaponization (Våpenbygging)

• Beskrivelse: Opprettelse av ondsinnede nyttelaster, som utnyttelsesverktøy eller infiserte dokumenter.
• Verktøy/Plattformer:
  • Metasploit Framework – Plattform for å utvikle og teste utnyttelser.
  • Veil Evasion – Brukes til å omgå antivirusdeteksjon.
  • Cuckoo Sandbox – Analyse av potensielt skadelige filer for å se oppførselen deres.
• Opplæringsressurser:
  • TryHackMe – Malware Development – Simuleringskurs om hvordan malware bygges og hvordan det fungerer.
• Dokumentasjon:
  • MITRE ATT&CK – Weaponization – Beskriver teknikker for opprettelse av våpeniserte nyttelaster.

---

3. Delivery (Levering)

• Beskrivelse: Levering av våpen til målet gjennom ulike kanaler som e-post, nettsider eller USB-enheter.
• Verktøy/Plattformer:
  • PhishTool – For analyse av phishing-e-poster og lenker.
  • urlscan.io – Skanning av mistenkelige URL-er for skadelig innhold.
  • MXToolbox – For analyse av e-posthoder og leveringsproblemer.
• Opplæringsressurser:
  • Blue Team Labs Online – Phishing Detection – Kurs i hvordan gjenkjenne og respondere på phishing-angrep.
• Dokumentasjon:
  • MITRE ATT&CK – Delivery – Dokumentasjon om teknikker brukt for å levere ondsinnet innhold.

---

4. Exploitation (Utnyttelse)

• Beskrivelse: Når nyttelasten er levert, utnyttes sårbarheter for å få tilgang til mål.
• Verktøy/Plattformer:
  • Burp Suite – Testing og utnyttelse av webapplikasjonssårbarheter.
  • Metasploit – Automatiserte utnyttelser av kjente sårbarheter.
  • OpenVAS – Sårbarhetsskanning for å identifisere og utnytte svakheter.
• Opplæringsressurser:
  • Hack The Box – Exploitation Labs – Simulering av utnyttelser og sårbarhetstesting.
• Dokumentasjon:
  • MITRE ATT&CK – Exploitation – Detaljer om utnyttelsesteknikker brukt av angripere.

---

5. Installation (Installasjon)

• Beskrivelse: Installasjon av backdoors eller vedvarende tilgang på målsystemet.
• Verktøy/Plattformer:
  • Cortex – For å spore hendelser og installasjoner av mistenkelige applikasjoner.
  • Velociraptor – For å analysere og overvåke systemendringer etter installasjon.
  • Sysmon – Overvåking av prosessopprettelser og nettverkstilkoblinger på systemer.
• Opplæringsressurser:
  • SANS Institute – Incident Handling.
• Dokumentasjon:
  • MITRE ATT&CK – Installation – Dokumentasjon om installasjon av vedvarende tilgang.

---

6. Command and Control (Kommando og Kontroll)

• Beskrivelse: Kommunikasjon mellom angriperen og infiserte systemer for fjernkontroll og videre angrep.
• Verktøy/Plattformer:
  • Wireshark – Overvåking av nettverkstrafikk for å identifisere C2-kommunikasjon.
  • Shodan – Oppdage ondsinnede kontrollservere som er eksponert på nettet.
  • Graylog – Analyse av logger for å spore C2-aktivitet.
• Opplæringsressurser:
  • Blue Team Labs – C2 Monitoring – Praktisk trening i overvåking og blokkering av C2-aktiviteter.
• Dokumentasjon:
  • MITRE ATT&CK – C2 – Beskriver teknikker for C2-kommunikasjon brukt av angripere.

---

7. Actions on Objective (Måloppnåelse)

• Beskrivelse: Angriperen fullfører sine mål, som kan inkludere eksfiltrering av data eller skade på systemer.
• Verktøy/Plattformer:
  • Volatility – For analyse av minnedumper etter inntrenging for å se etter eksfiltrering.
  • Autopsy – Digital forensics for å finne ut hvilke data som ble manipulert eller stjålet.
  • Splunk – Analyse av loggfiler for å finne bevis på dataeksfiltrering eller skade.
• Opplæringsressurser:
  • SANS Institute – Digital Forensics – Spesialisert kurs i å analysere hendelser etter angrep.
• Dokumentasjon:
  • MITRE ATT&CK – Actions on Objective – Dokumentasjon om målorienterte teknikker brukt av angripere.

---

Samlet Oppsummering:

Denne tabellen gir en omfattende oversikt over tilgjengelige verktøy, opplæringsressurser og dokumentasjon for hvert steg i Intrusion Kill Chain. Den viser hvordan verktøy som Shodan, Metasploit, Wireshark og Splunk kan brukes i ulike stadier for å beskytte systemer eller håndtere angrep.

De to bildene viser Tool Analysis Pyramid, som refererer til metoder og nivåer av teknikker brukt i digital etterforskning, spesielt innen datautvinning fra enheter som mobiltelefoner. Pyramidene viser de forskjellige lagene av analyse, der hvert nivå representerer en økende grad av teknisk kompleksitet, ressursbehov og analyseverdi.

Forklaring av Pyramidens Nivåer:

1. Manual Extraction (Manuell Undersøkelse)

   • Beskrivelse: Dette er det mest grunnleggende nivået, hvor undersøkeren manuelt gjennomgår enhetens innhold uten spesialverktøy.
   • Verktøy: Kan innebære bruk av enhetens grensesnitt for å undersøke filer, meldinger, anropslogger etc.
   • Relaterte Verktøy: Ingen spesifikke verktøy nødvendig – vanligvis inspeksjon via grensesnitt eller skjermbilder.

2. Logical Extraction (Logisk Ekstraksjon)

   • Beskrivelse: På dette nivået brukes spesialiserte verktøy for å trekke ut data som logisk er tilgjengelig fra enheten, som filer, meldinger og anropslogg.
   • Verktøy: Verktøy som analyserer filsystemet uten å hente ut lavnivå data.
   • Relaterte Verktøy: Cellebrite UFED, Magnet AXIOM, Oxygen Forensics.

3. File System Extraction (Filssystem Ekstraksjon)

   • Beskrivelse: Henter ut hele filsystemet fra enheten, inkludert skjulte filer og systemfiler som kan inneholde viktige bevis.
   • Verktøy: Filsystemanalyse med høyere tilgang til hele lagringsstrukturen på enheten.
   • Relaterte Verktøy: Autopsy, FTK Imager, X-Ways Forensics.

4. Physical Extraction (Intrusive & Non-Intrusive)

   • Beskrivelse: Tilgang til hele den fysiske lagringen på enheten, inkludert data som ikke er tilgjengelig gjennom logisk ekstraksjon. Dette kan være intrusiv eller ikke-intrusiv basert på metoden.
   • Verktøy: Gir en bit-for-bit kopi av lagringsmediet, som tillater mer avansert analyse, inkludert slettet data.
   • Relaterte Verktøy: Magnet AXIOM, Cellebrite Physical Analyzer.

5. Chip-Off

   • Beskrivelse: Dette er en svært intrusiv teknikk hvor selve minnebrikken (flashminne) fjernes fysisk fra enheten for å kunne trekke ut data.
   • Verktøy: Krever spesialutstyr for å lese direkte fra brikken, og er vanligvis siste utvei når andre metoder mislykkes.
   • Relaterte Verktøy: Spesialiserte chiplesere og loddeverktøy for fysisk fjerning av brikken.

6. Micro-Read

   • Beskrivelse: Den mest teknisk avanserte metoden, hvor minnecellene på brikken analyseres direkte under et mikroskop for å gjenoppbygge data. Denne metoden brukes når ingen andre teknikker kan hente ut data.
   • Verktøy: Bruk av mikroskop og svært tekniske verktøy for å lese individuelle bits på minnenivå.
   • Relaterte Verktøy: Svært avanserte laboratorieutstyr, ofte brukt i kombinasjon med lavnivå chiplesere.

Sammenheng med Sikkerhetsverktøy:

Disse nivåene av verktøy og teknikker speiler en stigende kompleksitet for å hente ut data og analysere enheter som kan ha vært utsatt for angrep eller kriminell aktivitet. Mens de nederste nivåene, som Manual Extraction og Logical Extraction, er relativt enkle, krever de øverste nivåene som Chip-Off og Micro-Read høy teknisk ekspertise og spesialisert utstyr.

Verktøyene som er nevnt i de forrige tabellene passer inn på forskjellige nivåer, avhengig av hvilken type data og enhet man prøver å analysere. Avansert forensicsverktøy som Magnet AXIOM, Cellebrite, og FTK Imager er relevant på flere nivåer i denne pyramiden, spesielt for logisk og fysisk ekstraksjon.