Threat hunting nie jest prostym zadaniem. Mnogość sposobów w jaki napastnicy mogą realizować kolejne etapy ataku sprawia, że scenariusze detekcji wydają się nieskończone. Dlatego tak ważne jest właściwe określenie priorytetów i skupienie się na etapach włamania podczas których atakujący mają mniejsze możliwości manewru. I właśnie idealną fazą ataku dla tego […]
Kiedy myślimy o operacjach cyber prowadzonych na zlecenie lub pod kierownictwem rządu myślimy zazwyczaj o agencjach wywiadowczych i jednostkach wojskowych. NSA, GRU, MSS czy PLA to przykłady tego rodzaju profesjonalnych organizacji rządowych zatrudniających funkcjonariuszy w celu realizowania polityki państwa środkami cyber. Jest jednak państwo równie aktywne w tej przestrzeni, które […]
Ostatnia historia włamania do Ubera czy ponownie pojawiające się raporty o aktywności Emoteta mogą skłaniać do pytań o zasadność poszczególnych funkcji w całokształcie organizacji bezpieczeństwa organizacji. Po co bowiem zaawansowane zespoły zajmujące się analizą powłamaniową dla celów produkcji threat intelligence czy threat huntingiem, skoro problem leży w podstawach? To bardzo […]
Okres wakacyjny sprzyja nadrabianiu zaległości książkowych, na counterintelligence.pl przyjrzyjmy się więc tematowi nazwijmy to książkowo-historycznemu. Nie będzie żadną tajemnicą, że CTI jest dość raczkującą dziedziną. Nawet jeżeli spojrzymy na dystans jaki dzieli ochronę informacji jako taką od ochrony informacji w kontekście sieci komputerowych, to threat intelligence będzie jeszcze młodszą dyscypliną. […]
W poprzednim poście zajmowaliśmy się aktywnością wywiadowczą Armii Ludowo Wyzwoleńczej i tym jak reformy sił zbrojnych zmierzają do usprawnienia ich funkcjonowania na tym polu. Tym razem skupimy się na agencji zajmującej się zadaniami typowo wywiadowczymi – Ministerstwie Bezpieczeństwa Państwowego (国家安全部, MSS). Zaczynając od krótkiego rysu historycznego, współczesna organizacja MSS jest […]
Jednym z największych wyzwań threat intelligence jest ustalenie intencji atakujących. Nie zawsze jest to nawet możliwe, jeżeli jednak musimy się zmierzyć z takim wyzwaniem, to pomocne jest zrozumienie kontekstu działania atakujących i organizacji w jakiej operują. W kolejnych postach zajmiemy się więc jednym z głównych graczy na scenie cyber – […]
W poprzednim poście zajmowaliśmy się tym jak grupy terrorystyczne wykorzystują media społecznościowe do wspierania swojej aktywności, a tym razem przyjrzymy się temu jak służby wywiadowcze i wojskowe mogą wykorzystać Internet aby prowadzić działania antyterrorystyczne. Tak jak zaznaczałem poprzednio, terroryzm jest ścigany i zwalczany z całą mocą aparatu państwowego, włączając w […]
W poprzednim poście przyglądaliśmy tworzeniu i funkcjonalności reguł YARA, które są nieocenioną pomocą dla analityków w wykrywaniu i klasyfikacji plików. Niektórzy mogliby jednak powiedzieć, że dzisiaj to za mało. W końcu coraz popularniejsze są ataki typu living off the land, gdzie atakujący nie korzystają z dodatkowego oprogramowania, a wystarczają im […]
We wpisie dotyczącym wyszukiwania informacji o próbkach malwareu w otwartych źródłach wspomniałem krótko o wykorzystaniu reguł YARA i opisałem podstawy korzystania z nich w kontekście HybridAnalysis. Narzędzie to jest jednak o tyle istotne i uniwersalne w pracy analityka CTI, incident respondera czy threat huntera, że zdecydowanie warto poświęcić mu osobny […]
Obserwując praktykę administracji USA w zakresie narzędzi politycznych stosowanych wobec podmiotów odpowiedzialnych za cyber operacje przeciwko Stanom akty oskarżenia są jednym z najbardziej widocznych elementów. W ostatnich latach widzieliśmy choćby akty oskarżenia wobec funkcjonariusz GRU, wywiadu Chin czy ostatnio funkcjonariuszy FSB. Z pozoru może się wydawać, że działania takie nie […]
Polish 
English