diff options
author | Julian T <julian@jtle.dk> | 2020-05-29 11:33:16 +0200 |
---|---|---|
committer | Julian T <julian@jtle.dk> | 2020-05-29 11:33:16 +0200 |
commit | 5f685d13741afa720f8866a3e412beab11c279e4 (patch) | |
tree | 3602d3fe5db64b0509ad356fa6ab255e2f0aeea6 /sem4/sec/t1/opg3.md | |
parent | 284afc630b3d0dd6c0079c6d3e83a73d6d1193e0 (diff) |
Added missing sec assignments
Diffstat (limited to 'sem4/sec/t1/opg3.md')
-rw-r--r-- | sem4/sec/t1/opg3.md | 82 |
1 files changed, 82 insertions, 0 deletions
diff --git a/sem4/sec/t1/opg3.md b/sem4/sec/t1/opg3.md new file mode 100644 index 0000000..ff2b343 --- /dev/null +++ b/sem4/sec/t1/opg3.md @@ -0,0 +1,82 @@ + +# Essay tema 1 + +Hmm ved ikke om det her bliver et essay. + +## Opgave + +> Vælg et angreb: Find en beskrivelse og gennemgang et cyberangreb, der har fundet sted, og lav en 2-siders essay dækkende: +> +> Hvad der skete +> Hvem der gjorde det (eller hvem man tror har gjort det) +> Hvilken type angreb der var tale om +> Hvilken sårbarhed der blev udnyttet og hvordan det var muligt at gennemføre angrebet +> Hvordan angrebet kunne have været forebygget +> Dine egne reflektioner og tanker om angrebet +> Andre observationer eller kommentarer du synes er relevante + +## Noter + +NotPetya i to dele EternalBlue og Mimikatz. +Mimikatz trækker passwords ud af memory på win. +EternalBlue bruger en patched blabla +Arbejdede sammen for at sprede sig + +NotPetya corrupted boot record + +Kun lavet til at smadre + +Blev smittet af et penge program som fit indsat virusen. + +Ikke opdateret windows, nogle windows 2000. Ikke ordenlig netværks segmentering. + +## Kilder + +https://www.wired.com/story/notpetya-cyberattack-ukraine-russia-code-crashed-the-world/ +https://www.varonis.com/blog/what-is-mimikatz/ + +## Tekst + +Jeg har valgt at skrive lidt om NotPetya angræbet som rystede verden i 2017. +Virusen startede originalt i Ukraine men spredte sig hurtigt til mange dele af verden +og nedlade store virksomheder som Maersk etc. + +Angrebet startede ved et Ukrainsk accounting program M.E.Doc som har mange brugere rundt i Ukraine. +Dette program henter periodiske opdateringer af en central server i Kiev, og ved +at indlejre NotPetya i en software opdatering blev den hurtigt spredt til mange computere i Ukraine. + +NotPetya ligner ransomware i at det kryptere data på alt enheden, men uden at give brugeren mulighed for at dekryptere det. +Udover dette ødelægger det boot sectoren på computerens harddisk hvilket stopper den i at starte. +Ud fra dette er det ret tydeligt at det ikke er blevet lavet for at ødelægge så meget infrastruktur som muligt. + +Virusen bruger to Windows specifikke exploits EternalBlue og Mimikatz. +EternalBlue bruges til at sprede sig til ikke opdaterede computere ved at udnytte +en fejl i Windows SMB protokollen. +Mimikatz bruges til at hente authentication data ud fra RAM på Windows computere, +som den så kan bruge til at logge ind på andre computere. + +Dette er en rigtig god kombination da den kan bruge begge exploits til meget hurtigt at sprede sig på et netværk. +Et godt eksempel på dette er da Maersk blev ramt af NotPetya, hvilket lagde virksomheden ned i flere dage. +NotPetya kom ind i Maersk ved at en Ukrainsk medarbejder fik installeret M.E.Doc og fik hentet virusen ned gennem en opdatering. +Derefter spredte virusen sig hurtigt gennem Maersk dårligt segmenterede netværk og lagde alle deres afdelinger ned. + +Spredningen var ekstra effektiv eftersom Maersk ikke var gode til at opdatere deres +computere og ikke gav deres IT afdeling nok budget. + +Maersk var ikke alene men de er et godt eksempel på hvad der er galt med mange firmaers +holdning til IT sikkerhed og hvad der kan forbedres. + +Udbredelsen af NotPetya kunne være mindsket ved at segmentere netværk så det ikke +kan sprede sig så langt som i Maersk tilfælde. +Og eftersom EternalBlue exploiten der blev brugt var blevet fixet før angrebet, +kunne en opdatering have sænket sprednings hastigheden. + +Men det er nemt at sige bagefter og prioriteten har tydeligvis lagt et andet sted. +Til gengæld har dette angreb fungeret som et wakeup call til at det nok er en god +ide at tage IT sikkerhed mere seriøst. + +Personligt tror jeg ikke at det er til at undgå at sådan noget sker. +Store firmaer såsom Maersk har rigtig mange computere fordelt over rigtig mange +afdelinger og det er super dyrt at vedligeholde sådan komplekse systemer. +Tror at det kunne være gået meget være da Maersk kunne hente en stor del af deres +systemer tilbage via backup. |