PRZEGLĄD ZAAWANSOWANYCH CYBERZAGROŻEŃ Chiny Titan Rain Kampanie szpiegowskie Hidden Lynx Raport firmy Madiant na temat grupy APT1 Zawieszenie broni pomiędzy USA a ChRL w 2015 r. Rosja Moonlight Maze Konflikt z Estonią Konflikt z Gruzją Buckshot Yankee Red October Iran Wczesne lata Atak na usługę Gmail w 2011 r. Shamoon Stany Zjednoczone Crypto AG Stuxnet Grupa Equation Regin Korea Północna Jednostka 121 Cyberataki 2. ATAKI FINANSOWE PROWADZONE PRZEZ HAKERÓW RZĄDOWYCH Rozproszone ataki DoS w sektorze finansowym Atak z użyciem narzędzia Dozer Atak Ten Days of Rain Korpus Strażników Rewolucji Islamskiej obiera za cel amerykańskie banki (2011 - 2013) DarkSeoul Rosyjskie ataki przeciwko Ukrainie Miliardowe kradzieże Ataki na system SWIFT Model kradzieży finansowych stosowany przez Koreę Północną Reakcja Banku Bangladeszu FASTCash - globalna kradzież bankomatowa Odinaff - cyberprzestępcy uczą się od hakerów rządowych 3. SZYFROWANIE DLA OKUPU Atak GoGalocker Atak SamSam Atak Ryuk Atak MegaCortex Grupa EvilCorp Wirus szyfrujący BitPaymer Akt oskarżenia Ataki WastedLocker Odnajdywanie powiązań między atakami Ataki szyfrujące jako usługa Atak grupy DarkSide na rurociąg 4. HAKOWANIE WYBORÓW Wybory prezydenckie na Ukrainie w 2014 r. Model ataku zastosowany wobec ukraińskich wyborów prezydenckich Fałszywe tożsamości internetowe Kampanie propagandowe Ataki DDoS i kradzież danych Fałszowanie wykradzionych informacji politycznych i ich publikacje Szkodliwe oprogramowanie i fałszywe wyniki wyborów Wybory prezydenckie w USA w 2016 r. Wybory prezydenckie we Francji w 2017 r. WYKRYWANIE I ANALIZA ZAAWANSOWANYCH CYBERZAGROŻEŃ 5. PRZYPISYWANIE ATAKÓW PRZECIWNIKOM Haktywiści Cyberprzestępcy Szpiegostwo cyfrowe Nieznani Atrybucja Pewność przypisania sprawstwa Proces przypisywania sprawstwa Identyfikacja metod, technik i procedur Prowadzenie analizy stref czasowych Błędy atrybucji Nie określaj agresora na podstawie danych z dynamicznego systemu nazw domenowych Nie traktuj domen uruchomionych pod tym samym adresem IP jako należących do tego samego agresora Nie używaj do atrybucji domen zarejestrowanych przez brokerów Nie próbuj określić sprawcy ataku na podstawie publicznie dostępnych narzędzi hakerskich Tworzenie profili zagrożeń 6. SPOSOBY ROZPOWSZECHNIANIA SZKODLIWEGO OPROGRAMOWANIA I JEGO METODY KOMUNIKACJI Wykrywanie personalizowanych wiadomości phishingowych Informacja o użytym programie pocztowym Identyfikator wiadomości Analiza szkodliwych lub przejętych przez hakerów stron internetowych Wykrywanie skrytej komunikacji Nadużycie mechanizmu Alternate Data Stream podczas ataku Shamoon Nadużycie protokołów komunikacyjnych przez wirusa Bachosens Analiza wielokrotnego wykorzystania szkodliwego kodu Atak WannaCry Platforma dystrybucji eksploitów Elderwood POSZUKIWANIE INFORMACJI O ZAGROŻENIACH W OGÓLNODOSTĘPNYCH ŹRÓDŁACH Używanie narzędzi OSINT Stosowanie zasad bezpieczeństwa operacyjnego Wątpliwości natury prawnej

Narzędzia do enumeracji elementów infrastruktury Farsight DNSDB PassiveTotal DomainTools Whoisology DNSmap Narzędzia do analizy szkodliwego oprogramowania VirusTotal Hybrid Analysis Joe Sandbox Hatching Triage Cuckoo Sandbox Wyszukiwarki Poszukiwanie próbek kodu za pomocą wyszukiwarki NerdyData Narzędzie TweetDeck Przeglądanie zasobów ciemnej strony internetu Oprogramowanie VPN Narzędzia wspomagające organizowanie informacji zebranych podczas śledztwa ThreatNote MISP Analyst1 DEVONthink Analizowanie komunikacji sieciowej za pomocą narzędzia Wireshark Korzystanie z platform rozpoznawczych Recon-ng TheHarvester SpiderFoot Maltego 8. ANALIZA RZECZYWISTEGO ZAGROŻENIA Analiza wiadomości e-mail Analiza nagłówka Analiza treści wiadomości Analiza publicznie dostępnych źródeł informacji (OSINT) Analiza dokumentu pułapki Identyfikacja infrastruktury sterowania i kontroli Identyfikacja zmodyfikowanych plików Analiza pobranych plików Analiza pliku dw20.t Analiza pliku netidt.dll Korzystanie ze wskazówek silników detekcji Analiza infrastruktury Odszukanie dodatkowych domen Rekordy pasywnego DNS Wizualizacja powiązań między wskaźnikami włamania Tworzenie profilu zagrożenia