Cybersecurity Concepts and Tools

o Hvad kan få tildelt en SID? Forest, Domain, Computer, Group, User/Account, Logon Session  Windows Access Control: o Subject: Brugerens adgangstoken (User SID, Group SIDs, List of Privileges). o Object: Objektets sikkerhedsbeskrivelse (Object Owner SID, DACL, SACL, Other Access Information). o DACL (Discretionary Access Control List): Access control. o SACL (System Access Control List): Auditing.  Sysinternals: AccessChk o Rapporterer effektive tilladelser for sikkerhedsgodkendte objekter. o Eksempel: accesschk64.exe -p -l  Linux Brugerrettigheder: o Users, Groups, Others (UGO). o Read, write, execute (rwx). r=4, w=2, x=1. o chmod 666 foo.txt giver alle (user, group, others) læse- og skrivetilladelser til foo.txt.  Group Policy Objects (GPOs): o Centraliseret styring af sikkerhedspolitikker i et Active Directory-miljø. o Anvendes på Devices og End-Users. o Kan bruges til at konfigurere auditering, password politikker, Windows Defender Antivirus indstillinger, etc.  Kerberos: o Grundsten for autentifikation i Active Directory. o Relateret til Golden Ticket angreb og mimikatz credential stealing. o Involverer Authentication Server (AS), Ticket-granting Server (TGS), og Service Server (SS). Logging og Security Information & Event Management (SIEM)  Logfiler: o Formål: Registrere hændelser, fejl, sikkerhedsrelaterede aktiviteter. o Fremstilles: Af operativsystemer, applikationer, netværksenheder. o Udfordringer: Opbevaring (log rotation, Index Lifecycle Management (ILM) - Hot, Warm, Cold), behandling (logformater).  Log Formater: o Syslog: 1 2003-10-11T22:14:15.003Z mymachine.example.com su ID47 BOM'su root' failed for lonvick on /dev/pts/8 o JSON: '{"name":"John", "age":30,"car":null}' o XML: ToveJaniReminderDon't forget me this weekend!  Log Fil Placeringer: o Linux: /var/log o Windows: System32\winevt  Windows Event Viewer: o Værktøj til visning og filtrering af Windows event logs.  System Information and Event Management (SIEM): o Centraliseret loganalyse og sikkerhedsovervågning. o Eksempler: Splunk, Elastic-Logstash-Kibana (ELK).  ELK Arkitektur: o Beats (Auditbeat, Metricbeat, Filebeat, Packetbeat, Heartbeat, Winlogbeat) → Logstash (parsing og filtering med Grok) → Elasticsearch (lagring) → Kibana (visualisering).  Winlogbeat: o Beats agent til at sende Windows event logs til Logstash eller Elasticsearch.  Sysmon: o Avanceret Windows systemovervågningsværktøj. o Konfigureres med en konfigurationsfil. o Logger systemaktivitet i detaljer til Windows event log. o Sysmon Event Codes er forbundet med Process Creation, Network Connection osv. Basal Sikkerhed i Windows  Secure Boot og Trusted Boot: Sikrer opstartsprocessen ved at validere software før den indlæses.  Microsoft Defender Antivirus: Indbygget antivirusprogram.  Controlled Folder Access: Begrænser adgang til følsomme mapper for at beskytte mod ransomware.  Windows Firewall: Netværksfirewall til at kontrollere indgående og udgående trafik.  Krypteret Harddisk (BitLocker): Fuld disk kryptering for at beskytte data på harddisken.  Attack Surface Reduction (ASR): Reducerer angrebsfladen ved at blokere mistænkelig adfærd.  Sysmon config file: Avanceret overvågningsværktøj. Logger systemaktivitet i detaljer.  Mitre ATT\&CK (T1543.003): Identificerer teknikker brugt af angribere mod Windows Services. Linux og Server Hardening  Red Hat Enterprise Linux (RHEL) er et kommercielt produkt, men har mange ligheder med andre Linux smagsvarianter.  Anbefalede Interactive Labs: o Helpful Linux commands (Admin 101) o Use file permissions (Admin 101) o Networking basics (Admin 101) o Unusual Unixisms (Admin 101) o Use OpenSCAP for security compliance and vulnerability scanning o Configure the system-wide cryptographic policy o Remediate and report vulnerabilities (CVE) with Red Hat Insights Database Security  Database Security: Processer, værktøjer og kontroller, der beskytter databaser mod utilsigtede og forsætlige trusler.  Microsofts syn på databasesikkerhed: o Customer Data, Information Protection, Threat Protection, Access Management, Network Security  Data in Transit: Data, der sendes over et netværk.  Data at Rest: Data, der er lagret på en enhed.  Row Level Security: Begrænser adgangen til rækker i en database baseret på brugerens rolle eller andre kriterier.  Customer Churn: Tab af kunder.  Database Security Best Practices: o Database hardening o Always encrypted data o Separate authentication o Advanced threat protection o Principle of least privilege  Center for Internet Security (CIS) Benchmarks: o Preskriptive konfigurationsanbefalinger for forskellige vendor produkter.  SQL Injection: o En angrebsteknik, der udnytter sårbarheder i applikationer, der bruger SQL-databaser. o Angriberen indsprøjter ondsindede SQL-statements i en forespørgsel, hvilket giver dem mulighed for at omgå sikkerhedsforanstaltninger og få uautoriseret adgang til, ændre eller slette data i databasen.  OWASP Juice Shop: o En sårbar webapplikation, der bruges til at lære om sikkerhedssårbarheder. Microsoft Sysinternals  Process: o Et program, der kører på et operativsystem. o Hver proces har en PID (Process Identifier).  Microsoft Sysinternals: o Samling af system utilities til at administrere, fejlfinde og diagnosticere Windows og Linux systemer og applikationer.  Procmon (Process Monitor): o Overvåger filsystem-, registreringsdatabase- og procesaktivitet i realtid. o Kan filtrere events baseret på PID, process name, operation, path, result osv. o Kan vise process tree for at se parent/child relationships.  TCPView: o Viser detaljerede lister over alle TCP- og UDP-endepunkter på systemet, inklusive lokal og fjernadresse, og TCP-forbindelsens tilstand.  Strings: o Udtrækker indlejrede ASCII- og Unicode-strenge fra binære filer.  Sysmon: o Windows system service og device driver, der overvåger og logger systemaktivitet til Windows event log. o Kan konfigureres med en konfigurationsfil. o Sysmon Event Codes er forbundet med Process Creation, Network Connection osv. Scripting  Alternate Data Streams (ADS): o Tilføjelsesfiler i NTFS filsystemet. o Kan bruges til at gemme yderligere data i en fil. o Delvis usynlig. o Eksempel: keep-calm-and-run-procmon.png:ads1.txt o Kan bruges til at skjule.exe filer. o wmic.exe process call create ":"  Zone.Identifier stream: o ADS der bruges til at angive, at en fil er downloadet fra internettet. o Kan fjernes med Unblock-File cmdlet i PowerShell.  PowerShell: o Kan bruges til at søge igennem Event Logs.  Get-WinEvent -FilterHashtable @{LogName = 'Security'; ID=1102 } | Format-List -Property TimeCreated, Message  ConsoleHost_history.txt: o Gemmer PowerShell kommandoer i %userprofile%\AppData\Roaming\ Microsoft\Windows\PowerShell\PSReadLine\  Windows Defender Antivirus Undtagelser: o Add-MpPreference -ExclusionPath 'C:\' o Set-MpPreference -DisableRealtimeMonitoring $true Certifikater, mm.  Public/Private Keys: Asymmetrisk kryptering bruger et par nøgler: en offentlig nøgle (til kryptering) og en privat nøgle (til dekryptering).  Digital Signatures: Bruges til at verificere ægtheden af en besked eller fil.  Digital Signature: Code Signing: Bruges til at signere software for at sikre, at den ikke er blevet ændret.  Chain of Trust: En hierarkisk struktur, der bruges til at validere certifikater. o End-Entity Certificate → Intermediate Certificate → Root Certificate  Trust Anchor: En autoritativ enhed, som tillid antages og ikke er afledt. I X.509 arkitekturen er en rodcertifikat trust anchor.  Let's Encrypt: En gratis, automatiseret og åben certifikatmyndighed (CA).  X.509 v3 Digital Signature: o Indeholder et hash af emnets og udstederens navne, en offentlig nøgle, en gyldighedsperiode, et versionsnummer og et serienummer.  Transport Layer Security (TLS): o En protokol, der bruges til at sikre kommunikation over et netværk. o Efterfølgeren til Secure Socket Layer (SSL).  TLS: Diffie-Hellman key exchange: En metode til at udveksle kryptografiske nøgler over en usikker kanal.  Passwordless ssh: Bruger public key kryptering til at autentificere en bruger uden at kræve en adgangskode. o Server:  Installer og start ssh service.  Opret.ssh folder i home directory.  Tilføj public key til.ssh/authorized_keys filen.  Sæt tilladelser på.ssh folderen: chmod -R go= ~/.ssh o Client:  Opret key pair med PuTTYGen.  Gem private key lokalt.  Konfigurer PuTTY til at bruge private key Digitale Forensikværktøjer  FTK Imager: Opretter disk- og RAM-images (bit-for-bit kopier).   Autopsy: Avanceret analyse af diskimages (slettede filer, metadata, browserhistorik).   Volatility 3: Analyser RAM-dumps for malware og mistænkelige processer.

Cybersecurity Concepts and Tools

Document Details

Tags

Related

Summary

Full Transcript