Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Novija izmjena 		Starija izmjena
racfor_wiki:seminari2025:kj53930 [2025/12/23 12:55]
Korina Jurić stvoreno 		racfor_wiki:seminari2025:kj53930 [2026/02/01 18:33] (trenutno)
Korina Jurić [Forenzička analiza ciljanog kibernetičkog napada na Sony Pictures Entertainment]
Redak 1: Redak 1:
-**Forenzička analiza ciljanog kibernetičkog napada na Sony Pictures**+====== Forenzička analiza ciljanog kibernetičkog napada na Sony Pictures Entertainment ====== 
 + 
 +Napad na Sony Pictures Entertainment (SPE) u studenom 2014. godine predstavlja jedan od najrazornijih primjera kibernetičkog ratovanja usmjerenog protiv privatne korporacije. Ovaj incident nije bio samo povreda podataka nego i višeslojni napad koji je obuhvaćao krađu intelektualnog vlasništva, ucjenu, uništavanje infrastrukture pomoću zlonamjernog softvera te pokušaj utjecaja na geopolitičke odnose. 
 +Iz perspektive računalne forenzike, slučaj Sony pruža uvid u digitalne tragove koji se protežu svim ključnim disciplinama: od mrežne i memorijske forenzike do forenzike medija za pohranu i forenzike digitalnih dokumenata. 
 + 
 +===== Kontekst incidenta i povijest ranjivosti ===== 
 +Razumijevanje napada iz 2014. godine zahtijeva osvrt na širu sigurnosnu kulturu unutar Sony korporacije. Sony Pictures Entertainment, kao dio globalnog giganta s preko 130.000 zaposlenika, imao je povijest značajnih sigurnosnih propusta. Najznačajniji prethodni incident dogodio se u travnju 2011. godine kad je PlayStation Network (PSN) pretrpio upad koji je kompromitirao osobne podatke preko 77 milijuna korisnika. Taj je incident koštao tvrtku oko 171 milijun dolara i doveo do kritika stručne javnosti zbog nedostatka osnovnih zaštitnih mjera poput vatrozida na ključnim segmentima mreže. 
 +Unatoč obećanjima o jačanju sigurnosti, interna revizija u Sonyju iz 2014. otkrila je da se kritični sustavi i dalje neadekvatno nadziru. Otkriveno je da vatrozid i preko stotinu računala nadziru zaposlenici studija, a ne centralni korporativni sigurnosni tim, što je stvorilo fragmentiranu obranu. Ovakva kultura, u kojoj se sigurnost često smatrala troškom, a ne investicijom, kulminirala je izjavom izvršnog direktora za informacijsku sigurnost koji je 2007. izjavio da ne bi investirao 10 milijuna dolara kako bi izbjegao potencijalni gubitak od jednog milijuna. 
 +Politički motiv napada bio je izravno povezan s objavom filma "The Interview" u čijoj radnji CIA zapošljava dva novinara kako bi izvršili atentat na sjevernokorejskog vođu Kim Jong Una zbog čega je Sjeverna Koreja film proglasila činom rata i terorizma. Grupa Guardians of Peace (#GOP) iskoristila je ovaj motiv za destruktivnu fazu napada, iako su se početne ucjenjivačke e-poruke fokusirale na financijsku naknadu. 
 + 
 +{{ :racfor_wiki:seminari2025:theinterview.jpeg?200 | }} 
 + 
 +==== Kronologija napada ==== 
 + 
 +^ Faza napada ^ Vrijeme ^ Ključne aktivnosti ^ Forenzički artefakti ^ 
 +| Početna infiltracija | Rujan 2014. | Spear-phishing kampanja usmjerena na zaposlenike | Logovi e-pošte, zaglavlja poruka, poveznice na lažne stranice | 
 +| Lateralno kretanje | Listopad-Studeni 2014. | Eskalacija privilegija, mapiranje mreže, krađa vjerodajnica | Windows Event Logovi, LM/NTLM hash-evi u RAM-u, artefakti PsExec-a | 
 +| Eksfiltracija podataka | Studeni 2014. | Krađa preko 100 TB podataka (filmovi, e-pošta) | NetFlow zapisi, logovi mrežnih barijera, anomalije u prometu | 
 +| Destrukcija i objava | 24. studenog 2014. | Aktivacija "wiper" malwarea, prikaz slike na ekranima | Oštećen MBR, izbrisani logovi, Destover binarni uzorci | 
 +| Oporavak i istraga | Prosinac 2014.-2015. | Forenzička analiza, angažman Mandianta i FBI-a | Forenzičke slike diskova, dumpovi memorije, rekonstruirani dokumenti | 
 + 
 +===== Metodologija prikupljanja i rukovanja digitalnim tragovima ===== 
 + 
 +U forenzičkoj istrazi ovakvog opsega, od primarne je važnosti primjena rigoroznih postupaka prikupljanja tragova kako bi se osigurala pravna dopustivost dokaza. Digitalni tragovi su po svojoj prirodi krhki, stoga je svaki korak u rukovanju bio podložan strogim standardima. 
 + 
 +==== Identifikacija i osiguravanje mjesta događaja ==== 
 +Kada je 24.11.2014. postalo jasno da je mreža kompromitirana, prvi korak bio je prekidanje mrežnih veza i isključivanje VPN-a kako bi se spriječila daljnja eksfiltracija. Iz forenzičke perspektive, važno je napomenuti da isključivanje računala briše sadržaj radne memorije (RAM) što uništava dokaze o aktivnim procesima. Međutim, u slučaju destruktivnog "wiper" malwarea, isključivanje može biti jedini način da se spasi dio podataka s diska prije trajnog brisanja. 
 + 
 +==== Akvizicija podataka i lanac nadzora ==== 
 +Akvizicija podataka uključivala je izradu forenzičkih slika tisuća računala i poslužitelja. Korišteni su alati poput FTK Imager i dd za izradu identičnih kopija medija za pohranu. Tijekom cijelog procesa održavan je lanac nadzora (Chain of Custody), dokumentirajući svaki pristup dokazu. 
 +Svaka forenzička slika verificirana je hash vrijednošću (SHA-256). Usporedba hash vrijednosti prije i nakon analize ključna je za dokazivanje integriteta jer bilo kakva promjena u vrijednosti kompromitira dokaz pred sudom. 
 + 
 + 
 +^ Postupak ^ Opis radnje ^ Korišteni alati/tehnike ^ 
 +| Dokumentacija | Zapisivanje stanja sustava i vremena akvizicije | Digitalni fotoaparati, laboratorijski dnevnici | 
 +| Izolacija | Sprječavanje vanjskog utjecaja na dokaz | Mrežna izolacija, fizičko osiguravanje | 
 +| Snimanje (Imaging) | Izrada identične kopije digitalnog medija | Hardverski write-blockers, FTK Imager | 
 +| Verifikacija | Potvrda integriteta kopije | Hashing algoritmi (SHA-256) | 
 +| Arhiviranje | Sigurno pohranjivanje originalnih medija | Sefovi za dokaze, kontrolirani pristup | 
 + 
 +===== Mrežna forenzika: Analiza infiltracije i eksfiltracije ===== 
 +Mrežna forenzika fokusira se na nadzor i analizu prometa u svrhu detekcije upada i prikupljanja dokaza. U slučaju Sonyja, ovi su tragovi otkrili putanju napadača od vanjske infiltracije do lateralnog kretanja kroz intranet. 
 + 
 +==== Analiza spear-phishinga i inicijalnog pristupa ==== 
 +Istraga je utvrdila da je inicijalni vektor napada bio spear-phishing. Napadači su slali poruke koje su imitirale legitimne obavijesti, vodeći žrtve na web sjedišta za prikupljanje vjerodajnica. Analiza SMTP zaglavlja (headers) bila je ključna za utvrđivanje porijekla poruka i putanje kroz mail releje. 
 + 
 +==== Lateralno kretanje i mrežni artefakti ==== 
 +Nakon inicijalnog pristupa, napadači su koristili SMB (Server Message Block) worm tool za automatsko širenje mrežom koristeći ukradene vjerodajnice. Forenzička analiza mrežnog prometa otkrila bi anomalije u SMB komunikaciji između radnih stanica. 
 + 
 +Ključni artefakti uključivali su: 
 +  - **C2 komunikaciju**: Malware je komunicirao s Command and Control poslužiteljima putem portova 80, 443, 8000 i 8080. Analiza mrežnih paketa (PCAP) otkrila je periodične "beacone"
 +  - **Eksfiltraciju podataka**: Krađa 100 TB podataka odvijala se kroz duže razdoblje. Rekonstrukcija vremenskih okvira pomoću NetFlow podataka ukazala je na ozbiljne propuste u sustavima za detekciju upada (IDS) koji nisu prepoznali masovni odljev informacija. 
 + 
 +===== Memorijska forenzika: Detekcija residentnih prijetnji ===== 
 +Memorijska forenzika (analiza RAM-a) nužna je za otkrivanje naprednih prijetnji koje ne ostavljaju tragove na disku, poput injekcije koda u legitimne procese. 
 + 
 +==== Primjena Volatility Frameworka ==== 
 +Volatility Framework predstavlja standard u analizi memorijskih dumpova. Analizom RAM-a sa Sonyjevih poslužitelja identificirano je sljedeće: 
 +  - **Skriveni procesi**: Korištenjem plugina poput psxview, istražitelji su usporedili liste procesa iz različitih sistemskih struktura kako bi detektirali prisutnost rootkita. 
 +  - **Injekcija koda**: Destover wiper je koristio procese poput taskhost.exe za prikrivanje. Plugin malfind omogućio je pronalaženje memorijskih stranica s neovlaštenim dozvolama za izvršavanje. 
 +  - **Vjerodajnice u memoriji**: Ekstrakcija hasheva lozinki iz LSASS procesa potvrdila je metodu kojom su napadači preuzimali kontrolu nad administratorskim računima. 
 + 
 +^ Volatility Plugin ^ Primjena u analizi ^ Rezultat ^ 
 +| pstree | Prikaz hijerarhije procesa | Identifikacija neobičnih roditeljskih procesa | 
 +| netscan | Analiza mrežnih veza u RAM-u | Detekcija aktivnih veza prema C2 IP adresama | 
 +| cmdscan | Povijest naredbi u terminalu | Rekonstrukcija interaktivnih sesija napadača | 
 +| memdump | Izvlačenje memorijskog prostora | Binarna analiza malwarea izdvojenog iz RAM-a | 
 + 
 +===== Forenzika medija za pohranu: Analiza destruktivnog softvera ===== 
 +Destruktivna faza napada izvedena je pomoću malwarea Destover, čiji je cilj bio trajno onemogućiti rad sustava. 
 + 
 +==== Analiza Destover wipera ==== 
 +Forenzička analiza diskova zaraženih računala pokazala je specifične mehanizme uništenja: 
 +  - **MBR (Master Boot Record) korupcija**: Malware je prebrisivao prve sektore diska, uništavajući particijsku tablicu i onemogućujući podizanje sustava. 
 +  - **Raw Disk Access**: Korišteni su driveri koji su omogućili izravno pisanje po hardveru diska, zaobilazeći sigurnosne kontrole operacijskog sustava. 
 +  - **Brisanje podataka**: Nakon uništenja boot sektora, malware je sustavno brisao blokove podataka do potpunog kolapsa sustava. 
 + 
 +==== Tehnike oporavka: Data Carving ==== 
 +U slučajevima uništenja metapodataka datotečnog sustava (poput MFT-a u NTFS-u), primjenjuje se data carving. Ova metoda traži specifične "digitalne potpise" zaglavlja i podnožja datoteka u sirovim bajtovima diska. 
 +Na primjer, traženje niza FF D8 FF E0 omogućuje identifikaciju JPEG datoteka čak i kada operacijski sustav taj prostor vidi kao prazan (unallocated space). Ograničenja ove metode javljaju se kod fragmentiranih diskova i modernih SSD uređaja s aktivnom TRIM tehnologijom. 
 + 
 +===== Zaključak ===== 
 +Napad na Sony Pictures Entertainment trajan je podsjetnik na nužnost rigorozne forenzičke metodologije. Ovaj slučaj demonstrira kako se teorijski koncepti – poput lanca nadzora, hash verifikacije i memorijske analize primjenjuju u kritičnim situacijama stvarnog svijeta. 
 + 
 +Ključni zaključci analize uključuju: 
 +  - **Vidljivost kao preduvjet**: Bez adekvatnog logiranja i mrežnog nadzora, forenzička rekonstrukcija je znatno otežana. 
 +  - **Integrirani pristup**: Uspješna istraga zahtijevala je istovremenu primjenu mrežne, memorijske i diskovne forenzike. 
 +  - **Proceduralna disciplina**: Strogo pridržavanje procedura akvizicije jedini je način da nalazi budu održivi pred zakonom. 
 + 
 +Slučaj Sony predstavlja evolucijski korak koji je prisilio organizacije na preispitivanje strategija upravljanja digitalnim tragovima i zaštite kritične infrastrukture. 
 + 
 +===== Literatura ===== 
 +  - G. Sanchez, “Case Study: Critical Controls that Sony Should Have Implemented,” SANS Institute, Jun. 1, 2015. https://www.sans.org/white-papers/36022/ 
 +  - Johns Hopkins University Applied Physics Laboratory, Sony’s Nightmare Before Christmas: The 2014 North Korean Cyber Attack on Sony Pictures Entertainment, 2022. https://www.jhuapl.edu/sites/default/files/2022-12/SonyNightmareBeforeChristmas.pdf 
 +  - Fakultet elektrotehnike i računarstva, Sveučilište u Zagrebu, Računalna forenzika. https://www.fer.unizg.hr/predmet/racfor/materijali 
 +  - Columbia University, School of International and Public Affairs, The Hacking of Sony Pictures: A Case Study, 2022. https://www.sipa.columbia.edu/sites/default/files/2022-11/Sony%20-%20Written%20Case.pdf 
 +  - Coverlink, “Cyber Case Study: Sony Pictures Entertainment Hack,” Coverlink. https://coverlink.com/case-study/sony-pictures-entertainment-hack/ 
 +  - “Nation-State Cyber Attacks on Critical Infrastructure: A Case Study and Analysis of the 2014 Sony Pictures Hack.” https://www.researchgate.net/publication/387465146_Nation-State_Cyber_Attacks_on_Critical_Infrastructure_A_Case_Study_and_Analysis_of_the_2014_Sony_Pictures_Hack_by_North_Korea 
 +  - D. Perera, “Researcher Claims Destover Malware Hoax,” BankInfoSecurity. https://www.bankinfosecurity.com/destover-taps-stolen-sony-certificate-a-7660 
 +  - Infosec Institute, “Major Cyber Attack Hits Sony Pictures’ Corporate Network,” Infosec Institute. https://www.infosecinstitute.com/resources/news/cyber-attack-sony-pictures-much-data-breach/ 
 +  - Cybersecurity and Infrastructure Security Agency, Destructive Malware. https://www.cisa.gov/sites/default/files/documents/Destructive_Malware_White_Paper_S508C.pdf 
 +  - Cybersecurity and Infrastructure Security Agency, “Targeted Destructive Malware,” 2014. https://www.cisa.gov/news-events/alerts/2014/12/19/targeted-destructive-malware 
 +  - “File Recovery Method in NTFS-Based Damaged RAID Systems,” HCIS Journal. http://hcisj.com/data/file/article/2022080005/12-40.pdf 
 +  - M. Hamdan, “Memory Forensics with Volatility,” Medium. https://motasemhamdan.medium.com/memory-forensics-with-volatility-pdf-malware-analysis-with-any-run-cyber-incident-response-436d31cde2b6 
 +  - Cyber Triage, “Data Carving,” Cyber Triage. https://www.cybertriage.com/glossary-term/data-carving/ 
 +  - “A Comprehensive Study of Digital Forensics and Incident Response.” https://www.ijrti.org/papers/IJRTI2410015.pdf 
 +  - SEFCOM, Digital Evidence Chain of Custody. https://sefcom.asu.edu/publications/CoC-SoK-tps2024.pdf 
 +  - “Legal and Ethical Challenges in Digital Forensics Investigations.” https://www.researchgate.net/publication/387676341_Legal_and_Ethical_Challenges_in_Digital_Forensics_Investigations 
 +  - ACE Computers, “5 Best Practices for Chain of Custody in Digital Forensics,” ACE Computers. https://acecomputers.com/chain-of-custody-in-digital-forensics/ 
 +  - American Military University, “How to Maintain Chain of Custody for Digital Forensic Evidence,” American Military University. https://www.amu.apus.edu/area-of-study/criminal-justice/resources/how-to-maintain-chain-of-custody-for-digital-forensic-evidence/ 
 +  - ENow Software, “The Sony Hack: Vital Lessons for Microsoft Admins,” ENow Software. https://www.enowsoftware.com/news/bid/186961/the-sony-hack-vital-lessons-for-microsoft-admins 
 +  - “Advancements and Challenges in Digital Forensics,” IJARSCT. https://ijarsct.co.in/Paper30242.pdf 
 +  - Security Affairs, “Stolen Sony Certificates Used to Digitally Sign Destover Malware,” Security Affairs. https://securityaffairs.com/30965/cyber-crime/destover-signed-sony-certificates.html 
 +  - MITRE Corporation, “Lazarus Group (G0032),” MITRE ATT&CK. https://attack.mitre.org/groups/G0032/ 
 +  - DataRecovery.com, “Data Carving: Data Recovery Techniques Explained,” DataRecovery.com. https://datarecovery.com/rd/data-carving-data-recovery-techniques-explained/ 
 +  - “File Carving: Analyzing Data Retrieval in Digital Forensics,” International Journal of Computer Information Technology. https://ijcit.com/index.php/ijcit/article/view/420/109 
 +  - Belkasoft, “Carving and Its Implementations in Digital Forensics,” Belkasoft. https://belkasoft.com/carving-and-its-implementations 
 +  - Wikipedia contributors, “2014 Sony Pictures hack,” Wikipedia. https://en.wikipedia.org/wiki/2014_Sony_Pictures_hack 
 +  - Online Hash Crack, “Sony Pictures Hack 2014: Destructive Wiper Attack,” Online Hash Crack. https://www.onlinehashcrack.com/guides/breach-case-studies/sony-pictures-hack-2014-destructive-wiper-attack.php
racfor_wiki/seminari2025/kj53930.1766494540.txt.gz · Zadnja izmjena: 2025/12/23 12:55 od Korina Jurić
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0