Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Starije izmjene na obje strane Starija izmjena
Novija izmjena 		Starija izmjena
racfor_wiki:seminari2025:kj53930 [2026/01/24 18:43]
Korina Jurić [Kontekst incidenta i povijest ranjivosti] 		racfor_wiki:seminari2025:kj53930 [2026/02/01 18:33] (trenutno)
Korina Jurić [Forenzička analiza ciljanog kibernetičkog napada na Sony Pictures Entertainment]
Redak 1: Redak 1:
 ====== Forenzička analiza ciljanog kibernetičkog napada na Sony Pictures Entertainment ====== ====== Forenzička analiza ciljanog kibernetičkog napada na Sony Pictures Entertainment ======
  
-Napad na Sony Pictures Entertainment (SPE) u studenom 2014. godine predstavlja jedan od najrazornijih primjera kibernetičkog ratovanja usmjerenog protiv privatne korporacije. Ovaj incident nije bio samo povreda podataka, već višeslojni napad koji je obuhvaćao krađu intelektualnog vlasništva, ucjenu, uništavanje infrastrukture pomoću zlonamjernog softvera te pokušaj utjecaja na geopolitičke odnose. +Napad na Sony Pictures Entertainment (SPE) u studenom 2014. godine predstavlja jedan od najrazornijih primjera kibernetičkog ratovanja usmjerenog protiv privatne korporacije. Ovaj incident nije bio samo povreda podataka nego i višeslojni napad koji je obuhvaćao krađu intelektualnog vlasništva, ucjenu, uništavanje infrastrukture pomoću zlonamjernog softvera te pokušaj utjecaja na geopolitičke odnose. 
-Iz perspektive računalne forenzike, slučaj Sony pruža uvid u digitalne tragove koji se protežu kroz sve ključne discipline: od mrežne i memorijske forenzike do forenzike medija za pohranu i forenzike digitalnih dokumenata.+Iz perspektive računalne forenzike, slučaj Sony pruža uvid u digitalne tragove koji se protežu svim ključnim disciplinama: od mrežne i memorijske forenzike do forenzike medija za pohranu i forenzike digitalnih dokumenata.
  
 ===== Kontekst incidenta i povijest ranjivosti ===== ===== Kontekst incidenta i povijest ranjivosti =====
Redak 39: Redak 39:
 | Arhiviranje | Sigurno pohranjivanje originalnih medija | Sefovi za dokaze, kontrolirani pristup | | Arhiviranje | Sigurno pohranjivanje originalnih medija | Sefovi za dokaze, kontrolirani pristup |
  
 +===== Mrežna forenzika: Analiza infiltracije i eksfiltracije =====
 +Mrežna forenzika fokusira se na nadzor i analizu prometa u svrhu detekcije upada i prikupljanja dokaza. U slučaju Sonyja, ovi su tragovi otkrili putanju napadača od vanjske infiltracije do lateralnog kretanja kroz intranet.
  
 +==== Analiza spear-phishinga i inicijalnog pristupa ====
 +Istraga je utvrdila da je inicijalni vektor napada bio spear-phishing. Napadači su slali poruke koje su imitirale legitimne obavijesti, vodeći žrtve na web sjedišta za prikupljanje vjerodajnica. Analiza SMTP zaglavlja (headers) bila je ključna za utvrđivanje porijekla poruka i putanje kroz mail releje.
 +
 +==== Lateralno kretanje i mrežni artefakti ====
 +Nakon inicijalnog pristupa, napadači su koristili SMB (Server Message Block) worm tool za automatsko širenje mrežom koristeći ukradene vjerodajnice. Forenzička analiza mrežnog prometa otkrila bi anomalije u SMB komunikaciji između radnih stanica.
 +
 +Ključni artefakti uključivali su:
 +  - **C2 komunikaciju**: Malware je komunicirao s Command and Control poslužiteljima putem portova 80, 443, 8000 i 8080. Analiza mrežnih paketa (PCAP) otkrila je periodične "beacone".
 +  - **Eksfiltraciju podataka**: Krađa 100 TB podataka odvijala se kroz duže razdoblje. Rekonstrukcija vremenskih okvira pomoću NetFlow podataka ukazala je na ozbiljne propuste u sustavima za detekciju upada (IDS) koji nisu prepoznali masovni odljev informacija.
 +
 +===== Memorijska forenzika: Detekcija residentnih prijetnji =====
 +Memorijska forenzika (analiza RAM-a) nužna je za otkrivanje naprednih prijetnji koje ne ostavljaju tragove na disku, poput injekcije koda u legitimne procese.
 +
 +==== Primjena Volatility Frameworka ====
 +Volatility Framework predstavlja standard u analizi memorijskih dumpova. Analizom RAM-a sa Sonyjevih poslužitelja identificirano je sljedeće:
 +  - **Skriveni procesi**: Korištenjem plugina poput psxview, istražitelji su usporedili liste procesa iz različitih sistemskih struktura kako bi detektirali prisutnost rootkita.
 +  - **Injekcija koda**: Destover wiper je koristio procese poput taskhost.exe za prikrivanje. Plugin malfind omogućio je pronalaženje memorijskih stranica s neovlaštenim dozvolama za izvršavanje.
 +  - **Vjerodajnice u memoriji**: Ekstrakcija hasheva lozinki iz LSASS procesa potvrdila je metodu kojom su napadači preuzimali kontrolu nad administratorskim računima.
 +
 +^ Volatility Plugin ^ Primjena u analizi ^ Rezultat ^
 +| pstree | Prikaz hijerarhije procesa | Identifikacija neobičnih roditeljskih procesa |
 +| netscan | Analiza mrežnih veza u RAM-u | Detekcija aktivnih veza prema C2 IP adresama |
 +| cmdscan | Povijest naredbi u terminalu | Rekonstrukcija interaktivnih sesija napadača |
 +| memdump | Izvlačenje memorijskog prostora | Binarna analiza malwarea izdvojenog iz RAM-a |
 +
 +===== Forenzika medija za pohranu: Analiza destruktivnog softvera =====
 +Destruktivna faza napada izvedena je pomoću malwarea Destover, čiji je cilj bio trajno onemogućiti rad sustava.
 +
 +==== Analiza Destover wipera ====
 +Forenzička analiza diskova zaraženih računala pokazala je specifične mehanizme uništenja:
 +  - **MBR (Master Boot Record) korupcija**: Malware je prebrisivao prve sektore diska, uništavajući particijsku tablicu i onemogućujući podizanje sustava.
 +  - **Raw Disk Access**: Korišteni su driveri koji su omogućili izravno pisanje po hardveru diska, zaobilazeći sigurnosne kontrole operacijskog sustava.
 +  - **Brisanje podataka**: Nakon uništenja boot sektora, malware je sustavno brisao blokove podataka do potpunog kolapsa sustava.
 +
 +==== Tehnike oporavka: Data Carving ====
 +U slučajevima uništenja metapodataka datotečnog sustava (poput MFT-a u NTFS-u), primjenjuje se data carving. Ova metoda traži specifične "digitalne potpise" zaglavlja i podnožja datoteka u sirovim bajtovima diska.
 +Na primjer, traženje niza FF D8 FF E0 omogućuje identifikaciju JPEG datoteka čak i kada operacijski sustav taj prostor vidi kao prazan (unallocated space). Ograničenja ove metode javljaju se kod fragmentiranih diskova i modernih SSD uređaja s aktivnom TRIM tehnologijom.
 +
 +===== Zaključak =====
 +Napad na Sony Pictures Entertainment trajan je podsjetnik na nužnost rigorozne forenzičke metodologije. Ovaj slučaj demonstrira kako se teorijski koncepti – poput lanca nadzora, hash verifikacije i memorijske analize primjenjuju u kritičnim situacijama stvarnog svijeta.
 +
 +Ključni zaključci analize uključuju:
 +  - **Vidljivost kao preduvjet**: Bez adekvatnog logiranja i mrežnog nadzora, forenzička rekonstrukcija je znatno otežana.
 +  - **Integrirani pristup**: Uspješna istraga zahtijevala je istovremenu primjenu mrežne, memorijske i diskovne forenzike.
 +  - **Proceduralna disciplina**: Strogo pridržavanje procedura akvizicije jedini je način da nalazi budu održivi pred zakonom.
 +
 +Slučaj Sony predstavlja evolucijski korak koji je prisilio organizacije na preispitivanje strategija upravljanja digitalnim tragovima i zaštite kritične infrastrukture.
 +
 +===== Literatura =====
 +  - G. Sanchez, “Case Study: Critical Controls that Sony Should Have Implemented,” SANS Institute, Jun. 1, 2015. https://www.sans.org/white-papers/36022/
 +  - Johns Hopkins University Applied Physics Laboratory, Sony’s Nightmare Before Christmas: The 2014 North Korean Cyber Attack on Sony Pictures Entertainment, 2022. https://www.jhuapl.edu/sites/default/files/2022-12/SonyNightmareBeforeChristmas.pdf
 +  - Fakultet elektrotehnike i računarstva, Sveučilište u Zagrebu, Računalna forenzika. https://www.fer.unizg.hr/predmet/racfor/materijali
 +  - Columbia University, School of International and Public Affairs, The Hacking of Sony Pictures: A Case Study, 2022. https://www.sipa.columbia.edu/sites/default/files/2022-11/Sony%20-%20Written%20Case.pdf
 +  - Coverlink, “Cyber Case Study: Sony Pictures Entertainment Hack,” Coverlink. https://coverlink.com/case-study/sony-pictures-entertainment-hack/
 +  - “Nation-State Cyber Attacks on Critical Infrastructure: A Case Study and Analysis of the 2014 Sony Pictures Hack.” https://www.researchgate.net/publication/387465146_Nation-State_Cyber_Attacks_on_Critical_Infrastructure_A_Case_Study_and_Analysis_of_the_2014_Sony_Pictures_Hack_by_North_Korea
 +  - D. Perera, “Researcher Claims Destover Malware Hoax,” BankInfoSecurity. https://www.bankinfosecurity.com/destover-taps-stolen-sony-certificate-a-7660
 +  - Infosec Institute, “Major Cyber Attack Hits Sony Pictures’ Corporate Network,” Infosec Institute. https://www.infosecinstitute.com/resources/news/cyber-attack-sony-pictures-much-data-breach/
 +  - Cybersecurity and Infrastructure Security Agency, Destructive Malware. https://www.cisa.gov/sites/default/files/documents/Destructive_Malware_White_Paper_S508C.pdf
 +  - Cybersecurity and Infrastructure Security Agency, “Targeted Destructive Malware,” 2014. https://www.cisa.gov/news-events/alerts/2014/12/19/targeted-destructive-malware
 +  - “File Recovery Method in NTFS-Based Damaged RAID Systems,” HCIS Journal. http://hcisj.com/data/file/article/2022080005/12-40.pdf
 +  - M. Hamdan, “Memory Forensics with Volatility,” Medium. https://motasemhamdan.medium.com/memory-forensics-with-volatility-pdf-malware-analysis-with-any-run-cyber-incident-response-436d31cde2b6
 +  - Cyber Triage, “Data Carving,” Cyber Triage. https://www.cybertriage.com/glossary-term/data-carving/
 +  - “A Comprehensive Study of Digital Forensics and Incident Response.” https://www.ijrti.org/papers/IJRTI2410015.pdf
 +  - SEFCOM, Digital Evidence Chain of Custody. https://sefcom.asu.edu/publications/CoC-SoK-tps2024.pdf
 +  - “Legal and Ethical Challenges in Digital Forensics Investigations.” https://www.researchgate.net/publication/387676341_Legal_and_Ethical_Challenges_in_Digital_Forensics_Investigations
 +  - ACE Computers, “5 Best Practices for Chain of Custody in Digital Forensics,” ACE Computers. https://acecomputers.com/chain-of-custody-in-digital-forensics/
 +  - American Military University, “How to Maintain Chain of Custody for Digital Forensic Evidence,” American Military University. https://www.amu.apus.edu/area-of-study/criminal-justice/resources/how-to-maintain-chain-of-custody-for-digital-forensic-evidence/
 +  - ENow Software, “The Sony Hack: Vital Lessons for Microsoft Admins,” ENow Software. https://www.enowsoftware.com/news/bid/186961/the-sony-hack-vital-lessons-for-microsoft-admins
 +  - “Advancements and Challenges in Digital Forensics,” IJARSCT. https://ijarsct.co.in/Paper30242.pdf
 +  - Security Affairs, “Stolen Sony Certificates Used to Digitally Sign Destover Malware,” Security Affairs. https://securityaffairs.com/30965/cyber-crime/destover-signed-sony-certificates.html
 +  - MITRE Corporation, “Lazarus Group (G0032),” MITRE ATT&CK. https://attack.mitre.org/groups/G0032/
 +  - DataRecovery.com, “Data Carving: Data Recovery Techniques Explained,” DataRecovery.com. https://datarecovery.com/rd/data-carving-data-recovery-techniques-explained/
 +  - “File Carving: Analyzing Data Retrieval in Digital Forensics,” International Journal of Computer Information Technology. https://ijcit.com/index.php/ijcit/article/view/420/109
 +  - Belkasoft, “Carving and Its Implementations in Digital Forensics,” Belkasoft. https://belkasoft.com/carving-and-its-implementations
 +  - Wikipedia contributors, “2014 Sony Pictures hack,” Wikipedia. https://en.wikipedia.org/wiki/2014_Sony_Pictures_hack
 +  - Online Hash Crack, “Sony Pictures Hack 2014: Destructive Wiper Attack,” Online Hash Crack. https://www.onlinehashcrack.com/guides/breach-case-studies/sony-pictures-hack-2014-destructive-wiper-attack.php
racfor_wiki/seminari2025/kj53930.1769280226.txt.gz · Zadnja izmjena: 2026/01/24 18:43 od Korina Jurić
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0