Merge pull request #1 from gianfluetsch/editing

Editing

Author: gianfluetsch

.github/workflows/branch-ci.yml

@@ -15,4 +15,14 @@ jobs:
           id: compile-doc
           uses: xu-cheng/latex-action@v2
           with:
-            root_file: main.tex
+            root_file: main.tex
+
+        - name: Rename output
+          run: mv main.pdf CyDef_Hacking-Lab_Summary.pdf
+          
+        - name: Upload pdf
+          uses: actions/upload-artifact@v2
+          with:
+            name: CyDef_Hacking-Lab_Summary
+            path: CyDef_Hacking-Lab_Summary.pdf
+            retention-days: 7

.github/workflows/main-ci.yml

@@ -15,7 +15,17 @@ jobs:
           uses: xu-cheng/latex-action@v2
           with:
             root_file: main.tex  
-            
+
+        - name: Rename output
+          run: mv main.pdf CyDef_Hacking-Lab_Summary.pdf
+
+        - name: Upload pdf
+          uses: actions/upload-artifact@v2
+          with:
+            name: CyDef_Hacking-Lab_Summary
+            path: CyDef_Hacking-Lab_Summary.pdf
+            retention-days: 14
+
         - name: Create new Release
           id: create_release
           uses: actions/create-release@v1
@@ -34,6 +44,6 @@ jobs:
             GITHUB_TOKEN: ${{ secrets.GITHUB_TOKEN }}
           with:
             upload_url: ${{ steps.create_release.outputs.upload_url }} # This pulls from the CREATE RELEASE step above, referencing it's ID to get its outputs object, which include a `upload_url`. See this blog post for more info: https://jasonet.co/posts/new-features-of-github-actions/#passing-data-to-future-steps 
-            asset_path: ./main.pdf
-            asset_name: main.pdf
+            asset_path: ./CyDef_Hacking-Lab_Summary.pdf
+            asset_name: CyDef_Hacking-Lab_Summary.pdf
             asset_content_type: application/zip

README.md

@@ -1 +1 @@
-# CyDef
+# CyDef Summary

content/01_cyber-defense.tex

@@ -0,0 +1,129 @@
+%! Licence = CC BY-NC-SA 4.0
+
+%! Author = gianfluetsch
+%! Date = 30. Dez 2021
+%! Project = cydef_summary
+
+\section{Cyber Defense}
+
+\subsection{Threat Actors}
+Die drei wichtigsten Threat Actors sind \textbf{Script Kiddies, Cyber-Kriminelle} sowie \textbf{APTs}.
+
+\subsubsection{Script Kiddy}
+
+\begin{minipage}{0.5\linewidth}
+    \textbf{Motivation}
+    \begin{itemize}
+        \item Aufmerksamkeit
+        \item Anerkennung unter Ihresgleichen
+        \item Opportunistisch
+    \end{itemize}
+\end{minipage}
+\begin{minipage}{0.45\linewidth}
+    \textbf{Fähigkeiten}\\
+    \begin{itemize}
+        \item Wenige Fähigkeiten und Kenntnisse
+        \item Nutzen verfügbare Hacking Tools
+    \end{itemize}
+\end{minipage}
+
+\subsubsection{Hacktivisten}
+
+\begin{minipage}{0.5\linewidth}
+    \textbf{Motivation}
+    \begin{itemize}
+        \item Aufmerksamkeit
+        \item Anerkennung unter Gleichgesinnten
+        \item Protest zum Ausdruck bringen
+        \item Gezielt\\
+    \end{itemize}
+\end{minipage}
+\begin{minipage}{0.45\linewidth}
+    \textbf{Fähigkeiten}\\
+    \begin{itemize}
+        \item Variieren sehr stark
+        \item Wenig bis sehr Fortgeschritten
+    \end{itemize}
+\end{minipage}
+
+\textbf{Script Kiddys} und \textbf{Hacktivisten} zielen primär auf direkt exponierte Systeme ab wie beispielsweise Webserver. Sie zeichnen sich dadurch aus, dass sie schnellstmöglich ihren «Smash and Grab-Erfolg» bekannt geben
+wollen. Sie dringen in den wenigsten Fällen über längere Zeit in Netzwerke ein.
+
+\subsubsection{Cyber-Kriminelle}
+
+\begin{minipage}{0.5\linewidth}
+    \textbf{Motivation}
+    \begin{itemize}
+        \item Finazieller Art, erpressen sehr viel Geld oder stehlen wertvolle Daten
+        \item Opportunistisch
+    \end{itemize}
+\end{minipage}
+\begin{minipage}{0.45\linewidth}
+    \textbf{Fähigkeiten}\\
+    \begin{itemize}
+        \item Hohe Professionalisierung
+        \item Insider bieten in Untergrundforen an
+        \item Setzen Angriffsmittel gegen eine breite Palette von Zielen ein
+    \end{itemize}
+\end{minipage}
+
+
+\subsubsection{Terroristen}
+\begin{minipage}{0.5\linewidth}
+    \textbf{Motivation}
+    \begin{itemize}
+        \item Sabotage, Schaden \& Chaos anrichten
+        \item Angst verbreiten
+        \item Aufmerksamkeit und Rekrutierung
+    \end{itemize}
+\end{minipage}
+\begin{minipage}{0.45\linewidth}
+    \textbf{Fähigkeiten}\\
+    \begin{itemize}
+        \item Angriffe auf kritische Systeme befürchtet, aber noch keine bekannt
+        \item Nicht-staatliche, terroristische Gruppen scheinen Fähigkeit für gezielte Cyber-Angriffe noch nicht aufgebaut zu haben\\
+    \end{itemize}
+\end{minipage}
+
+\textbf{Cyber-Kriminelle} benötigen eine erheblich lange Verweildauer in den Systemen, um an die gewünschten Daten zu kommen und stehen oftmals in ihren technischen Fähigkeiten vielen APTs in nichts nach. Der entscheidende
+Unterschied liegt jedoch in den strategischen Zielen dieser Akteure.
+
+\subsubsection{Advanced Persistent Threat (APT)}
+\begin{minipage}{0.5\linewidth}
+    \textbf{Motivation}
+    \begin{itemize}
+        \item Klare Mission, höhere, meist staatliche Ziele
+        \item Spionage, politisch/ militärisch
+        \item Sabotage, Schaden anrichten
+        \item Sehr gezielt
+    \end{itemize}
+\end{minipage}
+\begin{minipage}{0.45\linewidth}
+    \textbf{Fähigkeiten}\\
+    \begin{itemize}
+        \item Königsklasse
+        \item Ausreichend Ressourcen, staatlich oder staatlich-finanziert
+        \item \glqq low-and-slow\grqq, bleiben lange unbemerkt im Netzwerk und dringen erneut, über Alternative Wege ein, wenn Zugriffe blockiert werden
+        \item Nutzen eigene Tools, wie auch allgemein verfügbare \glqq off-the-shelf\grqq Hacking Tools und Exploits
+        \item Kombinieren mehrere Angriffsmethoden und -techniken
+        \item Von Menschen koordinierte Aktionen\\
+    \end{itemize}
+\end{minipage}
+
+\textbf{APTs} verbleiben in den meisten Fällen \textcolor{red}{\textbf{sehr lange im Netzwerk}} des Opfers (in der Regel mehr als 200 Tage) und betreiben einen entsprechend hohen Aufwand, um ihren Zugang über mehrere Wege sicherzustellen. 
+\textbf{Deshalb sollte das gesamte Ausmass des Angriffs unbedingt erst verstanden sein bevor man einen APT Angriff stoppt.}
+
+\subsection{Angriffs Methoden}
+Sie verstehen die Denkweise der Angreifer und deren
+Methoden und Werkzeuge
+
+\begin{itemize}
+    \item Direkte Attacken (Brute-Force)
+    \item Indirekte Attacken (Virus, Malware, Ransomware)
+    \item Man-in-the-Middle/ Man-in-the-Browser
+    \item Privilege Elevation (gain root, gain Administrator)
+    \item APT and Data Exfiltration (C\&C Server, Agent, Zombie-Host)
+    \item Social Engineering (Identitätsdiebstahl)
+    \item MITRE ATT\&CK Framework
+\end{itemize}
+

content/02_siem-soar-edr.tex

@@ -0,0 +1,65 @@
+%! Licence = CC BY-NC-SA 4.0
+
+%! Author = gianfluetsch
+%! Date = 30. Dez 2021
+%! Project = cydef_summary
+
+\section{SIEM SOAR EDR Velociraptor Yara}
+
+\subsection{SIEM - Security Information and Event Management}
+Sicherheitsinformations- und Ereignisverwaltungslösungen sind für die Sammlung von Protokoll- und Ereignisdaten aus verschiedenen Quellen wie Netzwerken, Servern und Anwendungen sowie für die Aggregation, Identifizierung, kategorisieren und analysieren sie in Echtzeit.
+
+Mit einer SIEM-Lösung sollten Sicherheitsprobleme automatisch erkannt werden und die Möglichkeit bestehen, eine Warnung zu versenden.\\
+
+\begin{itemize}
+    \item Ermöglicht die Mustersuche in Protokolldaten nach Indikatoren für einen Cyberangriff (IOC)
+    \item Ermöglicht die Korrelation von Ereignisinformationen und identifiziert abnormale Aktivitäten
+    \item Alarme nach definierten Alarmregeln
+    \item \textbf{Splunk/ Wazuh} (open-source)
+\end{itemize}
+
+\subsubsection{Sigma}
+\textit{Sigma} ist ein generisches und offenes Signaturformat, mit dem Sie relevante Protokollereignisse auf einfache Weise beschreiben können. Das Regelformat ist sehr flexibel, leicht zu schreiben und auf jede Art von Protokolldatei anwendbar. Das Hauptziel dieses Projekts ist es, eine strukturierte Form bereitzustellen, in der Forscher oder Analysten ihre einmal entwickelten Erkennungsmethoden beschreiben und mit anderen teilen können.\\
+
+\textit{Sigma} ist für Protokolldateien das, was Snort für den Netzwerkverkehr und YARA für Dateien ist.\\
+
+\textbf{Use-Cases}
+\begin{itemize}
+    \item Describe your detection method in Sigma to make it shareable
+    \item Write your SIEM searches in Sigma to avoid a vendor lock-in
+    \item Share the signature in the appendix of your analysis along with IOCs and YARA rules
+    \item Share the signature in threat intel communities - e.g. via MISP
+    \item Provide Sigma signatures for malicious behaviour in your own application
+\end{itemize}
+
+\subsection{SOAR - Security Orchestration, Automation and Response Solutions}
+SOAR sammelt ebenfalls Daten aus verschiedenen Quellen, ähnlich wie ein SIEM, aber SOAR unterstützt den Incident Responder bei der Bewältigung der Krise. SOAR ermöglicht ein automatisiertes Eingreifen, wenn ein Sicherheitsvorfall eintritt. Ein SOAR-System unterstützt den Incident Responder auch bei der Einführung von Sicherheits Gegenmaßnahmen (Active Directory).\\
+
+\begin{itemize}
+    \item Altert Investigation
+    \item Orchestration
+    \item Automation workflow
+    \item \textbf{Velociraptor}
+\end{itemize}
+
+\subsection{EDR - Endpoint Protection and Response}
+Endpoint Detection and Response (EDR), auch bekannt als Endpoint Threat Detection and Response (ETDR), ist eine integrierte Endpunkt-Sicherheitslösung, die eine kontinuierliche Überwachung und Erfassung von Endpunktdaten in Echtzeit mit regelbasierten automatischen Reaktions- und Analysefunktionen
+
+\newpage
+
+\subsection{CERT - Computer Emergency Response Team}
+\begin{itemize}
+    \item Trademark
+    \item Imprecise
+\end{itemize}
+
+\subsection{CSIRT - Computer Emergency Security Incident Response Team}
+A \textit{CSIRT} is a team of IT security experts whose main business is to respond to computer security incidents. It provides the necessary services to handle them and support their constituents to
+recover from breaches.\\
+
+\begin{itemize}
+    \item More precise
+    \item Free to use\\
+\end{itemize}
+
+However, the terms \textit{CERT} and \textit{CSIRT} are used synonymously in daily life.

content/03_active_directory.tex

@@ -0,0 +1,132 @@
+%! Licence = CC BY-NC-SA 4.0
+
+%! Author = gianfluetsch
+%! Date = 30. Dez 2021
+%! Project = cydef_summary
+
+\section{Active Directory}
+\begin{itemize}
+    \item Active Directory (AD) is a directory service (database) developed by Microsoft
+    \item Used for centralized management of computers, servers, users, …
+    \item Performs authentication and authorization of users and computers
+    \begin{itemize}
+        \item It verifies the credentials of the users and defines their access rights
+        \item It is based on LDAP, NTLM, Kerberos (Microsoft's version), DNS and other protocols
+    \end{itemize}
+    \item Structured in objects
+    \begin{itemize}
+        \item Resources (e.g. printers)
+        \item Security Principals (e.g. users, groups, computer accounts)
+    \end{itemize}
+    \item Organizational Units
+    \begin{itemize}
+        \item Objects within a domain can be grouped into OUs
+        \item OUs can provide a hierarchy to a domain. This simplifies administration
+    \end{itemize}
+    \item Logical divisions: forest, tree \& domain
+    \item Active Directory stores
+    \begin{itemize}
+        \item password hash of every user
+        \item computer hash of every computer
+        \color{red}
+        \item \textbf{Target for attackers!!!}
+    \end{itemize}
+\end{itemize}
+
+\subsection{Active Directory Threats}
+\begin{itemize}
+    \item The AD is a central target for attackers, because if compromised, everything is compromised
+    \item AD infrastructure can be very complex and therefore hard to configure and maintain securely
+    \item \textbf{Common misconfigurations and pitfalls} that can be abused by attackers:
+    \begin{itemize}
+        \item No segregation of \textbf{privileged access}, e.g. highly privileged admins interactively log on clients/servers
+        \item Service (or User) Accounts with \textbf{weak passwords and SPN (Service Principal Name) set}, even worse if ownership is lost
+        \item \textbf{Weak passwords} in general
+        \item \textbf{Same local admin password} on all computers
+        \item \textbf{Password re-use} in general
+        \item \textbf{Credentials on shares} (e.g. Logon Scripts on SYSVOL) where Everyone has read/write access
+        \item \textbf{Lack of least-privilege} principle in general
+    \end{itemize}
+\end{itemize}
+
+
+\subsection{Logging}
+Über eine GPO kann ein Logging-Agent (z.B. der Wazuh-Agent) einfach auf allen gewünschten Servern installiert und konfiguriert werden.
+Diesen Agent sollte man so konfigurieren, dass er alle wichtigen und relevanten Logs (z.B. die RDP Logs) ebenfalls an Wazuh weiterleitet.
+Danach sind diese Logs auch innerhalb von Wazuh zentral ersichtlich und filterbar.
+
+Dabei werden die Events aus dem EventLog an Wazu weitergeleitet und es kann somit auch nach der \textit{EventID} gefiltert werden.
+
+\subsubsection{EventID 1149}
+Successful network authentication (successfully executed an RDP network connection).
+
+Event 1149 is logged when there is a successful RDP logon to the computer. Before Windows 7 and Windows Server 2012, 1149 would be logged for any initiation of an RDP connection, so it was not a useful indicator for an actual successful application of user credentials.
+
+But, that has changed, and all modern OS versions will only log 1149 if the username in the event was successfully authenticated. It also includes the IP address of the source of the connection, which is useful information. If an account is used and successfully authenticates but does not have
+permission to RDP to the computer due to other restrictions, event 1149 is not generated.
+
+\newpage
+
+\subsubsection{Phases of RDP-Connection}
+
+\begin{minipage}{0.45\linewidth}
+    \begin{enumerate}
+        \item Connection Initiation
+        \item Basic Settings Exchange
+        \item Channel Connection
+        \item RDP Security Commencement
+        \item Secure Settings Exchange
+        \item Optional Connect-Time Auto-Detection
+        \item Licensing
+        \item Optional Multitransport Bootstrapping
+        \item Capabilities Exchange
+        \item Connection Finalization
+    \end{enumerate}
+\end{minipage}
+\begin{minipage}{0.5\linewidth}
+    \begin{center}
+        \includegraphics[width=1.2\linewidth]{rdp_phases}
+        \vspace{-8pt}
+    \end{center}
+\end{minipage}
+
+\subsubsection{Explain how you filtered every RDP login attempt}
+The TerminalServices-RemoteConnectionManager Log is not forwarded to Wazuh.\\
+Unable to filter for all the attempts.
+With the current Wazu setup, one must filter for Logon Type 3 \& 10 (remote logon types)\\
+
+\begin{itemize}
+    \item \lstinline|data.win.system.eventID = 4624| or \lstinline|data.win.system.eventID = 4625|
+    \item \lstinline|data.win.sytem.eventID: 4624| and \lstinline|data.win.evendata.logonType: 3|
+\end{itemize}
+
+\subsubsection{Explain how you filtered unsuccessful RDP login attempts}
+Um erfolglose RDP Login Versuche im Event Viewer zu suchen, sucht man nach der \lstinline|Event ID: 4625|.\\
+
+\begin{itemize}
+    \item \lstinline|data.win.eventdata.logonType = 3| or \lstinline|data.win.eventdata.logonType = 10|
+    \item \lstinline|data.win.system.eventID = 4625| and \lstinline|data.win.eventdata.logonType = 3|
+\end{itemize}
+
+\subsection{Kerberos}
+\begin{minipage}{0.45\linewidth}
+    \begin{enumerate}
+        \item Client $\rightarrow$ TGS (Ticket Granting Server = DC): \textit{Anfrage}
+        \item TGS $\rightarrow$ Client: \textit{TGT (Ticket Granting Ticket)}
+        \item Client $\rightarrow$ Fileserver (FS): \textit{TGT}
+        \item FS $\rightarrow$ Client: \textit{schön und gut, will aber spezifisches Ticket}
+        \item Client $\rightarrow$ TGS: \textit{Anfrage spezifisches Ticket für FS}
+        \item TGS $\rightarrow$ Client: \textit{(spezifisches) Ticket für FS}
+        \item Client $\rightarrow$ FS: \textit{(spezifisches) Ticket für FS}
+        \item FS $\rightarrow$ Client: \textit{alles ok}
+    \end{enumerate}
+\end{minipage}
+\begin{minipage}{0.5\linewidth}
+    \begin{center}
+        \includegraphics[width=0.9\linewidth]{kerberos}
+        \vspace{-8pt}
+    \end{center}
+\end{minipage}
+
+
+

content/04_windows-logs.tex

@@ -0,0 +1,10 @@
+%! Licence = CC BY-NC-SA 4.0
+
+%! Author = gianfluetsch
+%! Date = 30. Dez 2021
+%! Project = cydef_summary
+
+\section{Windows Logs}
+
+Sie kennen und verstehen die wichtigsten Log Events, können anhand von Beispielen den Zusammenhang zum SOC
+oder Forensik herstellen