Linux wraz z jego rosnącą popularnością coraz częściej obierany jest jako główny lub pośredni cel ataków ukierunkowanych. Każdego dnia odkrywane są nowe sposoby eksploitacji i infekowania systemu Linux przy użyciu coraz bardziej wyrafinowanych technik i narzędzi. Jako obrońcy musimy być na bieżąco z działaniami cyberprzestępców, rozumieć ich taktyki, techniki, procedury, ale przede wszystkim powinniśmy być w stanie wykrywać wczesne symptomy ataków jak i odpowiednio na nie reagować.

Wraz z Zarządem ISSA mam zaszczyt zaprosić Państwa na kolejne spotkanie z serii Akademia ISSA: Cybeer.

W ramach Akademii Leszek skupi się na omówieniu linuksowych metod persystencji w bezpośrednim ujęciu detekcyjnym:

• Server Software Component: Web Shell
• Server Software Component: HTTPD backdoor modules
• Create Account: Local Account
• Valid Accounts: Local Accounts / rc scripts
• Account Manipulation: SSH Authorized Keys
• Create or Modify System Process: Systemd Service
• Scheduled Task/Job: Systemd Timers
• Scheduled Task/Job: Cron
• Boot or Logon: systemd-generators
• Modify Authentication Process: Pluggable Authentication Modules
• Compromise Client Software Binary
• Boot or Logon Autostart Execution: Kernel Modules and Extensions / rootkits
• Hijack Execution Flow: Dynamic Linker Hijacking / LD_PRELOAD

Prezentacja będzie miała format pokazu na żywo z wykorzystaniem stosu technologicznego PurpleLabs zawierającego m.in. OSQuery + Kolide, Falco, Tracee, Velociraptor, auditd, Sysmon, Sigma rules, Wazuh, Sandfly czy theHive. Abstrahując od technicznego "mięsa", pod koniec prelekcji spróbujemy także podyskutować na temat zasadności proaktywnego, cyklicznego, bezagentowego skanowania farm czy klastrów systemów Linux pod kątem aspektów DFIR.

Prezentacja dostępna jest pod tym linkiem: https://www.defensive-security.com/storage/uploads/ISSA2022-Proaktywna-Analiza-Metod-Persystencyjnych-w-Systemie-Linux.pdf