Automatizovaná emulace scénářů kyberhrozeb – Bc. Denisa Půčková

Anotace:

Cílem této bakalářské práce je vytvořit automatizované virtuální prostředí k emulaci komplexních kyberútoků, které má potenciál přispět k efektivnější výuce nebo výzkumným účelům v oblasti kyberbezpečnosti. K automatizaci jsou využívány nástroje Vagrant a Ansible. Součástí práce je také sestavení dvou scénářů kyberútoků v nástroji MITRE Caldera, který je na jednom stroji připraven. První scénář, Exfiltrace dat, je svou strukturou inspirovaný kampaní skupiny Lazarus s názvem Operation Dream Job. Nejdříve je dosaženo eskalace privilegií a následně jsou ze stroje oběti exfiltrována data z domovských adresářů uživatelů. Druhý scénář, Zašifrování dat, začíná laterálním pohybem na další stroj ve stejné topologii, a poté jsou na všech cílových strojích objevená data zašifrována. Na strojích oběti je připravena bezpečnostní platforma Wazuh, která emulované scénáře detekuje a události automaticky mapuje na taktiky a techniky z báze znalostí MITRE ATT&CK. Poslední částí práce je analýza těchto detekovaných událostí. Podařilo se zjistit, že se k útokům došlo, ale jejich hlavní cíle, tedy exfiltrace a zašifrování dat, zachyceny nebyly. …víceméně

Abstract:

This bachelor thesis aims to create an automated virtual environment to emulate complex cyber attacks. This environment can potentially contribute to more effective teaching or research purposes in the cyber security field. Automation is achieved using Vagrant and Ansible tools. The thesis also involves creating two cyber attack scenarios within the MITRE Caldera tool in the developed environment. The first scenario, Data Exfiltration, is structurally inspired by the Lazarus group's Operation Dream Job. This scenario begins with privilege escalation, followed by data exfiltration from users' home directories on the victim machine. The second scenario, Data encryption, begins with a lateral movement to another machine within the same network, followed by encrypting the discovered data on all target machines. The Wazuh security platform is deployed on the victim machines to detect these emulated attacks, automatically mapping the detected events to the MITRE ATT&CK framework's tactics and techniques. The last part of the work is the analysis of these detected events. The Wazuh platform detected that attacks occurred, but the main objectives, data exfiltration, and encryption, were not captured. …víceméně