Pandas in action : analysis of China related advanced persistent threat actors’ tactics, techniques & procedures
Date
2023Copyright
© The Author(s)
Yhdysvallat on jo pitkään ollut kyberavaruuden johtava valtio, mutta idästä on nousemassa haastaja. Kiinan yrittäessä kasvattaa valtaansa kyberavaruudessa on siihen liitettyjen kohdistettujen haittaohjelmahyökkäysten määrä kasvussa. Nämä kyberhyökkäykset kohdistuvat sekä valtion hallintoon että yrityksiin päämääränään tiedon kerääminen tai muun halutun toimenpiteen suorittaminen. Kyberturvallisuustoimijat voivat puolestaan analysoida kyberhyökkäyksiä saadakseen arvokasta kyberuhkatietoa tunkeutumisindikaattoreista sekä käytetyistä tekniikoista, taktiikoista ja toimintamalleista. Näitä tietoja voidaan tarkentaa edelleen esimerkiksi erilaisin luokitteluin.
Tässä tutkimuksessa analysoitiin 41 eri kyberturvallisuusyrityksen raporttia, joissa attribuutio oli määritetty Kiinaan liittyviin kohdistettuihin haittaohjelmahyökkäyksiin ja tunnistettiin erilaisia toimintamalleja sisällönanalyysin avulla. Lockheed Martinin Cyber Kill Chain- ja MITRE ATT&CK-viitekehyksiä käytettiin Kiinaan liitetyiden kohdistettujen haittaohjelmahyökkäysten taktiikoiden, tekniikoiden ja toimintamallien havaitsemiseen. Tulokset osoittivat, että kiinalaiset kohdistetut haittaohjelmahyökkäykset suorittivat ensin kohdeorganisaatioiden tietojen keräämisen. Tämän jälkeen kehittivät hyökkäyskyvyn ja toimittivat kyberaseen kohteeseen hyödyntämällä tietojenkalastelua, yleensä keihäskalastelua. Kun kyberase oli toimitettu, komentotulkkia käytettiin kohdejärjestelmän hyödyntämiseen. Hyödyntämisen jälkeen hyökkäys jatkui webshell-takaportin, takaoven tai vastaavan asentamisella, minkä jälkeen yhteys komento- ja kontrolliverkkoon avattiin sovelluskerroksen protokollia käyttäen. Lopuksi hyökkäys vietiin päätökseen käyttämällä erilaisia etäkäyttötyökaluja tietojen varastamiseen tai hyökkäyksen laajentamiseen.
...
For long, the United States has been the single first tier power in cyberspace, but there is a rising contender from the east. As China is trying to advance their reach in cyberspace, China related Advanced Persistent Threat cyber-attacks are growing in numbers. These Advanced Persistent Threat cyber-attacks target both the government and companies alike in order to gain valuable information or perform other desired actions. Cyber security actors can in turn analyse cyber-attacks to gain valuable cyber threat intelligence from different indicators of compromise to used techniques, tactics, and procedures. This information is further refined by categorizing it for example to a form of a taxonomy.
This thesis consisted of an analysis of 41 different cyber security companies’ reports that had been attributed to China related Advanced Persistent Threat cyber-attacks and identified different procedures with content analysis. Lockheed Martin’s Cyber Kill Chain and MITRE ATT&CK frameworks were used to discover China related Advanced Persistent Threat cyber-attack tactics, techniques, and procedures. The results showed that the Chinese APT cyber-attacks relied first on gathering the victim organizations information, then developed capabilities to attack and delivered the weapon to the target by utilizing phishing, usually spear phishing. Once the weapon was delivered, command and scripting interpreter was utilized to exploit the target system. After the exploitation, the attack continued with installation of a web shell, backdoor or something similar and contacted the command-and-control network utilizing application layer protocols. Finally, the attack was concluded using different remote access tools to exfiltrate data or to expand the attack.
...
Keywords
Metadata
Show full item recordCollections
- Pro gradu -tutkielmat [29561]
License
Related items
Showing items with similar title or keywords.
-
Using cyber threat intelligence as a part of organisational cybersecurity
Matilainen, Juhani (2021)Kyberuhkatiedustelu on hieman kiistanalainen aihe ammatillisissa ja akateemisissa piireissä. Koska osa-alue on vielä nuori, tutkimus toimivuuden osalta on vielä vähäistä. Julkisuudessa moni kyberhyökkäys on saanut huomiota. ... -
Analysing Multidimensional Strategies for Cyber Threat Detection in Security Monitoring
Shelke, Palvi; Hämäläinen, Timo (Academic Conferences International Ltd, 2024)The escalating risk of cyber threats requires continuous advances in security monitoring techniques. This survey paper provides a comprehensive overview of recent research into novel methods for cyber threat detection, ... -
TARA+AD: Threat Analysis and Risk Assessment for Automated Driving : cybersecurity of road vehicles
Loskin, Ilona (2023)Cybersecurity of road vehicles has become a genuine matter as vehicles are not manufactured anymore as plain mechanical devices but containing numerous amounts of computers and millions of lines of code. The intelligent ... -
Enhancing detection & identification of hybrid warfare from cyber security perspective
Lindfors, Tomi (2022)Hybrid warfare has surfaced in recent years in media and scientific literature, as the western world has noticed its challenges and possibilities. Hybrid warfare and its operations are by nature constantly evolving and ... -
Theory of strategic culture : an analytical framework for Russian cyber threat perception
Kari, Martti J.; Pynnöniemi, Katri (Routledge, 2023)The strategic environment is evolving rapidly with the recognition of cyberspace as a domain of warfare. The increased interest in cyber as a part of defence has heightened the need for theoretical tools suitable to assess ...