Lesson 4.pptx

# Het diamantmodel voor cyberdreigingsinformatie Het diamantmodel voor cyberdreigingsinformatie biedt een raamwerk voor het analyseren van intrusies door vier kerncomponenten en twee contextuele factoren te identificeren. ## 1. Het diamantmodel voor cyberdreigingsinformatie Het diamantmodel is een CTI-raamwerk dat wordt gebruikt voor de analyse van intrusies. Het identificeert vier kerncomponenten: tegenstander, capaciteit, infrastructuur en slachtoffer. Daarnaast worden ook de sociaal-politieke en technologische context beschouwd, die de interactie tussen de kerncomponenten beïnvloeden. ### 1.1 De vier kerncomponenten van het diamantmodel Het model stelt dat een intrusie pas plaatsvindt wanneer alle vier de kerncomponenten aanwezig zijn. Deze componenten zijn: #### 1.1.1 Tegenstander (adversary) De tegenstander verwijst naar de persoon of groep die achter de aanval zit. Het begrijpen van de tegenstander omvat: * **Intentie:** Waarom vallen ze aan? Dit kan variëren van financiële winst, spionage, tot sabotage. * **Attributie:** Wie zit er mogelijk achter de aanval? Dit kan soms lastig te bepalen zijn. * **Adaptiviteit en persistentie:** Hoe opereren en reageren ze op verdedigingsmaatregelen? Binnen de component "tegenstander" worden vaak twee rollen onderscheiden: * **Tegenstander operator:** De hacker(s) of het team dat de intrusie daadwerkelijk uitvoert. * **Tegenstander klant:** De entiteit die profiteert van de aanval en de operator kan aansturen of financieren. #### 1.1.2 Capaciteit (capability) De capaciteit omvat de vaardigheden, tools en technieken die een tegenstander gebruikt. Dit staat bekend als Tactics, Techniques, and Procedures (TTPs). De reikwijdte van capaciteiten is breed, van eenvoudige handmatige aanvallen tot geavanceerde, op maat gemaakte malware. MITRE ATT&CK is een waardevolle bron voor het vinden van informatie over TTP's. Voorbeelden van capaciteiten zijn: * Wachtwoord raden of brute force aanvallen * Phishing e-mails of malwarecreatie * Exploiteren van softwarekwetsbaarheden * Gebruik van "malware-as-a-service" of "ransomware-as-a-service" #### 1.1.3 Infrastructuur (infrastructure) Infrastructuur fungeert als de "brug" tussen de tegenstander, de capaciteit en het slachtoffer. Het is de middelen die de tegenstander gebruikt om de aanval uit te voeren en te verbergen. Er worden verschillende typen infrastructuur onderscheiden: * **Type 1 infrastructuur:** Wordt direct door de tegenstander beheerd en is vaak de "zichtbare" technische component van een aanval. * **Type 2 infrastructuur:** Helpt de attributie te verdoezelen, omdat het slachtoffer het ziet als de zichtbare kant van de tegenstander. Denk hierbij aan gecompromitteerde servers of legitieme diensten die misbruikt worden. * **Dienstverleners:** Services die essentieel zijn voor het online houden van Type 1 en Type 2 infrastructuren. Voorbeelden van infrastructuur-elementen zijn: * IP-adressen * Domeinnamen * E-mailadressen #### 1.1.4 Slachtoffer (victim) Het slachtoffer is de entiteit (persoon, organisatie, systeem) die het doelwit is van de aanval. De analyse van het slachtoffer helpt te begrijpen wie de tegenstander wil bereiken en hoe. Hierbij worden onderscheid gemaakt tussen: * **Slachtoffer persona's:** Wie de tegenstander wil bereiken (bijvoorbeeld specifieke functies binnen een organisatie). * **Slachtoffer activa:** De concrete assets die de tegenstander aanvalt (bijvoorbeeld e-mailadressen, netwerksegmenten). ### 1.2 Contextuele componenten van het diamantmodel Naast de vier kerncomponenten spelen de sociaal-politieke en technologische context een cruciale rol bij het begrijpen van een cyberaanval. #### 1.2.1 Sociaal-politieke component Deze component beschrijft de bredere omgeving die het gedrag en de beslissingen van de tegenstander beïnvloedt. Het richt zich op sociale, politieke, economische en culturele factoren die cyberactiviteit drijven. Het helpt bij het beantwoorden van vragen als: * Waarom nu? * Wat is het motief? * Welke externe gebeurtenissen kunnen toekomstige aanvallen vormgeven? Deze component verbindt de technische aspecten van een aanval met de menselijke en maatschappelijke factoren. #### 1.2.2 Technologische component Deze component helpt bij het in kaart brengen van het technische pad van een intrusie. Het gaat om de gebruikte tools, de systemen en netwerken, en de methoden van levering en controle van capaciteiten. Het begrijpen van de technologische component verbetert de detectie, mitigatie en planningsstrategieën voor verdediging. Het helpt bij het beantwoorden van vragen als: * Welke tools werden gebruikt? * Via welke systemen of netwerken? * Hoe werden de capaciteiten geleverd en gecontroleerd? ### 1.3 Diamantmodel caveats en toepassingen Het diamantmodel is een krachtig hulpmiddel voor het visualiseren van een aanval voor diverse stakeholders: * **Strategisch niveau:** Biedt inzicht in de aanval, ondersteund door de sociaal-politieke en technologische context. * **Operationeel niveau:** Gebruikt de technologie-as voor geïnformeerde beslissingen tijdens incidentrespons en om naderende aanvallen te vertragen. * **Tactisch niveau:** Verkrijgt inzicht via de technologie-as en identificeert controles waarin geïnvesteerd kan worden om toekomstige aanvallen te mitigeren. * **Technisch niveau:** Gebruikt atomische indicatoren om feeds en controles te versterken. Het model kan gebruikt worden in combinatie met andere raamwerken, zoals de Cyber Kill Chain, om een completer beeld te krijgen van een cyberdreiging. ### 1.4 Indicatoren van compromis (IoCs) Indicatoren van compromis (IoCs) zijn bewijsstukken die wijzen op kwaadaardige activiteit op een netwerk of systeem. Er zijn verschillende soorten IoCs: #### 1.4.1 Atomische indicatoren Dit zijn enkele, ondeelbare observaties die direct duiden op kwaadaardige activiteit. Ze staan op zichzelf en vereisen geen verdere context. * **Kenmerken:** Eenvoudig en snel te implementeren (blokkades, detectieregels), lage analysevereiste, hoge volatiliteit (makkelijk te wijzigen door aanvallers), lage kosten voor aanvallers om te vervangen. * **Voorbeelden:** IP-adressen, domeinnamen, bestandshashes. #### 1.4.2 Berekende indicatoren Deze indicatoren worden afgeleid of berekend uit data en zijn geen enkele datapunten, maar patronen of logische expressies gebaseerd op observaties. Ze omvatten algoritmen, relaties of transformaties van atomische gegevens. * **Kenmerken:** Patron-gebaseerd (regex, heuristieken, algoritmen), veerkrachtiger tegen kleine wijzigingen, hogere analytische inspanning vereist, matige kosten voor aanvallers om te omzeilen. * **Voorbeelden:** Patronen gebaseerd op IP-ranges, correlaties tussen gebeurtenissen. #### 1.4.3 Gedragsindicatoren Deze indicatoren beschrijven acties, tactieken of reeksen van gebeurtenissen die wijzen op kwaadaardige activiteit. Ze richten zich op "hoe" iets gebeurt, niet "hoe het eruitziet". Deze komen vaak overeen met MITRE ATT&CK TTPs. * **Kenmerken:** Contextrijk en duurzaam over tijd, moeilijk voor aanvallers om te omzeilen (vereist verandering van methoden), vereist geavanceerde analyse (SIEM-correlatie, EDR-telemetrie), hoge kosten voor aanvallers om gedrag significant te veranderen. * **Voorbeelden:** Reeksen van mislukte loginpogingen gevolgd door een succesvolle login vanaf een ongebruikelijke locatie, snelle creatie van nieuwe gebruikersaccounts. ### 1.5 Fuzzy Hashing Fuzzy hashing-technieken, zoals ssdeep en TLSH, zijn waardevol voor het identificeren van vergelijkbare of gemodificeerde bestanden, in tegenstelling tot traditionele hashes die alleen exacte overeenkomsten detecteren. Dit is nuttig voor: * Identificeren van malwarevarianten. * Detecteren van geobfusceerde data. * Vinden van hergebruikte code of gelekte documenten. #### 1.5.1 ssdeep ssdeep implementeert Context Triggered Piecewise Hashing (CTPH). Het breekt bestanden in stukken op basis van inhoudspatronen en genereert een fuzzy hash-signatuur. Vergelijkingen produceren een similariteitsscore. * **Voorbeeld ssdeep hash:** `384:hD5l3Yh8E:oD5l3I` * `384`: De blokgrootte in bytes. * `hD5l3Yh8E:oD5l3I`: De fuzzy hash-string die de inhoud van het bestand codeert. * **Werking:** Bestand wordt opgedeeld in content-gedefinieerde blokken. Hash voor elk blok wordt gecombineerd tot een signatuur. Vergelijking gebruikt edit distance algoritmen. * **Beperkingen:** Gevoeligheid kan variëren met blokgrootte. #### 1.5.2 TLSH (Trend Locality Sensitive Hash) TLSH is een andere fuzzy hashing-algoritme dat gericht is op locality-sensitive hashing, wat betekent dat het similariteitspatronen over het bestand behoudt. Het is ontworpen voor schaalbaarheid en robuustheid tegen veranderingen. * **Werking:** Bestandinhoud wordt omgezet in drietallen van bytes. Er wordt een histogram van die patronen opgebouwd, genormaliseerd en gecodeerd als een 128-bit digest. Vergelijkingen gebruiken Hamming distance om similariteit te schatten. * **Voordelen:** Werkt ook als data is herordend of gedeeltelijk gewijzigd. Produceert een numerieke afstandsmaat. **Vergelijking en gebruik:** * **ssdeep:** Eenvoudig, breed ondersteund, goed voor kleinschalige of handmatige analyse. * **TLSH:** Geavanceerder, veerkrachtiger en schaalbaarder voor grote datasets. Het gebruik van beide voor multi-layered similariteitsdetectie in malware-hunting wordt aanbevolen. --- # Cyber kill chain en de piramide van pijn Dit deel introduceert de Cyber Kill Chain, een model dat de fasen van een cyberaanval beschrijft, en de Piramide van Pijn, die de effectiviteit van detectie-inspanningen relateert aan de inspanning die een aanvaller moet leveren. ### 2.1 Cyber kill chain De Cyber Kill Chain beschrijft de opeenvolgende fasen van een enkele cyberinfiltratie en biedt hiermee zeven mogelijkheden om een succesvolle compromittering te onderbreken. Het model is deterministisch en helpt bij het identificeren van kritieke momenten waarop verdedigers kunnen ingrijpen. #### 2.1.1 Fasen van de Cyber Kill Chain De zes fasen die een succesvolle infiltratie doorlopen zijn: 1. **Reconnaissance (Verkenning):** De aanvaller verzamelt informatie over het doelwit. 2. **Weaponization (Bewapening):** De aanvaller creëert een aanvalspakket, vaak een combinatie van een exploit en een backdoor. 3. **Delivery (Levering):** Het aanvalspakket wordt naar het doelwit gestuurd (bijvoorbeeld via e-mail, een website). 4. **Exploitation (Exploitatie):** De kwetsbaarheid wordt getriggerd om toegang te verkrijgen. 5. **Installation (Installatie):** De aanvaller installeert malware (bijvoorbeeld een backdoor) om de toegang te behouden. 6. **Actions on Objective (Acties op doel):** De aanvaller voert zijn uiteindelijke doel uit (bijvoorbeeld gegevens stelen, systemen saboteren). #### 2.1.2 Mogelijkheden voor actieve verdediging Binnen de Cyber Kill Chain zijn er zeven momenten waar verdedigers kunnen ingrijpen: 1. **Block (Blokkeren):** Voorkom dat de aanvalsvector het doelwit bereikt. 2. **Deflect (Afleiden):** Stuur de aanvaller weg van het werkelijke doel. 3. **Disrupt (Verstoren):** Onderbreek de aanvalsfasen. 4. **Degrade (Degraderen):** Verminder de effectiviteit van de aanval. 5. **Deceive (Misleiding):** Verwar de aanvaller met valse informatie of systemen. 6. **Contain (Beheersen):** Isoleer de getroffen systemen. 7. **Detect (Detecteren):** Identificeer de aanval. ### 2.2 De piramide van pijn De Piramide van Pijn, ontwikkeld door David Bianco, visualiseert de effectiviteit van detectie-inspanningen door de moeite te meten die een aanvaller moet leveren om detectie te omzeilen. Het model suggereert dat verdedigers zich moeten richten op de hogere niveaus van de piramide voor een hogere Return on Security Investment (ROSI) en lagere Return on Investment (ROI) voor de aanvaller. #### 2.2.1 Niveaus van de piramide van pijn De piramide is opgebouwd uit verschillende niveaus, van minst tot meest effectief voor detectie: * **Atomics (Atomische indicatoren):** Dit zijn eenvoudige, individuele observeerbare gebeurtenissen zoals IP-adressen, domeinnamen of bestandhashes. Deze zijn makkelijk te vervangen door de aanvaller en vereisen weinig analyse, maar zijn snel te implementeren voor verdedigers. * **Voorbeeld:** Een specifiek IP-adres dat wordt geblokkeerd. * **Computed indicators (Berekende indicatoren):** Dit zijn afgeleide of berekende patronen en logische expressies gebaseerd op atomische data. Ze zijn veerkrachtiger tegen kleine wijzigingen dan atomische indicatoren, maar vereisen meer analyse. * **Voorbeeld:** Een reguliere expressie die meerdere verdachte domeinen identificeert. * **Behavioral indicators (Gedragsindicatoren):** Deze indicatoren beschrijven de acties, tactieken of reeksen van gebeurtenissen die wijzen op kwaadaardige activiteit. Ze richten zich op "hoe" iets gebeurt in plaats van "wat" het is. Aanvallers kunnen hun gedrag niet gemakkelijk veranderen zonder hun methoden aan te passen, wat ze duur maakt om te omzeilen. Dit niveau vereist geavanceerde analyse, zoals correlatie in SIEM-systemen of EDR-telemetrie. * **Voorbeeld:** Een reeks mislukte loginpogingen gevolgd door een succesvolle login vanuit een ongebruikelijke locatie. #### 2.2.2 Belang van de piramide van pijn De reden waarom dit model belangrijk is: * **Historische focus:** De industrie heeft zich traditioneel gericht op de basis van de piramide (atomische indicatoren), wat leidt tot een lage ROSI voor verdedigers. * **Aanvallers kunnen snel omzeilen:** Aanvallers kunnen eenvoudig atomische indicatoren vervangen, waardoor detectiemechanismen snel achterhaald raken. * **Focus op hogere niveaus:** Door te focussen op de hogere niveaus (berekende en gedragsindicatoren), dwingen verdedigers aanvallers om hun gedrag of methoden significant te veranderen, wat duurder en complexer is voor de aanvaller. * **Gedragsgerichte detectie:** Dit model bevordert detectie gebaseerd op het gedrag van de aanvaller in plaats van op specifieke, makkelijk te wijzigen artefacten. > **Tip:** De Piramide van Pijn is een krachtig concept om de effectiviteit van je detectiestrategie te beoordelen. Door te investeren in detectie van gedrag, verhoog je de kosten en complexiteit voor aanvallers aanzienlijk. ### 2.3 Vergelijking van indicatoren van compromittering (IoC's) Het is nuttig om de verschillende soorten IoC's te begrijpen om hun sterktes en zwaktes in detectie te kennen. #### 2.3.1 Atomische indicatoren * **Kenmerken:** Simpel en snel te implementeren (bloklijsten, detectieregels). Lage analyse-vereisten. Hoge volatiliteit (makkelijk te vervangen door aanvallers). Lage kosten voor de aanvaller om te vervangen. * **Voorbeelden:** IP-adressen, domeinnamen, bestandshashes (zoals MD5, SHA-256). #### 2.3.2 Berekende indicatoren * **Kenmerken:** Patronen (regex, heuristieken, algoritmen). Veerkrachtiger tegen kleine wijzigingen door aanvallers. Hogere analytische inspanning om te ontwikkelen. Gemiddelde kosten voor de aanvaller om te omzeilen. * **Voorbeelden:** Afgeleid van combinaties van atomische data, zoals patronen in logbestanden of netwerkverkeer. #### 2.3.3 Gedragsindicatoren * **Kenmerken:** Contextrijk en duurzaam over tijd. Moeilijk voor aanvallers om te omzeilen (vereist verandering van methoden). Vereist geavanceerde analyse (SIEM correlatie, EDR telemetrie). Hoge kosten voor de aanvaller om gedrag significant te wijzigen. * **Voorbeelden:** Beschrijven de methoden en activiteitsequenties van de aanvaller, vaak in lijn met MITRE ATT&CK TTP's. #### 2.3.4 Fuzzy hashing (ssdeep, TLSH) Fuzzy hashing-algoritmen zoals ssdeep en TLSH zijn speciaal ontworpen om vergelijkbare, gemodificeerde bestanden te detecteren, in tegenstelling tot traditionele hashes die exacte overeenkomsten vereisen. * **ssdeep:** * Implementeert Context Triggered Piecewise Hashing (CTPH). * Deelt bestanden op in blokken op basis van inhoudspatronen. * Genereert een fuzzy hash en vergelijkt hashes om een similariteitsscore (0-100) te produceren. * Effectief voor het detecteren van kleine bestandsveranderingen, hergebruikte code of varianten. * **Voorbeeld hash:** `384:hD5l3Yh8E:oD5l3I` (waarbij `384` de blokgrootte is). * **TLSH (Trend Locality Sensitive Hash):** * Maakt gebruik van locality-sensitive hashing om similariteitspatronen te behouden. * Ontworpen voor schaalbaarheid en robuustheid tegen veranderingen. * Vergelijkt digests met behulp van Hamming-afstand voor similariteit. * Werkt ook bij herordende of gedeeltelijk gewijzigde data. * **Voorbeeld hash:** `T1BDF73361F8C44637E5E71175687C6FB55A2EBC21032080FB6788B5EE0CB17D12E366EA`. > **Tip:** Fuzzy hashing is cruciaal voor malware-analyse, forensisch onderzoek en threat intelligence, omdat het helpt bij het correleren van bestandsvarianten en het ontdekken van verbindingen tussen verschillende samples, zelfs als deze licht zijn aangepast. ssdeep is goed voor kleinschalige analyse, terwijl TLSH uitblinkt in grootschalige datasets. --- # Soorten indicatoren van compromis (IoC's) en fuzzy hashing Dit onderwerp behandelt de verschillende categorieën van indicatoren van compromis (IoC's) en introduceert fuzzy hashing-technieken voor het detecteren van gelijkaardige of gewijzigde bestanden. ### 3.1 Soorten indicatoren van compromis (IoC's) Indicatoren van compromis (IoC's) zijn waardevolle analytische hulpmiddelen die worden gebruikt om kwaadaardige activiteit te identificeren en te analyseren. Ze kunnen worden ingedeeld in drie hoofdcategorieën: atomische, berekende en gedragsindicatoren. #### 3.1.1 Atomische indicatoren Atomische indicatoren zijn de meest basale, ondeelbare observaties die direct kunnen wijzen op kwaadaardige activiteit. Ze staan op zichzelf en vereisen geen verdere context of relaties om betekenis te hebben. * **Kenmerken:** * Simpel en snel te implementeren (bijvoorbeeld via blocklists of detectieregels). * Vereisen weinig analyse. * Hoge volatiliteit: aanvallers kunnen eenvoudig IP-adressen, domeinen of hashes wijzigen. * Lage kosten voor de aanvaller om te vervangen. * **Voorbeelden:** * IP-adressen * Domeinnamen * Bestandshashes (zoals MD5, SHA-256) > **Tip:** Atomische indicatoren zijn uitstekend voor snelle detectie en blokkering, maar hun hoge volatiliteit vereist constante updates en een breder scala aan detectiemethoden. #### 3.1.2 Berekende indicatoren Berekende indicatoren worden afgeleid of berekend uit bestaande data. Het zijn geen op zichzelf staande datapunten, maar patronen, logische uitdrukkingen of relaties tussen verschillende observaties. * **Kenmerken:** * Gebaseerd op patronen (bijvoorbeeld reguliere expressies, heuristieken of algoritmen). * Meer veerkrachtig tegen kleine wijzigingen door aanvallers. * Vereisen meer analytische inspanning om te ontwikkelen. * Matige kosten voor de aanvaller om te omzeilen. * **Voorbeelden:** * Reguliere expressies die specifieke stringpatronen in logbestanden detecteren. * Regels die een waarschuwing genereren als een bepaald IP-adres contact maakt met meerdere interne systemen binnen een korte tijd. * Patronen die afwijkingen in netwerkverkeer identificeren. > **Tip:** Berekende indicatoren bieden een hogere mate van detectie dan atomische indicatoren door verbanden te leggen en patronen te herkennen die anders onopgemerkt zouden blijven. #### 3.1.3 Gedragsindicatoren Gedragsindicatoren beschrijven de acties, tactieken of reeksen gebeurtenissen die wijzen op kwaadaardige activiteit. Ze richten zich op "hoe" iets zich gedraagt, in plaats van "hoe het eruitziet". Deze indicatoren komen vaak overeen met de Tactieken, Technieken en Procedures (TTP's) van MITRE ATT&CK. * **Kenmerken:** * Contextrijk en duurzaam over de tijd. * Moeilijk voor aanvallers om te ontwijken, omdat dit vereist dat ze hun methoden veranderen. * Vereisen geavanceerde analyse (bijvoorbeeld SIEM-correlatie, EDR-telemetrie). * Hoge kosten voor de aanvaller om het gedrag significant te wijzigen. * **Voorbeelden:** * Een gebruiker die plotseling grote hoeveelheden gevoelige gegevens downloadt en deze naar een extern IP-adres probeert te verzenden. * Een proces dat op ongebruikelijke wijze verbinding maakt met het internet of systeemwijzigingen aanbrengt. * Een reeks mislukte inlogpogingen gevolgd door een succesvolle inlogpoging vanaf een ongebruikelijke locatie. > **Tip:** Gedragsindicatoren zijn het meest resistent tegen pogingen van aanvallers om detectie te ontwijken, omdat ze zich richten op de fundamentele methoden die aanvallers gebruiken. ### 3.2 Fuzzy hashing Traditionele hashing-algoritmen, zoals MD5 en SHA-256, zijn ontworpen om te detecteren of twee bestanden *exact* identiek zijn. Fuzzy hashing-technieken, daarentegen, zijn bedoeld om bestanden te detecteren die *vergelijkbaar* of *licht gewijzigd* zijn. Dit is van cruciaal belang in situaties zoals malware-analyse, waar aanvallers vaak kleine aanpassingen doen om detectie te omzeilen, of in digitale forensisch onderzoek waar bestanden mogelijk gefragmenteerd of corrupt zijn. Het kernidee achter fuzzy hashing is: "Hoe vergelijkbaar zijn deze bestanden?", in plaats van "Zijn ze identiek?". #### 3.2.1 ssdeep `ssdeep` is een populaire implementatie van Context Triggered Piecewise Hashing (CTPH). Het breekt bestanden op in stukken (chunks) op basis van hun inhoud, in plaats van op een vaste grootte. Voor elk van deze stukken wordt een fuzzy hash-signatuur gegenereerd. Wanneer `ssdeep` hashes worden vergeleken, resulteert dit in een similarity score tussen 0 en 100, waarbij een hogere score duidt op grotere gelijkenis. * **Hoe `ssdeep` werkt:** 1. Het bestand wordt opgedeeld in inhoud-gedefinieerde blokken. 2. Voor elk blok wordt een hash berekend en deze hashes worden gecombineerd tot een signatuurstring. 3. Vergelijkingen maken gebruik van algoritmen voor edit distance om de mate van overlap en dus gelijkenis te bepalen. * **Kenmerken:** * Genereert een fuzzy hash-signatuur voor elk bestand. * Vergelijkt hashes om een similarity score te produceren (0-100). * De blokgrootte (aangegeven in de hash) beïnvloedt de gevoeligheid: een kleinere blokgrootte is gevoeliger voor kleine wijzigingen, wat ideaal is voor kleinere bestanden, terwijl een grotere blokgrootte efficiënter is voor grotere bestanden. * **Gebruiksscenario's:** * Detecteren van kleine bestandswijzigingen. * Opsporen van hergebruikte code of gelekte documenten. * Identificeren van varianten van malware. > **Voorbeeld `ssdeep` hash:** > `1572864:YV/RJI5YQGOJ4xZW/c5c3aDGCZvcYCcZCvE5n28H8:kZ6YOueOcKDGCZ0YCgCvEUt` > In deze notatie: > * `1572864` is de blokgrootte in bytes. > * De rest van de string is de gecodeerde fuzzy hash. #### 3.2.2 TLSH TLSH (Trend Locality Sensitive Hash) is een ander fuzzy hashing-algoritme dat is ontworpen voor schaalbaarheid en veerkracht tegen veranderingen. Het maakt gebruik van locality-sensitive hashing om gelijkenispatronen over het hele bestand te behouden. * **Hoe TLSH werkt:** 1. Het bestand wordt omgezet in "triplets" van bytes. 2. Er wordt een histogram opgebouwd van deze patronen. 3. Dit histogram wordt genormaliseerd en gecodeerd tot een 128-bit digest. 4. De digests worden vergeleken met behulp van de Hamming distance om de gelijkenis te schatten. Een lagere afstand betekent meer gelijkenis. * **Kenmerken:** * Ontwikkeld door Trend Micro voor snelle en nauwkeurige gelijkenisvergelijkingen. * Werkt zelfs als gegevens worden geordend of gedeeltelijk veranderd. * Produceert een numerieke afstandsmaat (kleiner = meer vergelijkbaar). * **Voordelen ten opzichte van `ssdeep`:** * Betere veerkracht tegen gegevensherordening en gedeeltelijke veranderingen. * Schalingsvoordelen voor grote datasets. * **Gebruiksscenario's:** * Malware-analyse: detecteren van gehercompileerde of geobfusceerde varianten. * Digitale forensische analyse: vergelijken van bestandsfragmenten. * Threat intelligence: correleren van samples over verschillende datasets. * Cloudbeveiliging: identificeren van gedupliceerde of gewijzigde binaire bestanden op schaal. > **Voorbeeld TLSH hash:** > `T1BDF73361F8C44637E5E71175687C6FB55A2EBC21032080FB6788B5EE0CB17D12E366EA` > **Tip:** Gebruik `ssdeep` voor kleinschalige of handmatige analyses en `TLSH` voor grotere, meer geavanceerde analyses. Het combineren van beide technieken kan een gelaagde aanpak bieden voor het opsporen van gelijkenissen. **Samenvatting van fuzzy hashes:** * `ssdeep`: Detecteert gelijkaardige bestanden, vooral nuttig bij kleine wijzigingen. * `TLSH`: Detecteert vergelijkbare inhoud, zelfs wanneer deze geordend of gewijzigd is, en is schaalbaarder. --- ## Veelgemaakte fouten om te vermijden - Bestudeer alle onderwerpen grondig voor examens - Let op formules en belangrijke definities - Oefen met de voorbeelden in elke sectie - Memoriseer niet zonder de onderliggende concepten te begrijpen

| Term | Definition | |------|------------| | Cyberdreigingsinformatie (CTI) | Informatie over potentiële of actieve aanvallen op een organisatie, verkregen door middel van onderzoek en analyse, om inzicht te geven in dreigingsactoren, hun motieven en methoden. | | Diamantmodel | Een analytisch raamwerk voor cyberdreigingsinformatie dat vier componenten identificeert: tegenstander, capaciteit, infrastructuur en slachtoffer, om de aard en context van een aanval te begrijpen. | | Tegenstander | De actor of entiteit die verantwoordelijk is voor de aanvalsactiviteit, inclusief hun intenties, motivaties en mogelijke identiteiten. | | Capaciteit | De vaardigheden, tools en technieken die door een tegenstander worden gebruikt om een aanval uit te voeren, vaak geassocieerd met Tactics, Techniques, and Procedures (TTPs). | | Infrastructuur | De middelen en systemen die een tegenstander gebruikt om hun aanvallen te faciliteren, zoals servers, domeinnamen en netwerkapparatuur, die kan worden gebruikt om hun identiteit te verhullen. | | Slachtoffer | De entiteit of het doelwit dat wordt getroffen door de aanvalsactiviteit, inclusief de personen of systemen die de tegenstander probeert te bereiken. | | Sociaal-politieke component | De externe factoren, zoals sociale, politieke of economische motieven, die het gedrag en de beslissingen van een tegenstander beïnvloeden en de context van de aanval verrijken. | | Technologische component | De technische aspecten van een aanval, inclusief de gebruikte tools, systemen en netwerken, die helpen bij het in kaart brengen van het technische pad van een intrusie. | | Cyber kill chain | Een model dat de opeenvolgende fasen van een cyberaanval beschrijft, van de initiële penetratie tot het bereiken van de doelstellingen van de aanvaller, en mogelijkheden biedt voor onderbreking. | | Piramide van pijn | Een model dat de inspanning vertegenwoordigt die een aanvaller moet leveren om verschillende soorten indicatoren van compromis te omzeilen, waarbij de nadruk ligt op de effectiviteit van verdedigingsstrategieën op hogere niveaus. | | Indicatoren van compromis (IoC's) | Artefacten of patronen die wijzen op kwaadaardige activiteit in een computernetwerk of systeem, variërend van eenvoudige observaties tot complexe gedragspatronen. | | Atomische indicatoren | Enkele, ondeelbare observaties die direct op kwaadaardige activiteit kunnen duiden, zoals specifieke IP-adressen of bestands-hashes. | | Berekende indicatoren | Indicatoren die zijn afgeleid of berekend uit gegevens, vaak op basis van patronen of logische expressies, die weerbaarder zijn tegen kleine wijzigingen door aanvallers. | | Gedragsindicatoren | Indicatoren die acties, tactieken of sequenties van gebeurtenissen beschrijven die wijzen op kwaadaardige activiteit, hoe iets zich gedraagt in plaats van hoe het eruitziet. | | Fuzzy Hashing | Een methode om vergelijkbare bestanden te detecteren, zelfs als ze kleine wijzigingen of obfuscatie bevatten, in tegenstelling tot traditionele hashes die exacte overeenkomsten vereisen. | | ssdeep | Een fuzzy hashing-algoritme dat context-gedefinieerde stuksgewijze hashing implementeert om een gelijkenisscore tussen bestanden te produceren, nuttig voor het detecteren van malwarevarianten. | | TLSH | Een locality-sensitive hashing-algoritme dat is ontworpen voor schaalbaarheid en robuustheid tegen veranderingen, geschikt voor het vergelijken van bestandsfragmenten en het detecteren van inhoudelijke gelijkenis, zelfs bij herordening of gedeeltelijke wijziging. |