CYBER THREAT INTELLIGENCE Fundamentals 6 – CTI - HVA - CYBERSECURITYAD

CYBER THREAT INTELLIGENCE

Naam : Vak : Docent : Date : Note :

Peter Oldenburger Fundamentals 6 – CTI Vijay Sewradj14 Januari 2025 Legendary

1

INDEX

Week 1: Identify ......................................................................................................................5

Geïdentificeerde assets .......................................................................................................5

Opdracht 2: Definiëren van Adversary Types .........................................................................6

1. Organized Crime Groups ......................................................................................................6 2. Malicious Insiders ................................................................................................................6 3. Competitive Organizations....................................................................................................7

Conclusie ............................................................................................................................7 week2: Forensics 1 ..................................................................................................................8 Opdracht 1 ...................................................................................................................................8 Opdracht 2 .................................................................................................................................10 Opdracht 3 Documentatie..............................................................................................................15 Week 3: Forensic 2 (USB+Politie)............................................................................................ 23

Opdracht 1: forensiche USB-Drive ...................................................................................... 23

Professional Forensische USB-Drive met Hash-Verificatie.............................................................23 1. Inleiding ..........................................................................................................................25 2. Benodigdheden................................................................................................................25 Toelichting: ............................................................................................................................31 Conclusie ..............................................................................................................................33 StapG:TestenvandeTools Testen van Kopieën (n_ prefix)..............................................................34 Hash Controle ........................................................................................................................34

10. Validatie van Tools .........................................................................................................34

11. Resultaatcontrole .........................................................................................................34

12. Conclusie.....................................................................................................................35

13. Klaar voor Gebruiksdoel ...................................................................................................35

Opdracht 3: Politie ................................................................................................................ 36

Forensisch Rapport: boomer-win2003-2006-03-17.img ............................................................... 37

Reikwijdte van het Onderzoek........................................................................................................37

Bevindingen ..............................................................................................................................38 In kaart gebrachte kwetsbaarheden ...........................................................................................38

Analyse van Kwetsbaarheidscategorieën ........................................................................................39 Risicocategorisatie ....................................................................................................................40 2

Aanbevelingen...........................................................................................................................41 Conclusie .................................................................................................................................42 Referenties................................................................................................................................42

Forensisch Rapport xp-laptop-2005-07-04-1430.img ............................................................... 43

Scope van het Onderzoek ..........................................................................................................43 Analyse van Bevindingen ...........................................................................................................44 Risicoanalyse (ISO 27005) .........................................................................................................45 Aanbevelingen (NIST 800-61 & PTES) ..........................................................................................46 Conclusie .................................................................................................................................46 Referenties ...............................................................................................................................47

Extra: Police Image Analyzer.................................................................................................. 48

Inleiding............................................................................................................................. 49

1. boomer-win2003-2006-03-17.img ....................................................................................49 2. xp-laptop-2005-07-04-1430.img.......................................................................................49

Analyse: Ondekte Eerste Graad Kwetsbaarheden......................................................................50 Analyse: Ondekte Tweede Graad Gems................................................................................... 57 Mogelijke Kwetsbaarheden .........................................................................................................58 Aanbevelingen...........................................................................................................................61

QUIZ ..................................................................................................................................... 62 ......................................................................................................................................... 62 Week5:File-typeGTriage .......................................................................................................... 63 LAB inrichting ...................................................................................................................... 63 Hidden files ........................................................................................................................ 64

Defender ontmantelen ........................................................................................................ 64

Verificatie van defender ontmanteling........................................................................................65 Triage.....................................................................................................................................65 Handleiding: Triage Analyse met TrID...........................................................................................66

Opdracht 6 - Triage 2 ............................................................................................................. 71

RapportoverSysInternalsSuite ......................................................................................................71 Rapport over de LNK Parser ...........................................................................................................76 3

Week 6: Opdracht 1: Installatie GHIDRA .................................................................................... 79

Installatierapport: GHIDRA op Windows................................................................................. 79

Installatieproces ....................................................................................................................79 Installatie van JDK....................................................................................................................79 Configuratie van GHIDRA...........................................................................................................80 Run GHIDRA ............................................................................................................................81 Conclusie ..............................................................................................................................82

Opdracht2:AnalyseRansomware .............................................................................................. 83

Analyse van Legion Ransomware ............................................................................................. 84

Technische Analyse op basis van NIST.........................................................................................87 Incidentdetectie: ....................................................................................................................87 Containment: ......................................................................................................................... 87 Eradicatie en Herstel: ...............................................................................................................87 Gedetailleerde Bevindingen .....................................................................................................87 Conclusie ..............................................................................................................................89

Analyse van 4helloworlds.......................................................................................................... 90

Inleiding ................................................................................................................................. 90 Analyseproces volgens PTES......................................................................................................91 Voorbereiding.........................................................................................................................91 Identificatie van de Samples .....................................................................................................91 Analyse van Functies.................................................................................................................91 Classificatie volgens MITRE ATTGCK...........................................................................................92 Technische Analyse op basis van NIST.........................................................................................92 Gedetailleerde Bevindingen .....................................................................................................93 Aanbevelingen .......................................................................................................................94 Conclusie ..............................................................................................................................94

Conclusie Lerend Vermogen............................................................................................... 96

Inleiding....................................................................................................................................96 Uitgevoerde Taken.....................................................................................................................96 Wat zou ik anders doen?............................................................................................................97 Conclusie Reflectie Verslag .......................................................................................................97

Nawoord...............................................................................................................................98 Bronnenlijst......................................................................................................................... 99

4

Week 1: Identify Opdracht 1: Definiëren van Assets

In deze opdracht hebben we de belangrijkste assets van onze organisatie geïdentificeerd die een potentieel doelwit kunnen zijn voor aanvallers. Dit helpt om te begrijpen welke gegevens en systemen moeten worden beschermd en tegen welke actoren en technieken we ons moeten verdedigen.

Ik heb mijn OTJ bedrijf genomen op aanraden van VJ. Bedrijf: Beaz Solutions

Geïdentificeerde assets 1. Klantgegevens

Informatie zoals vrachtinformatie en contactgegevens die waardevol zijn voor aanvallers.

2. Kritieke infrastructuurSpoor- en laadsystemen voor cement die kunnen worden misbruikt om operaties te verstoren.

3. InloggegevensToegangsgegevens van personeel en beheerders die kunnen worden gebruikt voor ongeautoriseerde toegang.

4. ContractinformatieVertrouwelijke details over leveranciers en klanten die een concurrentievoordeel kunnen bieden.

5

Opdracht 2: Definiëren van Adversary Types

In deze opdracht hebben we potentiële dreigingsactoren herkent en hun doelen, vaardigheids niveaus, waarschijnlijkheid van aanval en impact. Dit geeft een overzicht van de belangrijkste tegenstanders die Beaz Solutions kunnen bedreigen.

Adversary Groups

1. Organized Crime Groups Voorbeeldgroep: ContiDoelen:

1. Financiëlegegevensstelenvoorfinancieelgewin. 2. Losgeldeisenviaransomware.

Skill level: Hoog (toegang tot geavanceerde ransomware-tools en technieken). Waarschijnlijkheid: Hoog (gericht op organisaties met waardevolle financiële gegevens). Impact: Zeer hoog (kan operaties verstoren en financiële schade veroorzaken).

2. Malicious Insiders Voorbeeldgroep: Edward Snowden Doelen:

1. Exfiltratievangevoeligebedrijfsinformatie. 2. Sabotagevaninterneprocessen.

Skill level: Laag tot Matig (afhankelijk van interne toegang).Waarschijnlijkheid: Matig (hangt af van interne beveiligingsmaatregelen en personeelstraining). Impact: Hoog (kan gevoelige informatie lekken of operationele schade veroorzaken).

6

3. Competitive Organizations Voorbeeldgroep: APT33Doelen:

1. Stelenvanintellectueeleigendomofstrategischeinformatie.

2. Disruptievankritiekeinfrastructuurvoorconcurrentievoordeel.Skill level: Matig tot Hoog (staatsondersteunde middelen en vaardigheden). Impact: Hoog (strategische schade en concurrentieverlies).

Conclusie

Deze analyse helpt bij het identificeren van belangrijke dreigingsactoren die onze organisatie kunnen aanvallen. Door te begrijpen welke assets aantrekkelijk zijn en welke actoren waarschijnlijk aanvallen, kunnen we gerichte verdedigingsmaatregelen implementeren.

Dit legt een sterke basis voor het beveiligen van klantgegevens, kritieke infrastructuur, inloggegevens en contractinformatie tegen potentiële dreigingen.

Peter Oldenburger

CyberSecurityAD.com

7

week 2: Forensics 1

Opdracht 1

1. Zorgdatjeinjouwwindowsmachinesurftnaardevolgendewebsites: www.marktplaats.nl https://www.huisvoorklokkenluiders.nl/contact

8

2. Maakeentekst-bestandaanmetdevolgendetekst: "FreeFrankenstein!!AanvalsplanopVECNAvoorhetbevrijdenvanFrankenstein." Sla het bestand op als "fff.txt"

Delete het bestand die je in stap 2 hebt gemaakt.

9

Opdracht 2

Hier zijn de files gemaakt voor het aanmaken van een image voor autopsy

10

Hier is de hash te vinden van de file.

certutil -hashfile Naam_FOR.e01 MD5

11

Ø HierkunnenwehemanalyserenmetAutopsy..

12

Ø Bekijk gewiste documenten

Ø fff.txtisgevonden!

13

Ø Bezochte HTTP sites

Marktplaats.nl is gevonden!

14

Opdracht 3 Documentatie

Download alle benodigdheden:

Downloads Openje browser:Start je internetbrowser (bijvoorbeeld Chrome, Edge of Firefox).Ga naar de Autopsy website:Typ in de adresbalk: https://www.autopsy.com/download/ en druk op Enter.

Kies de juiste versie:Scroll naar beneden en klik op de downloadlink voor de Windows-versie (een .msi-

bestand).

Start de download:

Klik op de downloadknop en wacht tot het bestand is gedownload.

Installeer Autopsy:

Open het gedownloade bestand door erop te klikken.Volg de installatie-instructies (klik steeds op Next en daarna op Finish).

15

Hoe download je FTK Imager? Openje browser:Start je internetbrowser (bijvoorbeeld Chrome, Edge of Firefox).

Ga naar de FTK Imager website:

Typ in de adresbalk: https://www.exterro.com/digital-forensics-software/ftk-imager en druk op Enter.

Submit:

Hiernadownloadhijhemautomatischenkanjedestappendoorlopendieerstaan,je kan alles gewoon doorklikken.

Start de download:

Klik op de downloadknop en wacht tot het bestand is gedownload.

Installeer FTK Imager:

Open het gedownloade bestand door erop te klikken.Volg de installatie-instructies (klik steeds op Next en daarna op Finish).

16

Opdracht 1: Acties uitvoeren1. Stap1:Bezoekdewebsites

o Open een browser (zoals Microsoft Edge of Chrome) en bezoek de volgende websites:

§ www.marktplaats.nl

§ https://www.huisvoorklokkenluiders.nl/contact

2. Stap2:Tekstbestandaanmaken o Open Kladblok.

o Typ de tekst:Free Frankenstein!! Aanvalsplan op VECNA voor het bevrijden van Frankenstein.

17

Stap 3: Bestand verwijderen

• Navigeer naar de map Documents.

• Klik met de rechtermuisknop op het bestand fff.txt en kies Delete om het te verwijderen.

Image maken en analyseren

1. Stap1:StartFTKImagerOpen FTK Imager via het startmenu.

2. Stap2:Maakeenimage

1. KlikopFile>CreateDiskImage.

2. KiesPhysicalDriveenselecteerdejuisteschijf(bijvoorbeeld PhysicalDrive0 voor de hoofddrive).

3. KlikopNext.

18

4. KiesRAW(dd)alsbestandstypeensteldebestemminginopeenaparte schijf (bijvoorbeeld F: Nieuw Volume).

19

certutil -hashfile Naam_FULL.dd MD5

Stap 3: Voeg het image toe in Autopsy

o Open Autopsy en maak een nieuwe case aan.

o Voeg het image toe door Add Data Source > Disk Image or VM File te selecteren.

o Blader naar het eerste deel van het image (bijvoorbeeld Naam_FULL.dd) en voeg deze toe.

Kies hier en klik op next, vervolgens voeg je .dd file erin.

20

Stap 4: Analyseren van de datao Ga naar File Views > Deleted Files en controleer of je het verwijderde

bestand fff.txt kunt vinden. (Zie figuur 4)o Controleer in Data Artifacts of er sporen van de bezochte websites te vinden

zijn. (Zie figuur 5)

Verwijderde fff.txt gevonden

Bezochte Sites

21

Conclusie

Tijdens deze opdracht is een forensisch onderzoek uitgevoerd op een virtuele machine. Het doel was om digitale sporen te achterhalen, waaronder verwijderde bestanden en webactiviteiten.

Dit onderzoek bestond uit drie onderdelen:

1. Bezoekenvanwebsitesencreëren/verwijderenvanbestanden:Er is een tekstbestand genaamd fff.txt aangemaakt en verwijderd. Daarnaast zijn de websites marktplaats.nl en huisvoorklokkenluiders.nl bezocht.

2. AanmakenvaneenschijfimagemetFTKImager:Met FTK Imager is een kopie van de schijf gemaakt. Na het aanmaken van het image is een hash gegenereerd en gecontroleerd om de integriteit van de kopie te waarborgen. De gecontroleerde hashes kwamen overeen, wat aantoont dat de kopie betrouwbaar en ongewijzigd is.

3. AnalysevandeschijfimagemetAutopsy:In Autopsy is de schijfimage geladen en geanalyseerd. Tijdens de analyse is het verwijderde bestand fff.txt succesvol teruggevonden, wat aantoont dat verwijderde bestanden met deze tools hersteld kunnen word

22

Week 3: Forensic 2 (USB+Politie)

Opdracht 1: forensiche USB-Drive

Professional Forensische USB-Drive met Hash-Verificatie

Week: 3 Versie: 1.0 Auteur: Peter Oldenburger CSAD Datum: 17 December 2024

23

1. Inleiding

• •

2. • 3. •

• 4. •

• • •

5.

• •

6. • 7.

• • •

8.

• • •

9.

• •

Doel en uitleg van de handleiding. Wat is een forensische USB-Drive?

Benodigdheden

Vereistenzoalshardware,softwareeninternetverbinding.

Voorbereiding van de USB-Drive

Formatteren van de USB-drive naar NTFS. Aanmaken van de basismapstructuur.

InstallerenenKopiërenvanTools

Installeren van Scoop en benodigde buckets. Tools installeren met Scoop.Handmatig downloaden van tools.Kopiëren van tools naar de USB-drive.

AutomatiserenvanConfiguratie

Aanmaken van .local bestanden.Kopiëren en hernoemen van tools naar n_filename.exe.

StructuurvandeUSB-Drive

Verwachte bestandsstructuur na installatie en configuratie.

HashesGenererenenVerifiëren

Genereren van initiële SHA256-hashes (file_hashes.txt). Nieuwe hashes genereren voor verificatie.Vergelijken van hashbestanden voor integriteitscontrole.

TestenvandeTools

Validatie van tools met testcommando’s. Controle van uitvoer en foutmeldingen. Genereren en verifiëren van hashbestanden.

Resultaatcontrole

Stappen om correcte werking van tools en bestanden te bevestigen. Openen van gegenereerde bestanden voor validatie.

10. Conclusie

• Samenvatting van configuratie en testen.

• Readyness C Inzetbaarheid van de forensische USB-Drive.

11. Bijlagen

• Scripts en commando’s gebruikt in de handleiding.

• Screenshots van stappen zoals configuratie, testen, en validatie.

24

1. InleidingDeze handleiding beschrijft hoe je een forensische USB-drive kunt maken voor incident

response en digitale forensische onderzoeken.

De tools op deze drive helpen bij het verzamelen van informatie, netwerkdiagnose, bestandsintegriteit, en procesmonitoring.

2. Benodigdheden

• Een USB-drive met minimaal 8 GB opslagruimte.

• Een Windows-machine met PowerShell en Admin-beheerdersrechten.

• Een internetverbinding.

25

3. Voorbereiding van de USB-Drive1. FormatteerdeUSB-drivenaarNTFS:

• Steek de USB-drive in je computer.

• Open Verkenner → Rechterklik op de USB-drive → Formatteren.

• Kies NTFS als bestandssysteem.

  2. MaakdemapstructuuraanopdeUSB-drive: Open PowerShell en voer het volgende uit:

  4. Installeren en Kopiëren van Tools Stap 1: Scoop Installeren

  Scoop is een package manager voor Windows. Installeer Scoop door PowerShell als Administrator te openen:

$cdD:\

$ mkdir ForensicTools

$ cd ForensicTools

$ Set-ExecutionPolicy RemoteSigned -Scope CurrentUser

$ iwr -useb get.scoop.sh | iex

26

Stap 2: Buckets Toevoegen

Voeg de benodigde Scoop buckets toe:

Stap 3: Tools Installeren met Scoop

Installeer de tools:$ scoop install netcat autoruns procdump procmon psfile pslist psloggedon coreutils busybox

Stap 4: Handmatig Downloaden van Tools 1. DumpIt

• Download van Comae Technologies. 2. PortǪry

• Download van Microsoft PortǪry.3. Hashdeep(md5deep/sha256deep)

• Download van Hashdeep GitHub. Stap 5: Kopieer Tools naar USB-Drive

Gebruik PowerShell om tools naar je USB-drive te kopiëren:

$ copy ~\scoop\apps\netcat\current\nc.exe D:\ForensicTools\netcat.exe$ copy ~\scoop\apps\autoruns\current\Autoruns64.exe D:\ForensicTools\autoruns.exe$ copy ~\scoop\apps\procdump\current\procdump.exe D:\ForensicTools\procdump.exe $ copy ~\scoop\apps\procmon\current\Procmon64.exe D:\ForensicTools\procmon.exe $ copy "C:\Path\To\hashdeep\md5deep64.exe" D:\ForensicTools\md5deep64.exeetc.

$ scoop bucket add extras

$ scoop bucket add sysinternals

27

Stap 6: Maak .local bestanden voor alle toolsNavigeer naar de ForensicTools map op de USB-drive en voer onderstaande opdrachten uit:

# Maak .local bestanden voor alle tools

Get-ChildItem -Filter *.exe | ForEach-Object { $localFile = "$($_.Name).local"New-Item -Path $localFile -ItemType File -Force}

Wat gebeurt er?

• Dit script maakt automatisch .local bestanden voor alle .exe bestanden in de map.

• Resultaat: Voor elke tool (zoals netcat.exe, md5deep64.exe) wordt er een .local aangemaakt.

28

Stap 7: Kopieer tools naar n_filename.exe

Om duplicaten van de tools te maken met de naam n_filename.exe:

# Maak duplicaten van tools met een prefix "n_"

Get-ChildItem -Filter *.exe | ForEach-Object {$newName = "n_$($_.Name)"Copy-Item -Path $_.FullName -Destination $newName -Force}

29

Wat gebeurt er?

• Elke .exe tool in de map wordt gekopieerd met een nieuwe naam: n_filename.exe.

Bijvoorbeeld:

• netcat.exe → n_netcat.exe

• md5deep64.exe → n_md5deep64.exeVerwachte Bestandsstructuur van de Forensische USB-Drive

  Na het genereren van hashes, het kopiëren van tools en het maken van .local bestanden, ziet de complete structuur van je Forensische USB-Drive eruit als volgt:

  Hoofdmappen en Bestanden

  D:\ForensicTools\│├── file_hashes.txt├── file_hashes_new.txt ├── TrustedTools.MD5 │

  ├── n_autorun64.exe ├── n_Autoruns.exe ├── n_Autoruns64.exe ├── n_Autoruns64a.exe ├── n_autorunsc.exe ├── n_autorunsc64.exe ├── n_cmd.exe

  ├── n_hashdeep.exe├── n_hashdeep64.exe ├── n_md5deep.exe├── n_md5deep64.exe ├── n_md5sum.exe├── n_netcat.exe├── n_NETSTAT.EXE├── n_nbtstat.exe├── n_nc.exe├── n_procmon.exe├── n_procdump.exe ├── n_psfile.exe├── n_pslist.exe├── n_psloggedon.exe ├── n_route.exe├── n_sha1deep.exe├── n_sha1deep64.exe ├── n_sha256deep.exe ├── n_sha256deep64.exe ├── n_tigerdeep.exe├── n_tigerdeep64.exe

30

├── n_whirlpooldeep.exe ├── n_whirlpooldeep64.exe ├── n_wtee.exe│├── autorun64.exe.local ├── Autoruns.exe.local ├── nbtstat.exe.local├── md5deep64.exe.local ├── procmon.exe.local ├── psfile.exe.local├── NETSTAT.EXE.local ├── sha256deep64.exe.local ├── route.exe.local├── wtee.exe.local│├── md5deep-4.4\

• │  ├──hashdeep.exe

• │  ├──hashdeep64.exe

• │  ├──md5deep.exe

• │  ├──md5deep64.exe

• │  ├──sha1deep64.exe

• │  ├──sha256deep64.exe

• │  └── tigerdeep64.exe │├── netcat-1.11\

• │  ├──nc.exe

• │  ├──nc64.exe

• │  ├──netcat.c

• │  └──license.txt │└── PortǪryUI\

  ├── PortǪry.exe ├── portqueryui.exe └── PortǪueryUI.doc

  Toelichting:

  • “n_*.exe” bestanden: Kopieën van tools om de uitvoerbaarheid lokaal te garanderen.

  • .local bestanden: Lokaal bestand om te forceren dat tools alleen lokaal werken.

  • file_hashes.txt en file_hashes_new.txt: Hashwaarden voor integriteitscontrole.

  • Mappenstructuur: Originele tools zijn netjes georganiseerd in de corresponderende mappen zoals md5deep-4.4, netcat-1.11, en PortǪryUI.

31

Stap 8: Hashes genereren, opslaan G Verivieren.

Navigeer naar de map D:\ForensicTools en gebruik dit script:

# Maak een tekstbestand met SHA256 hashes van alle bestanden $OutputFile = "D:\ForensicTools\file_hashes.txt"$Directory = "D:\ForensicTools"

# Controleer en bereken hashesGet-ChildItem -Path $Directory -Recurse -File | ForEach-Object {

$Hash = Get-FileHash -Path $_.FullName -Algorithm SHA256 "{0}

{1}" -f $Hash.Hash, $_.FullName} | Out-File -FilePath $OutputFile -Encoding UTF8

Write-Host "Hashes zijn opgeslagen in $OutputFile" -ForegroundColor Green

Wat doet het script?

1. Get-FileHash: Berekent de SHA256-hash voor elk bestand in de map en submappen.

2. Output: De hashwaarde en het pad van elk bestand worden naar file_hashes.txt geschreven.

3. Resultaat: Een overzicht van alle hashes en bijbehorende bestanden voor latere vergelijking.

Bestandsstructuur

Na uitvoering van het script zie je het bestand file_hashes.txt in de map D:\ForensicTools met inhoud zoals:

$ cat file_hashes.txt

D:\ForensicTools\file_hashes.txtBB3D8C093CDFC48B6D86AEBB4D173D502F5746EA7A0658DA9BC1D5CC8145035E D:\ForensicTools\FILEFORMAT.txt 8EFFD7F716751ECC6A8819766B6DB4140400BB94A1243C37006799F16C756DD6 D:\ForensicTools\hashdeep.exe E3B0C44298FC1C149AFBF4C8996FB92427AE41E4649B934CA495991B7852B855 D:\ForensicTools\hashdeep.exe.local A26EFF57F89E66398950CB1F30314E260321389EBBE7994D8717EA11BCCEC172 D:\ForensicTools\HASHDEEP.txt 5F52886614DE94F51742051A3F6A89872901D0286FEBDE13ABDD997997124AE9 D:\ForensicTools\hashdeep64.exe E3B0C44298FC1C149AFBF4C8996FB92427AE41E4649B934CA495991B7852B855 D:\ForensicTools\hashdeep64.exe.local 3141EC2E70A2B8E99592C0C1B3560721BF485AFE37B6E94A8FC9AA5C486949AC D:\ForensicTools\md5deep.exe E3B0C44298FC1C149AFBF4C8996FB92427AE41E4649B934CA495991B7852B855 D:\ForensicTools\md5deep.exe.local AEEC78BF67F092187DED8492165FA202BD97F350AD903C27CF36A899E0D5DA1C D:\ForensicTools\MD5DEEP.txt 4994759F3750764EC0B55956DE7C4F6D2003EAC22A40CC4F82BC25DA3B26A112 D:\ForensicTools\md5deep64.exe E3B0C44298FC1C149AFBF4C8996FB92427AE41E4649B934CA495991B7852B855 D:\ForensicTools\md5deep64.exe.local 4AE576A6CF8ECBF26754CFCF67B021AF66C0078DBDB61143A0EA5CD6DAC12929 D:\ForensicTools\md5sum.exe E3B0C44298FC1C149AFBF4C8996FB92427AE41E4649B934CA495991B7852B855 D:\ForensicTools\md5sum.exe.local 32E268B87130B7B24969718F81534BAFEC92985C2ECE6765A88C20C28C55BCA1 D:\ForensicTools\n_autorun64.exe F41051697B220757F3612ECD00749B952CE7BCAADD9DC782D79EF0338E45C3B6 D:\ForensicTools\n_Autoruns.exe 32E268B87130B7B24969718F81534BAFEC92985C2ECE6765A88C20C28C55BCA1 D:\ForensicTools\n_Autoruns64.exe 4588A995FBDD7B8C10E21D5703995999C69C5F0A8D0D4E050575A3BF1EF3DD80 D:\ForensicTools\n_Autoruns64a.exe 666AA8972B4B0A1E5DF53C076AF44479F2F94B16F9FB56E15E6D104ED86CA9F4 D:\ForensicTools\n_autorunsc.exe 60638C8B1164293E009BD0326DFC7DCE7D0B1D64EBDF044BEB75F3152387AD04 D:\ForensicTools\n_autorunsc64.exe 5597D6B66B97DDEB09BD654DE2214E70AA981CBD00AE673304D6769C052E0C1A D:\ForensicTools\n_autorunsc64a.exe BADF4752413CB0CBDC03FB95820CA167F0CDC63B597CCDB5EF43111180E088B0 D:\ForensicTools\n_cmd.exe 8EFFD7F716751ECC6A8819766B6DB4140400BB94A1243C37006799F16C756DD6 D:\ForensicTools\n_hashdeep.exe 5F52886614DE94F51742051A3F6A89872901D0286FEBDE13ABDD997997124AE9 D:\ForensicTools\n_hashdeep64.exe 3141EC2E70A2B8E99592C0C1B3560721BF485AFE37B6E94A8FC9AA5C486949AC D:\ForensicTools\n_md5deep.exe

32

4994759F3750764EC0B55956DE7C4F6D2003EAC22A40CC4F82BC25DA3B26A112 D:\ForensicTools\n_md5deep64.exe 4AE576A6CF8ECBF26754CFCF67B021AF66C0078DBDB61143A0EA5CD6DAC12929 D:\ForensicTools\n_md5sum.exe 6210FA6ADE115DD07409CFAE21683B1772D6D3FDB6B438814CACBD3588DAD9E3 D:\ForensicTools\n_nbtstat.exe B3B207DFAB2F429CC352BA125BE32A0CAE69FE4BF8563AB7D0128BBA8C57A71C D:\ForensicTools\n_nc.exe E8FBEC25DB4F9D95B5E8F41CCA51A4B32BE8674A4DEA7A45B6F7AEB22DBC38DB D:\ForensicTools\n_netcat.exe B094E827AF70241D71BED9767EC1A254FDC4164A646B2BA4C7105CD783ADBA0D D:\ForensicTools\n_NETSTAT.EXE E4EA34A7C2B51982A6C42C6367119F34BEC9AEB9A60937836540035583A5B3BC D:\ForensicTools\n_procdump.exe 3E15995894F38B2EEAD95F7FF714585471F34F3AF3D8F50A7F83344781502468 D:\ForensicTools\n_procmon.exe 4243DC8B991F5F8B3C0F233CA2110A1E03A1D716C3F51E88FAF1D59B8242D329 D:\ForensicTools\n_psfile.exe ED05F5D462767B3986583188000143F0EB24F7D89605523A28950E72E6B9039A D:\ForensicTools\n_pslist.exe D689CB1DBD2E4C06CD15E51A6871C406C595790DDCDCD7DC8D0401C7183720EF D:\ForensicTools\n_psloggedon.exe B8A28AEB6345CA88B04FF3D9FADF30EACF26958C991BD8E4FB1DF12A68F60EAE D:\ForensicTools\n_route.exe B2C1B590AA95BDFF904CF0847F518E4CC0E8F999492330B0B199124C64870741 D:\ForensicTools\n_sha1deep.exe C488B939B4AE2D907FD046CA25CB0C670B617182B7F5AD42CD15B213BBBD727E D:\ForensicTools\n_sha1deep64.exe 1E15B8E5696E407D928B8170BE8467DEE3B0501C85093755BED7D3C15D29BF53 D:\ForensicTools\n_sha256deep.exe F3F8851268EAFC5B57EFCCD3C6081B3FF1F9B3B8E37C173843064560C6CEE0A8 D:\ForensicTools\n_sha256deep64.exe

Hashes Verifiëren in de Toekomst

Je kunt later de integriteit van de bestanden verifiëren door dezelfde hashes opnieuw te berekenen en te vergelijken:

# Controleer bestanden opnieuw$HashCheck = "D:\ForensicTools\new_file_hashes.txt"Get-ChildItem -Path "D:\ForensicTools" -Recurse -File | ForEach-Object {

$Hash = Get-FileHash -Path $_.FullName -Algorithm SHA256 "{0}

{1}" -f $Hash.Hash, $_.FullName} | Out-File -FilePath $HashCheck -Encoding UTF8

# Vergelijk de bestandenCompare-Object -ReferenceObject (Get-Content $OutputFile) -DifferenceObject (Get-Content $HashCheck)

Conclusie

1. Hashes genereren: Met het script worden alle SHA256-hashes opgeslagen in file_hashes.txt.

2. Integriteitscontrole: Je kunt de bestanden later opnieuw controleren door nieuwe hashes te

genereren en te vergelijken.

33

Stap G: Testen van de Tools Testen van Kopieën (n_ prefix)

Voer de nieuwe gekopieerde bestanden uit die met de n_ prefix zijn gemaakt. Controleer of ze werken. echo "Test wtee tool" | .\n_wtee.exe output.txt

Hash Controle

Controleer de integriteit van de bestanden met md5deep64.exe of hashdeep64.exe. 1. Maak een nieuwe lijst met hashes aan:

.\n_md5deep64.exe -r . > file_hashes_new_test.txt

2. Vergelijk met de originele lijst: .\n_md5deep64.exe -x file_hashes.txt

• Alsergeenverschillenzijn,wordtergeenoutputgegeven. • Alserwijzigingenzijn,wordendezeweergegeven.

10. Validatie van ToolsLoop de volgende commando’s door om een snelle validatie uit te voeren:

.\n_autorun64.exe -?

11. Resultaatcontrole

• Zorg dat alle tools zonder foutmeldingen draaien.

• Controleer dat uitvoer van elke tool logisch en correct is.

• Open de gegenereerde bestanden, zoals test_hashes.txt of dumpfile.dmp, om te bevestigen

  dat ze correct zijn aangemaakt.

.\n_cmd.exe /c echo CMD Test

.\n_NETSTAT.EXE -an

.\n_nbtstat.exe -A 127.0.0.1

.\n_procmon.exe

.\n_procdump.exe -accepteula

.\n_pslist.exe

.\n_route.exe print

.\n_md5deep64.exe --version

.\n_wtee.exe

34

12. Conclusie

Deze handleiding heeft succesvol geleid tot de creatie en validatie van een professionele forensische USB-drive. De USB-drive bevat alle essentiële tools en scripts om incident response en forensische analyses uit te voeren, waarbij integriteit en betrouwbaarheid van de bestanden gewaarborgd zijn.

Bereikte Resultaten:

Volledige Configuratie:

• Tools zijn geïnstalleerd en gedownload via Scoop en handmatig.

• Alle bestanden zijn gekopieerd en hernoemd met een n_ prefix om duplicaten en lokale

  uitvoerbaarheid te garanderen.

• .local bestanden zijn aangemaakt om tools te forceren lokaal te werken.

  Integriteitscontrole:

• SHA256-hashes zijn gegenereerd en opgeslagen in file_hashes.txt.

• Een vergelijking van hashes zorgt ervoor dat wijzigingen aan bestanden direct worden

  gedetecteerd.

• Scripts en procedures zijn beschikbaar om hashes opnieuw te genereren en vergelijken.

  Validatie en Testen:

• Alle tools zijn individueel getest voor functionaliteit en uitvoer.

• De hernoemde tools (met n_ prefix) en originele tools functioneren zonder fouten.

• De gegenereerde bestanden (zoals logs en test-outputs) zijn gevalideerd op inhoud en

  correctheid.

  Robuuste Structuur:

• De USB-drive is georganiseerd in een overzichtelijke mappenstructuur.

• Originele bestanden, kopieën, en ondersteunende bestanden zijn logisch gegroepeerd voor

  eenvoudig gebruik en beheer.

  13. Klaar voor Gebruiksdoel

  De USB-drive is nu volledig klaar voor gebruik bij incident response en digitale forensische onderzoeken. De combinatie van tools, integriteitscontroles, en scripts zorgt voor een betrouwbare en reproduceerbare werkomgeving.

  Deze USB-drive biedt direct inzetbare functionaliteit voor snelle forensische analyses op verdachte systemen, waarbij de betrouwbaarheid en consistentie van de resultaten zijn gegarandeerd.

  Peter Oldenburger

  CyberSecurityAD.com

35

Opdracht 3: Politie

Peter Oldenburger

36

Forensisch Rapport: boomer-win2003-2006-03-17.img Managementsamenvatting

Dit rapport bevat een diepgaande analyse van het geheugenbestand van de Boomer- Win2003 laptop.

Hierbij is gebruik gemaakt van dePTES (Penetration Testing Execution Standard),MITRE ATTGCK Framework,NIS-richtlijnen (Netwerk- en Informatiebeveiligingsstandaard).

Het rapport identificeert kwetsbaarheden, beoordeelt risico’s, en doet aanbevelingen om deze kwetsbaarheden te mitigeren.

Reikwijdte van het Onderzoek

Dit rapport richt zich op:

1. Het identificeren van kwetsbaarheden volgens PTES-methodologie.

2. Het koppelen van kwetsbaarheden aan de technieken van MITRE ATTCCK.

3. Het beoordelen van de impact van kwetsbaarheden volgens NIS-richtlijnen.

4. Het verstrekken van risicobeoordelingen en praktische aanbevelingen.

37

BevindingenIn kaart gebrachte kwetsbaarheden

Hieronder volgt een overzicht van de belangrijkste kwetsbaarheden die zijn vastgesteld:

.

38

Analyse van Kwetsbaarheidscategorieën

1. Verouderde SoftwareVerouderde processen zoals winlogon.exe en svchost.exe worden gebruikt. Deze zijn gevoelig voor bekende exploits zoals CVE-2008-4250.

2. Onveilige NetwerkprotocollenOnbeveiligde toegang via Telnet werd gedetecteerd, wat gegevens onderschepping mogelijk maakt. Dit verhoogt de kans op aanvallen zoals Man-in-the-Middle.

3. Zwakke AuthenticatieDe aanwezigheid van lege of zwakke wachtwoorden verhoogt de risico’s op brute-force aanvallen, waarmee aanvallers toegang kunnen verkrijgen.

4. Injectie- en ExfiltratietechniekenTools zoals dd.exe wijzen op datalekken en manipulatie van geheugen, wat wijst op actieve datadiefstal.

5. Kwetsbare DriversVerkeerd geconfigureerde drivers zoals NDProxy.sys kunnen worden misbruikt om verhoogde systeemrechten te verkrijgen.

39

Risicocategorisatie

Volgens de NIS-richtlijnen zijn de risico’s als volgt gecategoriseerd:

Categorie

Verouderde Software Zwakke Authenticatie Netwerkmisconfiguraties Kwaadaardige Activiteiten Driver Exploits

Kwetsbaarheid Risiconiveau

Ongepatchte kritieke processen Hoog Eenvoudige wachtwoorden Kritiek Telnet zonder encryptie Hoog Injectie via verdachte processen Kritiek Misbruik van verouderde drivers Hoog

40

Aanbevelingen Patchbeheer

1. Voer regelmatige updates uit voor het besturingssysteem en kritieke services.

2. Sluit bekende beveiligingsgaten door implementatie van patches (bijv. CVE-2008-

   4250).

Netwerkbeveiliging

1. Schakel Telnet uit en vervang het door beveiligde protocollen zoals SSH.

2. Zorg voor encryptie in alle netwerkcommunicatie.

Authenticatie

1. Stel complexe wachtwoorden verplicht.

2. Implementeer multi-factor authenticatie (MFA) voor gevoelige accounts.

Malwaredetectie

1. Implementeer geavanceerde antivirus- en EDR-oplossingen.

2. Controleer op anomalieën in proces- en netwerkactiviteit.

Drivervalidatie

1. Controleer de integriteit van geïnstalleerde drivers.

2. Vervang verouderde drivers door veilige versies.

Penetratietests

1. Voer regelmatige penetratietests uit om beveiligingslekken te identificeren.

2. Gebruik MITRE ATTCCK-simulaties om het verdedigingsniveau te testen.

41

Conclusie

De Boomer-Win2003 laptop heeft significante kwetsbaarheden die ernstige risico’s opleveren.

Het toepassen van de aanbevolen beveiligingsmaatregelen zal de beveiligingshouding aanzienlijk versterken.

Deze aanbevelingen, in lijn met PTES, MITRE en NIS, bieden een holistische benadering voor risicobeheer.

Referenties

1. MITRE ATTCCK Framework. (n.d.). Techniques. Beschikbaar op: https://attack.mitre.org

2. Penetration Testing Execution Standard. (n.d.). Beschikbaar op: https://pentest- standard.org

3. NIS Directive. (2018). Directive (EU) 2016/1148 on security of network and information systems. Beschikbaar op: https://eur-lex.europa.eu

42

Forensisch Rapport xp-laptop-2005-07-04-1430.img Inleiding

Dit rapport is opgesteld in het kader van een digitaal forensisch onderzoek uitgevoerd op basis van PTES (Penetration Testing Execution Standard), MITRE ATT&CK Framework, ISO 27005 (risicomanagement) en NIST (National Institute of Standards and Technology) richtlijnen.

Het doel van dit onderzoek was het identificeren, analyseren en rapporteren van mogelijke beveiligingsincidenten.

Management Samenvatting

Dit forensisch onderzoek richtte zich op het analyseren van een Windows-gebaseerd systeem om verdachte activiteiten, processen, en netwerkdrivers te identificeren. Het onderzoek is uitgevoerd met behulp van het Volatility Framework en gebaseerd op PTES, MITRE ATT&CK, ISO 27005 en NIST 800-61.

Scope van het Onderzoek

1. Doel:IdentificerenvanverdachteactiviteitenenbeveiligingslekkenineenWindows-

   geheugenimage.

2. Gebruiktemethodologieën:

3. PTES:Gedefinieerdepenetratieteststappenvoorinitiëleanalyse.

4. MITREATT&CK:ClassificatievanTTP’s(Tactics,Techniques,Procedures).

5. ISO27005:Risicoanalysevoorgeïdentificeerdebedreigingen.

6. NIST800-86:Richtsnoerenvoorforensischonderzoekenbewijsbeheer.

7. Geanalyseerdsysteem:WindowsXP-gebaseerdeomgevingmetverdachteprocessenendrivers.

43

Analyse van Bevindingen 3.1 Verdachte Processen

Proces: PluckSvr.exeBeschrijving: Niet-standaard proces, mogelijk een backdoor. MITRE Mapping:

1. T1059(CommandandScriptingInterpreter)

2. T1071(ApplicationLayerProtocol)Risico: Hoog, gezien de potentiële persistentie en netwerkverbindingen.

Proces: Fast.exeBeschrijving: Onbekend proces uitgevoerd met verhoogde rechten. MITRE Mapping: T1105 (Ingress Tool Transfer)Risico: Matig, maar verder onderzoek vereist.

Proces: dd.exeBeschrijving: Geheugen-dump uitgevoerd. Kan wijzen op datadiefstal of debugging. MITRE Mapping: T1003 (Credential Dumping)Risico: Zeer hoog.

3.2 Netwerkactiviteit

Verdachte drivers zoals Tcpip, AFD en NDIS:Beschrijving: Manipulatie of gebruik van netwerkdrivers gedetecteerd. MITRE Mapping:

1. T1049 (System Network Connections Discovery)

2. T1132 (Data Encoding)

Risico: Hoog.

44

3.3 Geheugeninjecties

Gevonden via: volatility3.malfindBeschrijving: Injecties in processen zonder bijbehorende executable op schijf. MITRE Mapping:T1055 (Process Injection)Risico: Kritiek.

3.4 Verdachte Drivers

Drivers: NAVAP, NAVENG, NAVEX15.Beschrijving: Gemanipuleerde antivirusdrivers. Mogelijke persistente malware. MITRE Mapping:T1547.002 (Boot or Logon Autostart Execution: Kernel Modules and Extensions) Risico: Hoog.

Risicoanalyse (ISO 27005)Bedreiging Impact Waarschijnlijkheid

Risico

Kritiek Hoog

Kritiek Hoog

Credential Dumping Hoog (dd.exe)Netwerkmanipulatie Hoog (Tcpip)

Hoog

Matig

Geheugeninjecties Persistente drivers

Kritiek Hoog Hoog Matig

45

Aanbevelingen (NIST 800-61 & PTES)

1. Incident Response Plan Activeren:

   1. Isoleren van het systeem.

   2. Veiligstellen van geheugenbeelden en logbestanden.

2. Risico Mitigeren:a. Patchmanagementenupdatesuitvoeren.b. ControleernetwerksocketsmettoolszoalsWiresharkofZeek.

3. Forensische Analyse Uitbreiden:a. Yara-scansuitvoerenvoorgedetailleerdemalware-detectie.b. Analysevannetwerkverkeeromdata-exfiltratieteidentificeren.

4. Mitigatie van Geheugeninjecties:a. Gebruikexploit-preventiehulpmiddelen. b. Scanandereendpointsopsoortgelijk.

Conclusie

Op basis van de analyse is vastgesteld dat er meerdere bedreigingen aanwezig zijn die wijzen op actieve datadiefstal en persistente malware. Geheugeninjecties en verdachte processen vereisen onmiddellijke aandacht.

Verdere analyse en implementatie van aanbevolen tegenmaatregelen zijn essentieel om de impact van het incident te minimaliseren.

46

Referenties1. PTES (Penetration Testing Execution Standard):

Richtlijnen voor gestructureerde penetratietesten en forensisch onderzoek. 2. MITRE ATT&CK Framework:

Mapping van tactieken zoals T1047 (Windows Management Instrumentation) en T1055 (Process Injection).

3. ISO 27005:Toegepast risicomanagement voor geïdentificeerde bedreigingen.

4. NIST 800-61:Richtsnoeren voor incident response en bewijsbeheer.

5. Volatility Framework:Uitgebreide geheugenanalyse uitgevoerd met Volatility 3 Framework.

47

CYBER THREAT INTELLIGENCE 007

Chapter3: Politie-Image Analyze

Extra: Police Image Analyzer

48

Inleiding

Dit rapport biedt een diepgaande analyse van de verzamelde hidden gems, gevonden in geextraheerde strings en uitgelezen metadata

De focus ligt bij dit rapport op het MITRE ATTCCK Framework omdat je de gevonden kwetsbaarheden kan evaluaten op dit framework, hiermee kan je precies zien hoe je een ‘gem’ kan exploiten. Verder biedt dit rapport richtlijnen voor exploitatiemogelijkheden en potentiële kwetsbaarheden binnen het systeem, als slot sluit ik af met beveiligingsaanbevelingen.

Ik heb gebruik gemaakt van onder andere de DutchJinn-Image-Analyzer, een framework voor meerdere software tools, een echte aanrader

1. boomer-win2003-2006-03-17.img 2. xp-laptop-2005-07-04-1430.img

De DutchJinn Image Analyzer & Cracker Tool – Police Scanner – Beta 1.0

49

Analyse: Ondekte Eerste Graad Kwetsbaarheden.

1. Credential Dumping (T1003)

Beschrijving

Wachtwoorden en andere authenticatiegegevens worden vaak in geheugenlocaties zoals LSASS of in de registry opgeslagen.

Kwetsbaarheid

1. Gevoeligeinformatiezoalshash-stringsenwachtwoordeningeheugenlocaties. 2. Potentieelmisbruikvanadministratoraccounts(AdministratorHelpAssistant)

Tools

• Mimikatz: Toegang tot wachtwoorden en tokens.

• Volatility: Inspecteren van geheugen dumps. Aanbevolen acties

  1. ImplementerenvanCredentialGuardomgevoeligegegevenstebeschermen. 2. MonitorenoppogingentotLSASS-dumpenviabeveiligingslogs.

50

Checking IMAGE .

51

2. Process Discovery (T1057)Beschrijving: Detectie van actieve processen kan inzicht bieden in het systeemgedrag

en potentiële doelen.

Kwetsbaarheid:1. GetUserNameWenUSER32.dllduidenoppogingenomgebruikersinformatieteverzamelen. 2. Processenzoalscmd.exekunnenwijzenophandmatigetoegang.

Tools:1. Tasklist:Inspecterenvanactieveprocessen. 2. ProcessExplorer:Analysevanprocesgedrag.

Aanbevolen acties:1. Beperkenvantoegangtotbeheerderstoegang.2. Controlerenvanachtergrondprocessenopongewenstgedrag.

3. File and Directory Discovery (T1083)Beschrijving: Ongeautoriseerde toegang tot systeem- en gebruikersbestanden.

Kwetsbaarheid:1. Artifactenzoals%SystemRoot%enC:\WINDOWSbevattengevoeligegegevens. 2. Misbruikvandirectory’smetconfiguratiebestanden.

Tools:1. PowerShell:Automatiserenvanzoekopdrachten. 2. AccessEnum:Inspecterenvanbestandsrechten.

Aanbevolen acties:1. ImplementerenvanLeastPrivilegeAccessvoorgevoeligedirectories. 2. Scherpetoegangscontroletoepassen.

52

4. Remote Services (T1021) Beschrijving:

Externe services zoals RDP en SMB worden vaak misbruikt voor laterale bewegingen. Kwetsbaarheid:

1. StringszoalsNetUserAddenNetUserDelwijzenopmanipulatievangebruikersaccounts. 2. RPC-gerelateerdetermenduidenopkwetsbareexterneservices.

Tools:1. Impacket:ExploitatievanSMBenRPC.

2. Metasploit:ModulesvoorRDPenSMB-aanvallen. Aanbevolen acties:

1. Beperkingeninstellenopexternetoegang.2. GebruiksterkeauthenticatieprotocollenzoalsMFA.

53

5. Ingress Tool Transfer (T1105) Beschrijving:

Downloaden van kwaadaardige tools naar het doelwit.

Kwetsbaarheid:Strings zoals Datagrams Sent/sec duiden op netwerkactiviteit die mogelijk verband houdt met

datatransfer.

Tools:1. Wget/Curl: Downloaden van externe payloads2. Metasploit:Uploadenvankwaadaardigebestanden.

Aanbevolen acties:1. Monitorenvannetwerkactiviteitopongebruikelijkedataverbindingen. 2. GebruikmakenvanDataLossPrevention(DLP)-tools.

54

6. Access Token Manipulation (T1134) Beschrijving:

Aanvallen gericht op toegangstokens om privileges te verhogen. Kwetsbaarheid:

Strings zoals ‘Unable to grab user token for impersonation’ wijzen op pogingen tot privilege- escalatie.

Tools:1. MetasploitIncognito:Manipulerenvantoegangstokens.2. PsExec:Externuitvoerenvanprocessenmetverhoogdeprivileges.

Aanbevolen acties:1. ImplementerenvanbeveiligingscontroleszoalsUserAccountControl(UAC). 2. Monitorenopongeautoriseerdetokenwijzigingen.

55

7. Indicator Removal on Host (T1070) Beschrijving:

Verwijdering van sporen om detectie te voorkomen. Kwetsbaarheid:

Gems zoals NtSystemRoot wijzen op pogingen tot het manipuleren van systeemlogboeken.

Tools:1. Wevtutil:ManipulerenvanWindows-logboeken. 2. ELKStack:Monitorenvanlogboekintegriteit.

Aanbevolen acties:1. LogboekintegriteitcontrolerenmettoolszoalsSysmon. 2. BeveiligdeSIEM-oplossingimplementeren.

56

Analyse: Ondekte Tweede Graad Gems.

1. Gebruikersactiviteit en NTUSER.DAT Analyse Analyse:

1. MeerdereverwijzingennaarNTUSER.DATtonengebruikersspecifiekegegevens,zoals: 2. Interactiemetapplicaties(bijvoorbeeldFirefox,InternetExplorerencmd.exe).3. Uitvoeringvanrundll32.exe,mogelijkgebruiktvoorkwaadaardigeacties.4. ActiviteitenmettoolszoalsWinZipensysteemhulpprogramma’szoalscmd.exe.

Mogelijke Focus: Onderzoek rundll32.exe op afwijkende patronen die kunnen wijzen op privilege- escalatie.

2. Processen en Actieve Uitvoerbare Bestanden Analyse:

1. Kritiekesysteemprocessenzoalssmss.exe,lsass.exeenservices.exezijnactief.

2. OngebruikelijkeprocessenzoalsPluckSvr.exeenFast.exekunnenpotentieelkwetsbaar

   zijn.

3. cmd.exeentaskmgr.exewijzenmogelijkophandmatigeadministratievetoegang.

4. MogelijkeFocus:Controleerzeldzaamgebruikteprocessenoplegitimiteiten

   mogelijke misbruikpunten.

3. Forensische Indicatoren Analyse:

1. Het gebruik van dd.exe duidt op een geheugenbeeld- of imaging-operatie.2. wipe.exe wijst mogelijk op pogingen om sporen te wissen.3. Mogelijke Focus: Analyseer de uitvoeringsgeschiedenis van dd.exe en wipe.exe voor

correlatie met verdachte activiteiten.

4. Netwerken en

Persistentie Analyse:

1. Netwerkserviceszoalsmqtgsvc.exe,tcpsvcs.exeendnsrslvr.dllzijnactief. 2. Meerderesvchost.exe-instantiebeheerkanwijzenopkwaadaardigeactiviteitenbij

afwijkende parameters.

Mogelijke Focus: Onderzoek services en netwerkverkeer op niet-geautoriseerde wijzigingen of anomale taken.

57

5. Cache- en Tijdelijke Bestanden• Mogelijke Focus: Inspecteer opgeslagen DLL’s op verdachte activiteiten.

6. Hexadecimale en Geheugen Dumps Analyse:

Hexadecimale data en dumps bevatten mogelijk encryptiesleutels of andere gevoelige gegevens.Mogelijke Focus: Gebruik tools zoals Volatility om geheugenafbeeldingen te analyseren en afwijkingen te vinden.

Mogelijke KwetsbaarhedenSystemen: Mogelijke misconfiguraties in kritieke processen zoals cmd.exe, taskmgr.exe en

lsass.exe.Services: Persistentie-artefacten wijzen op potentieel misbruik van DLL’s en andere systemische configuraties.Netwerken: Ongeautoriseerde verbindingen via DNS en TCP-services.

58

DutchJinn @ Work: Image Analyzing (39 Tasks)

59

DutchJinn Analyzer Tool Output: Command_Line_Arguments

60

AanbevelingenGeavanceerde Geheugenforensische Analyse

Gebruik tools zoals Volatility voor netwerksessies en verbindingen: volatility -f memory.dmp netscan

Bestandsactiviteit CorrelatieVergelijk toegang tot bestanden (bijv. NTUSER.DAT) met tijdstempels om

verdachte gedragspatronen te identificeren.

Analyse van Verdachte Bestanden

Inspecteer uitvoerbare bestanden zoals mydocs.dll en dd.exe met sandbox-tools zoals Cuckoo.

Netwerk- en ServicebeheerControleer services op anomalieën en wijzig gedrag waar nodig. Gebruik Volatility’s svcscan

plugin.

Hexadecimale Data AnalyseGebruik tools zoals HxD om verdachte hexdata te decoderen en patronen te analyseren.

Conclusie

De analyse wijst op meerdere zwakke punten, waaronder mogelijk misbruik van systeemprocessen, verdachte netwerkactiviteiten en bestandswijzigingen.

Het is van cruciaal belang om deze bevindingen verder te onderzoeken en directe correctieve acties te ondernemen.

Voor aanvullende informatie of ondersteuning, neem contact op met CyberSecurityAD

61

QUIZ

quiz1

quiz2

62

Week 5: File-type G Triage LAB inrichting

Opdracht 1 - Win 10 installatie:Installatie van windows 10 in virtualboxLink: https://go.microsoft.com/fwlink/p/?LinkID=2195404Cclcid=0x409Cculture=en- usCcountry=US

63

Hidden files

Zorg dat je de hidden-files in windows exploren kan zien.

Defender ontmantelen

Haal defender weg van de windows-machine https://github.com/ionuttbara/windows-defender-remover

64

Verificatie van defender ontmanteling

Controleerofwindowsdefenderechtwegisvandewindowsmachine.Leeseerstwatde ANTI MALWARE TESTFILE is:https://www.eicar.org/download-anti-malware-testfile/

Triage

Controleer de file type van de opgegeven bestanden. Gebruik hiervoor: TrID - File Identifier: https://mark0.net/soft-trid-e.html

Detect it Easy: https://github.com/horsicq/DIE- engine/releases/download/3.08/die_win64_portable_3.08_x64.zip

LET OP!!! wees alert. FILES: triage.zip

65

Handleiding: Triage Analyse met TrID

Voorbereiding1. Download TrID:Ga naar TrID File Identifier en download de software.Pak het bestand uit naar een locatie op je computer (bijvoorbeeld C:\Tools\TrID).

2. DownloadenvoegTRIDDEFS.trdtoeindezelfdedirectory Bestanden voorbereiden:

Zorg ervoor dat de bestanden die geanalyseerd moeten worden (bijvoorbeeld sample1, triage_4, etc.), zich in dezelfde map bevinden als TrID, of noteer het pad.

Navigeer naar de map van TrID: Gebruik de opdracht:

cd C:\Tools\TrID

Voer TrID uit voor elk bestand: Gebruik de opdracht:

trid <bestandsnaam>

Interpreteer de output:TrID toont een procentuele match van het bestandstype, bijvoorbeeld:

100.0% (.LNK) Windows Shortcut

66

Analyse van sample1: Uitgevoerd Commando:

trid sample1Resultaat: 100% .LNK Windows Shortcut

67

Analyse van triage_4: Uitgevoerd Commando:

trid triage_4 Resultaat:

44.4% (.EXE) Win64 Executable 21.3% (.EXE) Win16 NE executable

68

Analyse van triage_2: Uitgevoerd Commando:

trid triage_2Resultaat: Bestandstype .ICO (Windows Icon).

69

Analyse van triage_5: Uitgevoerd Commando:

trid triage_5Resultaat: Het bestand wordt herkend als ASCII tekst.

Conclusie

Met TrID kun je efficiënt verschillende bestandstypen identificeren, inclusief verborgen of verdachte bestanden!

70

Opdracht 6 - Triage 2Gebruik de volgende tools voor verdere analyse m.b.t. sample1:

Strings: https://download.sysinternals.com/files/SysinternalsSuite.zip

lnk parser: https://storage.googleapis.com/google-code-archive- downloads/v2/code.google.com/lnk-parser/lnk_parser_cmd.exe

Lees wat de bovenstaande tools doen en voer ze uit. Maak hiervan een handleiding hoe je dit hebt gedaan. Laat duidelijk je handelingen zien. Mocht je meer vinden noteer dat ook.

Rapport over SysInternalsSuite

Inleiding

Deze suite bevat talloze tools die systeembeheerders en IT-professionals helpen bij het diagnosticeren, monitoren, analyseren en beheren van Windows-systemen.

De tools zijn krachtig, gebruiksvriendelijk en vaak essentieel voor diepgaande systeemanalyses.

De collectie biedt een betrouwbare set hulpmiddelen die regelmatig worden bijgewerkt om compatibel te blijven met de nieuwste Windows-versies en beveiligingsupdates.

Inhoud van de Suite

DeSysInternalsSuitebevatmeerdan70tools,elkmeteenspecifiekefunctie.Enkele belangrijke categorieën en voorbeelden zijn:

Procesbeheer en -analyse:

Process Explorer: Vervanging voor Taakbeheer; geeft gedetailleerde informatie over processen, inclusief de hiërarchie, resourcegebruik en open bestanden.

Process Monitor: Combineert functionaliteit van Filemon en Regmon; bewaakt realtime bestandssysteem-, register- en proces-/threadactiviteit.

Systeeminformatie en diagnostiek:

Autoruns: Geeft inzicht in alle programma’s die bij het opstarten van Windows worden uitgevoerd; helpt bij het opsporen van ongewenste of schadelijke software.

Sysmon: Een systeemmonitor die uitgebreide logs genereert over systeemactiviteiten, zeer nuttig voor beveiligingsonderzoeken.

71

Systeembeheer en veiligheid:

PsTools: Een verzameling van commandoregeltools voor het beheren van systemen op afstand, processen beheren, systeem herstarten, enz.

TCPView: Toont realtime een overzicht van alle TCP- en UDP-eindpunten op het systeem, inclusief welke processen netwerkverbindingen hebben geopend.

Gebruik en Voordelen

De SysInternalsSuite biedt verschillende voordelen:

Diepgaande inzichten: Tools zoals Process Explorer en Process Monitor geven zeer gedetailleerd inzicht in de werking van een systeem, waardoor fouten of beveiligingsproblemen sneller opgespoord kunnen worden.

Gratis en betrouwbaar: Aangezien de suite door Microsoft wordt onderhouden, is er vertrouwen in de nauwkeurigheid en veiligheid van de tools.

Veelzijdigheid: De breedte aan beschikbare utilities maakt het een one-stop shop voor tal van taken, van systeemanalyse tot netwerkdiagnostiek.

Realtime monitoring: Veel tools ondersteunen realtime dataweergave, essentieel voor het opsporen van problemen op het moment dat ze zich voordoen.

72

Praktische toepassingen

Probleemoplossing: Bij het oplossen van complexe systeemproblemen, zoals crashes, langzame prestaties of onverklaarbare netwerkactiviteit, bieden de tools gedetailleerde traceergegevens.

Beveiliging en forensisch onderzoek: SysInternals-tools, zoals Autoruns en Sysmon, worden vaak gebruikt voor het opsporen van malware en het analyseren van verdachte activiteiten op systemen.

Systeemoptimalisatie: Door inzicht te geven in welke processen of services veel resources verbruiken, kunnen beheerders knelpunten identificeren en optimalisaties doorvoeren.

73

Conclusie

De SysInternalsSuite is een verzameling tools voor iedereen die werkt met Windows- systemen, van systeembeheerders tot beveiligingsprofessionals.

74

75

Rapport over de LNK Parser

Inleiding

Het is een tool die speciaal is gemaakt om Windows-snelkoppelingen met de extensie .lnk te openen en de informatie eruit te halen.

Dit rapport legt uit wat de LNK Parser doet, hoe het werkt en waarom het nuttig is.

Wat doet de LNK Parser?

Windows-snelkoppelingen (bestandsextensie .lnk) leiden naar programma’s, mappen of andere bestanden. Deze snelkoppelingen bevatten informatie over waar ze naartoe verwijzen, welke iconen ze gebruiken en soms andere details.

De LNK Parser leest deze .lnk-bestanden en haalt de informatie eruit zodat je kunt zien waar de snelkoppelingen naartoe gaan en welke gegevens erin zitten.

Hoe werkt de tool?

De LNK Parser is een programma dat je via de opdrachtregel gebruikt. Je voert het commando uit met het .lnk-bestand als parameter, en het programma leest het bestand en toont de inhoud.

Het programma volgt de standaardstructuur van Windows-snelkoppelingen om de gegevens te vinden en te interpreteren. Je hoeft niets ingewikkelds te installeren, het werkt direct nadat je het hebt gedownload.

Waarvoor kun je de LNK Parser gebruiken?

Deze tool kan op verschillende manieren nuttig zijn. Bij digitale forensische onderzoeken worden vaak snelkoppelingen bekeken om te ontdekken welke bestanden of locaties iemand eerder heeft geopend.

De LNK Parser maakt dit makkelijker omdat je snel de verborgen informatie kunt zien.

Conclusie

De LNK Parser is een handig hulpmiddel voor iedereen die meer wil weten over wat er in Windows- snelkoppelingen staat.

Het programma haalt snel en efficiënt alle informatie uit .lnk-bestanden, wat vooral nuttig is bij forensisch onderzoek en systeembeheer.

Zie Screenshots Voorbeelden:

76

Screenshot LNK-Parser – Analyzing Notion.lnk:

77

78

Week 6: Opdracht 1: Installatie GHIDRA Installatierapport: GHIDRA op Windows

InleidingGHIDRA is een krachtige reverse-engineeringtool ontwikkeld door de NSA. Het vereist Java Development Kit (JDK) versie 21 of hoger om te functioneren.

Tijdens de installatie heb ik JDK 23 geïnstalleerd, wat handmatige configuratie nodig maakte om GHIDRA correct te laten werken.

Dit rapport beschrijft stapsgewijs hoe GHIDRA op Windows kan worden geïnstalleerd en geconfigureerd.

InstallatieprocesStap 1: Download en installatie van GHIDRA

1. BezoekdeofficiëleGHIDRA-website:ghidra-sre.org.2. OfDownload(clone)viaGithub.3. DownloaddenieuwsteversievanGHIDRA4. PakhetgedownloadeZIP-bestanduitnaareengewenstelocatieopjesysteem.

Installatie van JDK

GHIDRA vereist een JDK van minimaal versie 21. Om de nieuwste versie (JDK 23) te installeren, gebruik je de volgende stappen:

1. OpeneenCommandPrompt(cmd)metbeheerdersrechten.

2. Voerhetvolgendecommandoin:

   $ winget install Oracle.JDK.23

79

Configuratie van GHIDRA

1. GanaardemapwaarinjeGHIDRAhebtuitgepakt(bijvoorbeeldC:\Tools\Ghidra). 2. ZoekhetbatchbestandghidraRun.batendubbelklikomGHIDRAtestarten.3. TijdensdeeerstekeeropstartenkanGHIDRAeenfoutmeldinggeven:

Enter path to JDK home directory:

4. VoerhetvolledigepadinnaardeJDK-installatiemap.JDK 21+ (64-bit) could not be found and must be manually chosen!

Winget search Oracle.JDK

80

Run GHIDRA

1. StartopnieuwghidraRun.batvanuitdeGHIDRA-map.2. AlsGHIDRAcorrectisgeconfigureerd,zalhetprogrammaopstartenzonderverdere

foutmeldingen. Het hoofdvenster van GHIDRA verschijnt en je kunt beginnen met het maken van een nieuw project.

81

Conclusie

GHIDRA is succesvol geïnstalleerd op Windows door:

1. JDK23teinstallerenviawinget.2. HetpadnaardeJDKhandmatigintevoerentijdensdeeersteopstart.

Met deze stappen is GHIDRA correct geconfigureerd en klaar voor gebruik.

Deze handleiding kan als referentie dienen voor Windows-gebruikers die JDK 23 of een andere recente versie willen gebruiken.

82

Opdracht 2: Analyse Ransomware

Analyseer de volgende files met GHIDRA:

4helloworlds: 4helloworlds.zipLegion Ransomware: legionsample.zip ww: infected

83

Analyse van Legion Ransomware

InleidingDit rapport documenteert een analyse van de Legion ransomware.

De analyse is uitgevoerd met behulp van GHIDRA en richt zich op de technische details van het sample.

Richtlijnen:

PTES (Penetration Testing Execution Standard) methodologie, MITRE ATTGCK-framework,NIST

Het doel is inzicht te verkrijgen in de werking van de ransomware, de potentiële impact te beoordelen en aanbevelingen te doen voor detectie, preventie en respons.

84

LEGION - Analyseproces volgens PTES

De PTES-methodologie voorziet in een gestructureerde aanpak voor het analyseren van kwaadaardige software. Het proces omvat de volgende stappen:

Voorbereiding

1. HetLegionransomware-sample(legionsample.zip)isverkregenengeopendin GHIDRA.

2. Hetsysteemwaaropdeanalyseisuitgevoerd,isgeïsoleerdineenvirtuele omgeving zonder netwerktoegang om onbedoelde verspreiding te voorkomen.

3. Tools gebruikt: GHIDRA voor reverse engineering, IDA Pro als verificatietool en Wireshark voor netwerkgedrag.

Identificatie van het Sample

1. Bestandstype:WindowsPortableExecutable(PE).

2. Headersbevestigendeaanwezigheidvan.text,.rdata,.data,en.rsrcsecties.

3. Compileertijdstempel:573256CF(decoderingwijstmogelijkopeen verouderde builddatum).

Analyse van Functies

De decompilatie in GHIDRA onthulden de volgende technische details:

Encryptie Gedrag:

1. API-aanroepen:CryptEncrypt,CryptAcquireContext.

2. Typischeimplementatievanbestand-encryptie,waarbijbestandenworden

   geopend, versleuteld en hernoemd.

3. Observatie:Bestandenkrijgeneennieuweextensienaencryptie,wat consistent is met bekende ransomware.

85

Persistentie Mechanismen:

1. RegisterwijzigingenviaRegSetValueExomopstartitemstoetevoegen. 2. Mogelijkeinjectieinlegitiemeprocessenomdetectieteontwijken.

Netwerkcommunicatie:Functies zoals InternetOpen, HttpSendRequest duiden op contact met een

command-and-control (C2)-server. Classificatie volgens MITRE ATTGCK

De MITRE ATTCCK-matrix biedt een raamwerk om dreigingen te classificeren. Op basis van de analyse worden de volgende technieken geïdentificeerd:

Initial Access (T1203):

Het sample wordt vermoedelijk verspreid via phishing-e-mails of drive-by-downloads.

Execution (T105G):

De ransomware wordt uitgevoerd als een zelfstandig PE-bestand, mogelijk via kwaadaardige bijlagen.

Persistence (T1547):

Wijzigingen in registerinstellingen en de toevoeging van opstartitems zorgen voor aanhoudende aanwezigheid.

Privilege Escalation (T1068):

Het sample bevat een functie om systeemrechten te verkrijgen via IsUserAnAdmin.

Defense Evasion (T14G7):

Detectie wordt vermeden door sandbox-detectie en anti-debugging checks (IsDebuggerPresent).

Impact (T1486):

Encryptie van bestanden en het genereren van een losgeldbericht om gebruikers te dwingen tot betaling.

86

Technische Analyse op basis van NIST

De analyse sluit aan bij NIST SP 800-61 (Computer Security Incident Handling Guide) en NIST SP 800-53 (Security and Privacy Controls).

Incidentdetectie:

Strings in de resource-sectie tonen de tekst van een ransom note.

Dit kan worden gebruikt om IOC’s (Indicators of Compromise) te genereren.

Containment:

1. HerkenningvannetwerkcommunicatiemetC2-serversbiedtmogelijkhedenom communicatie te blokkeren via firewalls.

2. Aanpassenvanregisterinstellingenkanwordenvoorkomendoorgebruiktemaken van host-based security tools.

Eradicatie en Herstel:

1. Encryptie-algoritmenmoetenwordengeanalyseerdomtebepalenofeen decryptietool mogelijk is.

2. Back-upbeleidisessentieelomimpactteminimaliseren. Gedetailleerde Bevindingen

Bestandstructuur

Secties:

.text: Bevat uitvoerbare code, inclusief encryptieroutines. .rdata: Slaat API-aanroepen en statische strings op..data: Bevat runtime-gegevens..rsrc: Mogelijke ransom note en andere resources.

87

Gedetecteerde Strings

1. “Yourfileshavebeenencrypted”2. “Send0.1Bitcointothefollowingaddress”3. URL’sene-mailadressengebruiktvoorcommunicatie.

API-aanroepen

Bestandshandelingen: CreateFile, WriteFile. Netwerkcommunicatie: InternetConnect, HttpSendRequest. Encryptie: CryptEncrypt, CryptReleaseContext.

88

Aanbevelingen

Preventie:

1. Voeranti-phishingmaatregelenuitominitiëletoegangtevoorkomen.

2. Gebruikendpointbeschermingmetgedragsdetectie.

Detectie:

1. MonitorAPI-calsdieverbandhoudenmetbestandshandelingenen encryptie.

2. Gebruiknetwerkbeveiligingstoolsomverkeertedetecterenenteblokkeren.

Respons:

1. ImplementeerhetincidentresponsplanzoalsbeschreveninNISTSP800-61.

2. Onderzoekdemogelijkheidombestandenteherstellen.

Herstel:

1. Voervolledigeforensischeanalyseuitopgetroffensystemen.

2. Updatebeveiligingsprotocollen.

Conclusie

De Legion ransomware toont de typische kenmerken van moderne ransomware, inclusief bestandencryptie, netwerkcommunicatie met C2-servers, en persistentiemechanismen.

De combinatie van PTES, MITRE ATTCCK en NIST biedt een uitgebreide kijk op de dreiging en stelt organisaties in staat om gerichte maatregelen te nemen.

Door proactieve monitoring en robuuste beveiligingspraktijken kunnen systemen worden beschermd tegen dergelijke dreigingen.

Verdere analyse kan zich richten op decryptiemogelijkheden en het verbeteren van responsprotocollen.

89

Analyse van 4helloworlds

> hello.exe, hello_debug.exe, hello_MinGW.exe & hello_Release.exe

Inleiding

Dit rapport documenteert een uitgebreide analyse van de samples hello.exe, hello_debug.exe, hello_MinGW.exe en hello_Release.exe.

De analyse is uitgevoerd met GHIDRA en richt zich op de technische details en verschillen tussen deze uitvoerbare bestanden.

Bij de analyse is gebruikgemaakt van de

PTES-methodologie (Penetration Testing Execution Standard), MITRE ATTGCK-framework,NIST-richtlijnen.

Hetdoelisinzichtteverkrijgenindestructuurenfunctionaliteitvandezeprogramma’s, de verschillen tussen de verschillende compilatiemethoden te evalueren en aanbevelingen te doen voor detectie en beveiliging.

Screenshot: files in 4helloworlds

90

Analyseproces volgens PTES Voorbereiding

Alle vier de samples zijn geanalyseerd in GHIDRA binnen een sandbox-omgeving zonder netwerkverbinding om risico’s van onverwachte acties te vermijden.

Ter verificatie zijn extra tools zoals PEiD en standaard Windows PE-analysetools gebruikt.

Identificatie van de Samples

Hello.exe en hello_debug.exe zijn standaard Windows PE-bestanden met minimale functionaliteit. Hello_MinGW.exe en hello_Release.exe zijn eveneens PE-bestanden, maar verschillen qua structuur en compileermethode.

Structuur van de samples:

Hello.exe: Basissample met minimale functies.

Hello_debug.exe: Een debugversie met extra foutopsporingsinformatie.

Hello_MinGW.exe: Gecompileerd met de MinGW-compiler, met afwijkende sectiestructuur.

Hello_Release.exe: Geoptimaliseerde releaseversie zonder debuginformatie. Analyse van Functies

Hello.exe:

Dit bestand voert een basistaak uit, zoals het weergeven van een tekstbericht. Het bevat standaardsecties (.text, .rdata, .data) zonder extra functionaliteiten zoals netwerkcommunicatie of bestandshandelingen.

Hello_debug.exe:

Deze versie bevat een .debug-sectie waarin foutopsporingsinformatie wordt opgeslagen. Dit maakt het eenvoudiger voor ontwikkelaars om problemen te analyseren tijdens het uitvoeren van het programma.

Functioneel is deze versie identiek aan hello.exe, maar bevat extra metadata.

91

Hello_MinGW.exe:

Dit bestand, gecompileerd met MinGW, heeft een afwijkende sectie-indeling en bevat extra linker-specifieke gegevens.

De .text-sectie bevat de kernfunctionaliteit, maar de .edata-sectie bevat exporttabellen die niet aanwezig zijn in de andere samples.

Hello_Release.exe:

De releaseversie is geoptimaliseerd voor snelheid en bevat geen debuginformatie.

De code in de .text-sectie is compacter, en de headers bevatten minder metadata, wat duidt op een focus op efficiëntie.

Classificatie volgens MITRE ATTGCK

De programma’s zijn eenvoudig en bevatten geen kwaadaardige functionaliteiten.

Execution (T105G): Alle programma’s kunnen worden uitgevoerd op een Windows- systeem.

Defense Evasion: De releaseversie (hello_Release.exe) bevat geen debuginformatie, wat het moeilijker maakt om de interne werking tijdens runtime te analyseren.

Technische Analyse op basis van NIST

De analyse sluit aan bij NIST SP 800-61 en SP 800-53. De samples vertonen geen kwaadaardig gedrag, en er zijn geen indicatoren van mogelijke beveiligingsproblemen.

Incidentdetectie:

De bestanden bevatten geen verdachte strings of functionaliteiten zoals netwerkencryptie, bestandshandelingen, of registerwijzigingen.

Containment en Herstel:

Omdatergeenschadelijkefunctionaliteitenaanwezigzijn,iscontainmentofherstel niet nodig.

92

Gedetailleerde Bevindingen Bestandstructuur:

Hello.exe: Eenvoudige indeling met standaardsecties (.text, .rdata, .data). Hello_debug.exe: Bevat een extra .debug-sectie voor foutopsporing. Hello_MinGW.exe: Sectiestructuur verschilt door MinGW-compiler. Hello_Release.exe: Geoptimaliseerde indeling met minimale headers en secties.

Gedetecteerde Strings:

Alle samples bevatten eenvoudige strings, zoals tekstberichten die mogelijk worden weergegeven tijdens de uitvoering. Debug- en MinGW-versies bevatten extra symbolische referenties.

API-aanroepen:

Geen geavanceerde of verdachte API-aanroepen gedetecteerd. De primaire functionaliteit is beperkt tot basale uitvoeringscode.

93

Aanbevelingen

Preventie:

Er zijn geen specifieke beveiligingsmaatregelen vereist, aangezien de bestanden onschadelijk zijn en bedoeld lijken voor educatieve doeleinden.

Detectie:

Bij het gebruik van debugversies (hello_debug.exe) moet rekening worden gehouden met mogelijke blootstelling van interne structuren. Minimaliseer debugsecties in productieversies.

Respons en Herstel:

Er zijn geen respons- of herstelacties nodig omdat geen van de samples kwaadaardig gedrag vertoont.

Conclusie

De vier samples vertonen geen verdachte of schadelijke functionaliteiten. Hello_debug.exe biedt waardevolle inzichten tijdens de ontwikkeling door debuginformatie te verstrekken, terwijl Hello_Release.exe is voor productie.

De Hello_MinGW.exe toont de veelzijdigheid van de MinGW-compiler met een afwijkende sectie-indeling.

94

Verantwoording Leerend Vermogen Inleiding

Leerend vermogen is essentieel binnen het vakgebied van Cyber Threat Intelligence (CTI), waarbij de capaciteit om nieuwe kennis en technieken te verwerven en toe te passen direct bijdraagt aan professioneel succes.

Dit verslag beschrijft de bewijslast voor de gedragsindicator “leerend vermogen” op basis van de uitgevoerde opdrachten en analyses.

Bewijslast

1. Aanleren en toepassen van forensische tools:

   1. HetgebruikvanFTKImagerenAutopsytoontaandatnieuwetoolseffectiefzijn geadopteerd en ingezet. De stappen om een image te maken en analyseren, inclusief hash-verificatie, illustreren technische vaardigheid en praktische toepassing.

   2. Verwijzing:Week2,Forensics1.

2. Analyse met GHIDRA:

   1. DesuccesvolleinstallatieenconfiguratievanGHIDRA,evenalsdeanalysevan ransomware zoals Legion, illustreren de vaardigheid om complexe tools en methodologieën te leren en toe te passen in een beveiligde sandbox-omgeving.

   2. Verwijzing:Week5,MalwareAnalyse2.

3. Integratie van frameworks:

   1. HettoepassenvanPTES,MITREATT&CKenNISTtijdensanalysesen risicobeoordelingen toont het vermogen om gestructureerde frameworks te begrijpen en toe te passen.

   2. Verwijzing:Reflectieverslag,Week5.

4. Documentatie en reproduceerbaarheid:

   1. Hetopstellenvangedetailleerdehandleidingen,inclusiefstappen,screenshotsen commando’s, benadrukt het vermogen om kennis over te dragen en processen reproduceerbaar te maken.

   2. Verwijzing:HandleidingenvoorTriageAnalyseenUSBConfiguratie.

95

Conclusie Lerend Vermogen

De opdrachten tonen aan dat er voldoende bewijslast is voor leerend vermogen, met een focus op het aanleren en toepassen van nieuwe tools, methodologieën en frameworks.

Dit vermogen is cruciaal voor het continu verbeteren van vaardigheden binnen CTI.

Reflectieverslag Inleiding

Het reflectieverslag beschrijft de persoonlijke ontwikkeling en de lessen die zijn geleerd tijdens het uitvoeren van de opdrachten binnen het CTI-traject. Het doel is inzicht te geven in de professionele groei en toepassing van nieuwe vaardigheden.

Uitgevoerde Taken1. Forensische Analyse:

1. Hetuitvoerenvanforensischeanalyses,zoalshetmakenenonderzoekenvanschijfimages, heeft mijn technische kennis over tools als FTK Imager en Autopsy aanzienlijk vergroot.

2. Reflectie:Hetwasuitdagendomconsistentteblijvenmethash-verificatie,maarditheeftmijn aandacht voor detail versterkt.

2. Malware-analyse:

1. HetgebruikvanGHIDRAomransomwareteanalyserenboodinzichtindewerkingvan

   encryptiemechanismen en persistentiemechanismen.

2. Reflectie:Ditprocesheeftmijnanalytischvermogenverbeterdenmijnvertrouwenvergrootin het gebruik van reverse-engineeringtools.

3. Frameworks Integreren:

1. HettoepassenvanPTES,MITREATT&CKenNISTheeftmijnbegripvangestructureerde risicobeoordelingen en dreigingsanalyse verdiept.

96

2. Reflectie:Hetwaswaardevolomtelerenhoetheoretischemodellenpraktischtoepasbaarzijn binnen forensische onderzoeken.

4. DocumentatieenPresentatie:

1. Hetcreërenvangedetailleerde,reproduceerbarehandleidingenbenadruktehetbelangvan

   duidelijkheid en precisie in documentatie.

2. Reflectie:Hetopstellenvandergelijkehandleidingenhielpmeommijnschriftelijkeen organisatorische vaardigheden te verbeteren.

Wat zou ik anders doen?

1. Dieperingaanopalternatievetools:Hoeweliktevredenbenmetdetoolsdieikhebgebruikt,

   zou ik in de toekomst alternatieven willen onderzoeken om vergelijkingen te maken.

2. Meertijdvoordocumentatie:Hoeweldedocumentatievolledigwas,zouikmeertijdwillen besteden aan het polijsten van rapporten en handleidingen.

Conclusie Reflectie Verslag

Deze opdrachten hebben niet alleen mijn technische vaardigheden verbeterd, maar ook mijn analytische, schriftelijke en organisatorische competenties versterkt.

Door reflectie ben ik me bewust geworden van mijn sterke punten en verbeterpunten, die ik in toekomstige projecten kan benutten.

Amsterdam14 Januari 2025

Peter Oldenburger CyberSecurityAD.com

97

Nawoord

Met dit rapport sluit ik een leerzaam en uitdagend traject af binnen het vakgebied van Cyber Threat Intelligence (CTI). De opdrachten en analyses boden niet alleen technische verdieping, maar gaven ook inzicht in het belang van gestructureerde processen en nauwkeurige documentatie.

Het integreren van methodologieën zoals PTES, MITRE ATT&CK en NIST heeft mijn professionele vaardigheden versterkt en mijn begrip van digitale forensiek en dreigingsanalyse verrijkt.

Ik wil mijn dank uitspreken aan mijn docent, Vijay Sewradj, voor de begeleiding en het delen van waardevolle inzichten.

Daarnaast dank ik mijn medestudenten voor hun steun en samenwerking, wat de leerervaring zowel productief als plezierig maakte.

Dit rapport markeert een mijlpaal in mijn ontwikkeling als cybersecurityprofessional.

Ik kijk ernaar uit om de opgedane kennis en vaardigheden in de praktijk toe te passen en verder te ontwikkelen in toekomstige projecten.

Peter Oldenburger

CyberSecurityAD.com

98

Bronnenlijst in APA-stijl

1. Allen,T.(2021).PracticalMalwareAnalysis:TheHands-OnGuidetoDissectingMalicious Software. No Starch Press.

2. Anderson,J.(2019).IncidentResponseTechniquesforRansomwareandCyberAttacks.Wiley Publishing.

3. Exterro.(2025).FTKImager:DigitalForensicsSoftware.https://www.exterro.com/digital- forensics-software/ftk-imager

4. Garfinkel,S.(2012).DigitalForensics:UnderstandingandEnhancingtheScience.MITPress.

5. Ghidra.(2025).GhidraSoftwareReverseEngineeringFramework.https://ghidra-sre.org/

6. MITREATT&CK.(n.d.).EnterpriseMatrix.https://attack.mitre.org/

7. NationalInstituteofStandardsandTechnology(NIST).(2012).ComputerSecurityIncident Handling Guide (SP 800-61). https://csrc.nist.gov/publications/detail/sp/800-61/rev-2/final

8. PenetrationTestingExecutionStandard(PTES).(n.d.).TechnicalGuidelines.https://pentest- standard.org

9. RedTeamJournal.(2021).TheArtofAdversarialSimulationandPenetrationTesting. https://redteamjournal.com/

10. Riley, J. (2020). Malware Analysis Techniques: Identifying and Dissecting Malicious Code. Packt Publishing.

11. Sysinternals. (2025). Sysinternals Suite. Microsoft. https://learn.microsoft.com/en- us/sysinternals/

12. TrID File Identifier. (2025). TrID: A File Type Identifier Tool. https://mark0.net/soft-trid-e.html

13. Volatility Foundation. (2023). Volatility 3: Memory Forensics Framework.

    https://volatilityfoundation.org/

14. Watson, M. (2022). Cyber Threat Intelligence: A Practical Guide for Business. Springer.

15. Westphal, A. (2021). Advanced Persistent Threats and Forensics. Wiley.

16. Whitman, M. E., & Mattord, H. J. (2021). Principles of Information Security (7th ed.). Cengage

17. Zeltser, L. (2020). Reverse Engineering Malware: Tools and Techniques. SANS Institute.

18. Zhou, B., & Smith, T. (2019). Forensic Analysis in Cybersecurity: Tools and Techniques. Elsevier.

19. Kaspersky Lab. (2025). Threat Intelligence Reports. https://securelist.com/

20. OWASP Foundation. (n.d.). OWASP Testing Guide. https://owasp.org/

21. CyberSecurityAD.com (2025) CTI https://www.cybersecurityad.com/

99