Kroky reťazca kybernetického zabíjania

Cyber ​​kill chain

Reťazec cyber kill (CKC) je tradičný bezpečnostný model, ktorý popisuje scenár zo starej školy. Externý útočník podniká kroky na prienik do siete a krádež jej dátových rozpisov krokov na útok, aby pomohol organizáciám pripraviť. CKC vyvíja tím známy ako tím reakcie na počítačovú bezpečnosť. Reťazec kybernetického zabitia popisuje útok externého útočníka, ktorý sa pokúša získať prístup k údajom v rámci zabezpečenia

Každá fáza reťazca kybernetického zabíjania ukazuje konkrétny cieľ spolu s cieľom útočníka Waya. Navrhnite svoj plán sledovania a odozvy na zabíjanie reťazcov podľa kybernetického modelu je efektívna metóda, ktorá sa zameriava na to, ako k útokom dochádza. Fázy zahŕňajú:

• Obhliadka
• Zbraňovanie
• Dodanie
• Vykorisťovanie
• Inštalácia
• Velenie a riadenie
• Opatrenia týkajúce sa cieľov

Teraz budú popísané kroky reťazca cyber kill:

Krok 1: Obhliadka

Zahŕňa to zber e-mailových adries, informácií o konferencii atď. Prieskumný útok znamená, že ide o snahu hrozieb čo najviac zozbierať údaje o sieťových systémoch pred zahájením ďalších skutočnejších nepriateľských druhov útokov. Prieskumní útočníci sú dvojakého typu: pasívny a aktívny. Program Recognition Attacker sa zameriava na „kto“ alebo na sieť: Kto sa pravdepodobne zameria na privilegované osoby buď pre prístup do systému, alebo pre prístup k „sieťovým“ dôverným údajom sa zameriava na architektúru a usporiadanie; nástroje, vybavenie a protokoly; a kritická infraštruktúra. Pochopte správanie obete a vniknite do domu pre obete.

Krok 2: Zbraňovanie

Dodajte užitočné zaťaženie spojením exploitov so zadnými vrátkami.

Útočníci potom použijú sofistikované techniky na opätovné zostavenie základného malvéru, ktorý vyhovuje ich účelom. Malvér môže využívať predtým neznáme chyby zabezpečenia, známe tiež ako „útoky nulového dňa“, alebo kombinovať niektoré chyby zabezpečenia, aby ticho porazil obranu siete, v závislosti od potrieb a schopností útočníka. Úpravou škodlivého softvéru útočníci znižujú pravdepodobnosť, že ho tradičné bezpečnostné riešenia odhalia. „Hackeri použili tisíce internetových zariadení, ktoré boli predtým infikované škodlivým kódom - známym ako„ botnet “alebo, žartom,„ zombie armádou “-, čo si vynútilo obzvlášť silné distribuované odmietnutie služby Angriff (DDoS).

Krok 3: Doručenie

Útočník odošle obeti škodlivé užitočné zaťaženie pomocou e-mailu, čo je len jedna z mnohých možností, ktorú môže útočník použiť. Existuje viac ako 100 možných spôsobov doručenia.

Cieľ:
Útočníci začínajú vnikanie (zbrane vyvinuté v predchádzajúcom kroku 2). Základné dve metódy sú:

• Kontrolované doručenie, ktoré predstavuje priame doručenie, napadnutie otvoreného portu.
• Doručenie sa uvoľní súperovi, ktorý phishingom prenesie Malware na cieľ.

Táto fáza ukazuje prvú a najvýznamnejšiu príležitosť obrancov brániť v operácii; tým sú však porazené niektoré kľúčové schopnosti a ďalšie vysoko cenené informácie o údajoch. V tejto fáze meriame životaschopnosť pokusov o čiastočné vniknutie, ktoré sú brzdené v mieste prepravy.

Krok 4: Vykorisťovanie

Akonáhle útočníci identifikujú zmenu vo vašom systéme, využijú túto slabosť a vykonajú útok. Počas fázy vykorisťovania útoku sú útočník a hostiteľský počítač napadnutí. Mechanizmus doručenia zvyčajne vykoná jedno z dvoch opatrení:

• Nainštalujte malvér (kvapkadlo), ktorý umožňuje vykonanie príkazu útočníka.
• Inštalácia a stiahnutie škodlivého softvéru (sťahovač)

V posledných rokoch sa z toho stala oblasť odborníkov v hackerskej komunite, ktorá sa často demonštruje na udalostiach ako Blackhat, Defcon a podobne.

Krok 5: Inštalácia

V tejto fáze umožňuje inštalácia trójskeho koňa so vzdialeným prístupom alebo zadných vrátok v systéme obete uchádzačovi zachovať vytrvalosť v prostredí. Inštalácia malvéru do diela vyžaduje zapojenie koncového používateľa nechceným povolením škodlivého kódu. V tomto okamihu možno považovať opatrenia za kritické. Technika, ako to dosiahnuť, by bola implementácia systému prevencie narušenia na základe hostiteľa (HIPS), ktorý by bol opatrný alebo aby bránil bežným cestám, napríklad. Práca NSA, RECYKLÁR. Pochopenie, či malvér vyžaduje na vykonanie cieľa oprávnenie od správcu alebo iba od používateľa, je zásadné. Ochrancovia musia porozumieť procesu kontroly koncového bodu, aby odhalili neobvyklé vytváranie súborov. Potrebujú vedieť, ako zostaviť časovanie škodlivého softvéru, aby určili, či je starý alebo nový.

Krok 6: Velenie a riadenie

Ransomware používa na kontrolu pripojenie. Pred zabavením súborov si stiahnite kľúče na šifrovanie. Vzdialený prístup trójskych koní napríklad otvorí príkaz a bude ovládať pripojenie, aby ste sa mohli vzdialene priblížiť k svojim systémovým údajom. To umožňuje nepretržité prepojenie s prostredím a činnosť detektívnych opatrení na obranu.

Ako to funguje?

Plán velenia a riadenia sa zvyčajne vykonáva prostredníctvom majáku mimo mriežku cez povolenú cestu. Majáky majú veľa podôb, väčšinou však bývajú:

HTTP alebo HTTPS

Zdá sa, že je to neškodná prevádzka prostredníctvom sfalšovaných hlavičiek HTTP

V prípadoch, keď je komunikácia šifrovaná, majáky zvyknú používať certifikáty s automatickým podpisom alebo vlastné šifrovanie.

Krok 7: Opatrenia týkajúce sa cieľov

Akcia označuje spôsob, akým útočník dosiahne svoj konečný cieľ. Konečným cieľom útočníka môže byť čokoľvek, aby z vás vyťažil Výkupné a dešifroval súbory zo siete na informácie o zákazníkoch. Druhý príklad by v obsahu mohol zastaviť exfiltráciu riešení prevencie straty dát skôr, ako dáta opustia vašu sieť. V opačnom prípade je možné útoky použiť na identifikáciu aktivít, ktoré sa odchyľujú od stanovených základných línií, a na informovanie IT, že niečo nie je v poriadku. Jedná sa o zložitý a dynamický útočný proces, ktorý sa dá uskutočniť za mesiace a stovky malých krokov. Po identifikácii tejto etapy v prostredí je potrebné zahájiť implementáciu pripravených reakčných plánov. Mal by sa naplánovať prinajmenšom inkluzívny komunikačný plán, ktorý zahŕňa podrobné dôkazy o informáciách, ktoré by sa mali poskytnúť najvyššiemu úradníkovi alebo správnej rade, nasadenie bezpečnostných zariadení koncových zariadení na blokovanie straty informácií a príprava na krátke informovanie. skupina CIRT. Mať tieto zdroje vopred dobre zavedené je „MUSÍTE“ v dnešnom rýchlo sa rozvíjajúcom prostredí hrozieb kybernetickej bezpečnosti.