Этапы цепочки кибер-убийств

Цепочка кибер-убийств

Cyber ​​kill chain (CKC) - это традиционная модель безопасности, описывающая старый сценарий, когда внешний злоумышленник предпринимает шаги для проникновения в сеть и кражи ее данных, разбивая шаги атаки, чтобы помочь организациям подготовиться. CKC разработан командой, известной как группа реагирования на компьютерную безопасность. Цепочка кибер-убийств описывает атаку внешнего злоумышленника, пытающегося получить доступ к данным в периметре защиты

Каждый этап цепочки кибер-убийств показывает конкретную цель вместе с целью атакующего. Разработайте свою кибермодель, план наблюдения и реагирования на цепочку убийств - эффективный метод, поскольку он фокусируется на том, как происходят атаки. Этапы включают:

• Разведка
• Вооружение
• Доставка
• Эксплуатации
• Монтаж
• Командование и контроль
• Действия по целям

Теперь будут описаны этапы цепочки кибер-убийств:

Шаг 1: Разведка

Он включает сбор адресов электронной почты, информацию о конференции и т. Д. Разведывательная атака означает, что это попытка угроз собрать как можно больше данных о сетевых системах, прежде чем начинать другие, более подлинно враждебные виды атак. Разведывательные атакующие бывают двух типов: пассивная разведка и активная разведка. Recognition Attacker фокусируется на «кто» или на сети: кто, вероятно, сосредоточится на привилегированных людях для доступа к Системе или доступа к «Сетевым» конфиденциальным данным, фокусируется на архитектуре и структуре; инструмент, оборудование и протоколы; и критическая инфраструктура. Понять поведение жертвы и ворваться в дом жертвы.

Шаг 2: вооружение

Поставляйте полезную нагрузку, связывая эксплойты с бэкдором.

Затем злоумышленники будут использовать сложные методы для перепроектирования некоторых основных вредоносных программ, которые соответствуют их целям. Вредоносное ПО может использовать ранее неизвестные уязвимости, известные как эксплойты «нулевого дня», или некоторую комбинацию уязвимостей, чтобы незаметно преодолеть защиту сети, в зависимости от потребностей и способностей злоумышленника. Реорганизуя вредоносное ПО, злоумышленники снижают вероятность его обнаружения традиционными решениями безопасности. «Хакеры использовали тысячи интернет-устройств, которые ранее были заражены вредоносным кодом - известным как« ботнет »или, в шутку,« армия зомби », - вызвав особенно мощный распределенный отказ в обслуживании Angriff (DDoS).

Шаг 3: Доставка

Злоумышленник отправляет жертве вредоносную полезную нагрузку по электронной почте, что является лишь одним из многих методов вторжения, которые злоумышленник может использовать. Существует более 100 возможных способов доставки.

Цель:
Злоумышленники начинают вторжение (оружие, разработанное на предыдущем шаге 2). Основными двумя методами являются:

• Контролируемая доставка, которая представляет собой прямую доставку, взлом открытого порта.
• Доставка отправляется противнику, который передает вредоносное ПО к цели с помощью фишинга.

Этот этап показывает первую и наиболее важную возможность для защитников воспрепятствовать операции; однако при этом теряются некоторые ключевые возможности и другая важная информация о данных. На этом этапе мы измеряем жизнеспособность попыток частичного вторжения, которым препятствуют в пункте транспортировки.

Шаг 4: эксплуатация

Как только злоумышленники обнаруживают изменение в вашей системе, они используют эту уязвимость и проводят атаку. На этапе эксплуатации атаки злоумышленник и хост-компьютер скомпрометированы Механизм доставки обычно принимает одно из двух мер:

• Установите вредоносное ПО (дроппер), которое позволяет выполнить команду злоумышленника.
• Установить и скачать вредоносное ПО (загрузчик)

В последние годы это стало областью знаний в хакерском сообществе, которая часто демонстрируется на таких мероприятиях, как Blackhat, Defcon и т. Д.

Шаг 5: установка

На этом этапе установка трояна удаленного доступа или бэкдора в системе жертвы позволяет сопернику сохранять настойчивость в своей среде. Установка вредоносного ПО на актив требует участия конечного пользователя путем невольного включения вредоносного кода. Действия можно рассматривать как критические на данном этапе. Один из способов сделать это - реализовать систему предотвращения вторжений на основе хоста (HIPS), чтобы предупредить или поставить барьер для общих путей, например. Работа в АНБ, РЕЦИКЛЕР. Понимание того, требует ли вредоносная программа прав от администратора или только от пользователя для выполнения цели, имеет решающее значение. Защитники должны понимать процесс аудита конечных точек, чтобы обнаруживать ненормальное создание файлов. Им нужно знать, как скомпилировать время вредоносного ПО, чтобы определить, старое оно или новое.

Шаг 6: Командование и контроль

Программа-вымогатель использует подключения для управления. Загрузите ключи к шифрованию, прежде чем захватывать файлы. Например, удаленный доступ троянов открывает команду и управляет соединением, чтобы вы могли удаленно обращаться к своим системным данным. Это позволяет поддерживать постоянную связь с окружающей средой и проводить детективные мероприятия защиты.

Как это работает?

План управления и контроля обычно выполняется с помощью маяка за пределами сети по разрешенному пути. Маяки могут иметь разные формы, но в большинстве случаев они бывают следующими:

HTTP или HTTPS

Кажется нормальным трафиком через фальсифицированные заголовки HTTP

В случаях, когда связь зашифрована, маяки, как правило, используют автоматически подписанные сертификаты или настраиваемое шифрование.

Шаг 7: Действия по достижению целей

Действие относится к способу, которым атакующий достигает своей конечной цели. Конечная цель злоумышленника может заключаться в том, чтобы получить от вас выкуп, чтобы расшифровать файлы с информацией о клиенте из сети. В контенте последний пример может остановить утечку решений по предотвращению потери данных до того, как данные покинут вашу сеть. В противном случае атаки можно использовать для выявления действий, которые отклоняются от установленных базовых показателей, и для уведомления ИТ-отдела о том, что что-то не так. Это сложный и динамичный процесс нападения, который может занять несколько месяцев, и для его выполнения нужно выполнить сотни небольших шагов. Как только эта стадия определена в среде, необходимо приступить к реализации подготовленных планов реагирования. По крайней мере, следует планировать всеобъемлющий план коммуникации, который включает подробное подтверждение информации, которая должна быть передана высокопоставленному должностному лицу или руководящему совету, развертывание устройств безопасности конечных точек для блокировки потери информации и подготовку к брифингу. группа CIRT. Заблаговременное создание этих ресурсов - ОБЯЗАТЕЛЬНО в сегодняшнем быстро меняющемся ландшафте угроз кибербезопасности.