Kroki łańcucha zabijania cybernetycznego

Albert Szcześniak
Kroki łańcucha zabijania cybernetycznego

Cyberbryli łańcuch

Cyber ​​Kill Chain (CKC) to tradycyjny model bezpieczeństwa, który opisuje scenariusz oldschoolowy, zewnętrzny atakujący podejmujący kroki w celu przenikania do sieci i kradzieży przełomu danych w celu pomocy organizacjom w przygotowaniu. CKC jest opracowywany przez zespół znany jako zespół reagowania na bezpieczeństwo komputerów. Łańcuch cyberbryli opisuje atak zewnętrznego atakującego, który próbuje uzyskać dostęp do danych na obwodzie bezpieczeństwa

Każdy etap łańcucha cyberbryli pokazuje określony cel wraz z drogą atakującego. Zaprojektuj swój cyberprzestępczość Nadzoru i reagowania łańcucha zabijania i reagowania jest skuteczną metodą, ponieważ koncentruje się na tym, jak się zdarzają. Etapy obejmują:

  • Rekonesans
  • Broń
  • Dostawa
  • Eksploatacja
  • Instalacja
  • Polecenie i kontrola
  • Działania dotyczące celów

Kroki łańcucha cyberbryli zostaną teraz opisane:

Krok 1: Rozpoznanie

Obejmuje zbiór adresów e -mail, informacje o konferencji itp. Atak rozpoznawczy oznacza, że ​​groźby jest jak najwięcej danych o systemach sieciowych. Atakerzy zwiadowczemu są dwóch typów pasywnych rozpoznawczych i aktywnych rozpoznawczych. Atakator rozpoznawania koncentruje się na „WHO” lub sieci: kto prawdopodobnie skupi się na uprzywilejowanych osobach, aby uzyskać dostęp do systemu lub dostęp do „sieciowych” poufnych danych koncentrujących się na architekturze i układu; narzędzie, sprzęt i protokoły; i krytyczna infrastruktura. Zrozum zachowanie ofiary i włam się do domu dla ofiary.

Krok 2: Broń

Ładunek dostaw poprzez połączenie exploitów z backdoor.

Następnie atakujący wykorzystają wyrafinowane techniki, aby ponownie zaprojektować podstawowe złośliwe oprogramowanie, które odpowiadają ich celom. Złośliwe oprogramowanie może wykorzystać wcześniej nieznane luki, czyli wyczyny „Zero-Day”, lub pewną kombinację luk w zabezpieczeniach, aby po cichu pokonać obronę sieci, w zależności od potrzeb i umiejętności napastnika. Ponowne zetnagia się na złośliwe oprogramowanie, atakujący zmniejszają szanse, że tradycyjne rozwiązania bezpieczeństwa go wykrywają. „Hakerzy używali tysięcy urządzeń internetowych, które są wcześniej zarażone złośliwym kodeksem - znanym jako„ botnet ”lub żartobliwie,„ armia zombie ” - zmuszającego szczególnie potężnego rozproszonego zaprzeczenia usług angriff (DDOS).

Krok 3: Dostawa

Atakujący wysyła ofiarę złośliwą ładunek za pomocą wiadomości e -mail, który jest tylko jednym z wielu osób atakujących może zastosować metody włamania. Istnieje ponad 100 możliwych metod dostarczania.

Cel:
Atakerzy zaczynają wtargnięcie (broń opracowana w poprzednim kroku 2). Podstawowe dwie metody to:

  • Kontrolowana dostawa, która reprezentuje bezpośrednią dostawę, hakowanie otwartego portu.
  • Dostawa jest uwalniana do przeciwnika, który przesyła złośliwe oprogramowanie do celu przez phishing.

Ten etap pokazuje pierwszą i najważniejszą okazję dla obrońców do utrudniania operacji; Jednak niektóre kluczowe możliwości i inne wysoko cenione informacje o danych są pokonane przez to. Na tym etapie mierzymy żywotność prób ułamkowego wtargnięcia, które są utrudnione w punkcie transportu.

Krok 4: Wykorzystanie

Gdy napastnicy zidentyfikują zmianę w twoim systemie, wykorzystują słabość i wykonują swój atak. Podczas etapu eksploatacji ataku atakujący i maszyna hosta są zagrożonym mechanizmem dostarczania, zwykle podejmują jeden z dwóch środków:

  • Zainstaluj złośliwe oprogramowanie (Dropper), które umożliwia wykonanie polecenia atakującego.
  • Zainstaluj i pobierz złośliwe oprogramowanie (downloader)

W ostatnich latach stało się to dziedziną wiedzy specjalistycznej w społeczności hakerskiej, która jest często demonstrowana na wydarzeniach takich jak Blackhat, Defcon i tym podobne.

Krok 5: Instalacja

Na tym etapie instalacja zdalnego trojana lub backdoora w systemie ofiary pozwala pretendentowi na utrzymanie wytrwałości w środowisku. Instalowanie złośliwego oprogramowania w zasobach wymaga zaangażowania użytkownika końcowego poprzez nieświadomie włączenie złośliwego kodu. Działanie może być postrzegane jako krytyczne w tym momencie. Technikiem tego byłoby wdrożenie systemu zapobiegania włamaniom (HIPS) opartym na gospodarzach w celu zapewnienia ostrożności lub umieszczenia bariery na wspólnych ścieżkach, na przykład. NSA Job, recycler. Zrozumienie, czy złośliwe oprogramowanie wymaga uprawnień od administratora, czy tylko od użytkownika do wykonania celu, ma kluczowe znaczenie. Obrońcy muszą zrozumieć proces kontroli punktu końcowego, aby odkryć nieprawidłowe tworzenie plików. Muszą wiedzieć, jak skompilować złośliwe oprogramowanie, aby ustalić, czy jest ono stare czy nowe.

Krok 6: Polecenie i kontrola

Ransomware używa połączeń do sterowania. Pobierz klucze do szyfrowania przed przejęciem plików. Na przykład zdalny dostęp do zdalnego Trojans otwiera polecenie i steruje połączeniem, abyś mógł zdalnie podchodzić do danych systemowych. Pozwala to na ciągłą łączność dla środowiska i działalność detektywistyczną w obronie.

Jak to działa?

Plan dowodzenia i kontroli jest zwykle wykonywany przez latarnię z siatki nad dozwoloną ścieżką. Systronki przybierają wiele form, ale w większości przypadków są one w większości przypadków:

HTTP lub HTTPS

Wydaje się łagodny ruch przez sfałszowane nagłówki HTTP

W przypadkach, w których komunikacja jest szyfrowana, sygnały nawigacyjne używają automatycznych certyfikatów lub niestandardowych szyfrowania.

Krok 7: Działania dotyczące celów

Działanie odnosi się do sposobu, w jaki atakujący osiągnie swój ostateczny cel. Ostatecznym celem atakującego może być wszystko, aby wyodrębnić okup z ciebie do odszyfrowania plików do informacji o klientach z sieci. W treści ten drugi przykład może powstrzymać exfiltracja rozwiązań zapobiegania utratę danych. W przeciwnym razie ataki można wykorzystać do identyfikacji działań, które odbiegają od ustalonych linii bazowych i powiadomić je, że coś jest nie tak. Jest to skomplikowany i dynamiczny proces napaści, który może odbywać się w miesiącach i setki małych kroków do osiągnięcia. Po zidentyfikowaniu tego etapu w środowisku konieczne jest zainicjowanie wdrażania przygotowanych planów reakcji. Przynajmniej należy zaplanować plan komunikacji integracyjnej, który obejmuje szczegółowe dowody informacji, które powinny zostać podniesione do najwyższego urzędnika lub zarządu, wdrożenia urządzeń bezpieczeństwa końcowego w celu zablokowania utraty informacji oraz przygotowania do krótkiego grupa Cirt. Ustanowienie tych zasobów z wyprzedzeniem jest „koniecznością” w dzisiejszym szybko rozwijającym się krajobrazie zagrożenia cyberbezpieczeństwem.

AWS
Co to jest instancja i jak go używać w EC2?
Instancja to maszyna wirtualna znajdująca się w chmurze, która może kosztować jej użycie. Usługa EC2...
Zofia Góra
C ++
Jaki jest typ danych w C ++
W C ++ batatype char reprezentuje dane w formie znaku. Ta zmienna przyjmuje tylko jedną zmienną na r...
Makary Stasiak
PowerShell
Jak używać zmiennych w PowerShell
Zmienne są używane do przechowywania różnych rodzajów wartości, takich jak struny lub liczby całkowi...
Bertram Jóźwiak
Pyton
Python Oserror
Oliwia Makowski
Pyton
Numpy Astype
Albert Szcześniak
Siły sprzedaży
Salesforce Data Loader
Larysa Witczak
php
Jak używać wyrażeń regularnych w PHP
Renata Borowiec
Baza danych Oracle
Jak połączyć się z bazą danych Oracle Top 10C za pomocą programisty SQL?
Maja Kucharski
php
Jak używać funkcji PHP Strcmp
Igor Skrzypek
Doker
Jakie są kroki do wdrożenia obrazu Nginx za pomocą Dockera?
Justyna Flak
Jawa
Jak przekonwertować mapę na ciąg w Javie?
Oliwia Makowski
JavaScript
Jak TypeScript różni się od JavaScript?
Pani Alicja Szafrański
Git
Jak wygenerować plik git za pomocą terminalu? |. Wyjaśnione
Bertram Jóźwiak