Verkkomurhaketjun vaiheet

Cyber ​​tappaa ketju

Cyber ​​kill ketju (CKC) on perinteinen suojausmalli, joka kuvaa vanhan koulun skenaariota, jossa ulkoinen hyökkääjä ryhtyy toimiin verkon tunkeutumiseksi ja varastaa sen tiedot hajottamalla hyökkäyksen vaiheet auttaakseen organisaatioita valmistautumaan. CKC: n on kehittänyt tiimi, joka tunnetaan nimellä tietoturvavastaaja. Verkkomurhaketju kuvaa ulkoisen hyökkääjän hyökkäystä, joka yrittää päästä käsiksi tietoihin suojauksen rajojen sisällä

Tietoverkkotappiketjun jokainen vaihe osoittaa tietyn tavoitteen sekä hyökkääjä Wayn. Suunnittele kybermallisi tappoketjun valvonta- ja reagointisuunnitelma on tehokas menetelmä, koska se keskittyy siihen, miten hyökkäykset tapahtuvat. Vaiheet sisältävät:

• Tiedustelu
• Aseistaminen
• Toimitus
• Hyödyntäminen
• Asennus
• Komento ja kontrolli
• Tavoitteita koskevat toimet

Verkkomurhaketjun vaiheet kuvataan nyt:

Vaihe 1: Tiedustelu

Se sisältää sähköpostiosoitteiden sadonkorjuun, tietoja konferenssista jne. Tiedusteluhyökkäys tarkoittaa, että uhkauksilla pyritään keräämään tietoja verkkojärjestelmistä mahdollisimman paljon ennen muiden aitojen vihamielisten hyökkäysten aloittamista. Tutkimushyökkääjät ovat kahden tyyppisiä passiivisia tiedusteluja ja aktiivisia tiedusteluja. Tunnistushyökkääjä keskittyy "kuka" tai verkko: kuka todennäköisesti keskittyy etuoikeutettuihin ihmisiin joko järjestelmän saamiseksi tai pääsy luottamuksellisiin "verkko" -tietoihin keskittyy arkkitehtuuriin ja ulkoasuun; työkalu, laitteet ja protokollat; ja kriittinen infrastruktuuri. Ymmärtää uhrin käyttäytyminen ja murtautua uhrin taloon.

Vaihe 2: Aseistaminen

Toimita hyötykuorma yhdistämällä hyödyt takaoven kanssa.

Seuraavaksi hyökkääjät käyttävät kehittyneitä tekniikoita suunnitellakseen uudelleen joitain heidän tarkoituksiinsa sopivia ydinhaittaohjelmia. Haittaohjelma voi hyödyntää aiemmin tuntemattomia haavoittuvuuksia, eli nollapäivän hyväksikäyttöjä, tai joitain haavoittuvuuksien yhdistelmiä verkon puolustuksen hiljaiseksi voittamiseksi hyökkääjän tarpeista ja kyvyistä riippuen. Suunnittelemalla haittaohjelmat uudestaan ​​hyökkääjät vähentävät mahdollisuutta, että perinteiset tietoturvaratkaisut tunnistavat sen. "Hakkerit käyttivät tuhansia Internet-laitteita, jotka ovat aiemmin saastuneet haitallisella koodilla - joka tunnetaan nimellä" botnet "tai, vitsillä" zombie-armeija "- pakottaen erityisen voimakkaan hajautetun palveluneston (DDoS).

Vaihe 3: Toimitus

Hyökkääjä lähettää uhrille haitallisen hyötykuorman sähköpostitse, mikä on vain yksi niistä monista, jotka hyökkääjä voi käyttää tunkeutumismenetelmiä. Mahdollisia toimitustapoja on yli 100.

Kohde:
Hyökkääjät aloittavat tunkeutumisen (edellisessä vaiheessa 2 kehitetyt aseet). Kaksi perusmenetelmää ovat:

• Hallittu toimitus, joka tarkoittaa suoraa toimitusta, hakkerointi avointa porttia.
• Toimitus vapautetaan vastustajalle, joka välittää haittaohjelman kohteelle tietojenkalastelulla.

Tämä vaihe osoittaa puolustajien ensimmäisen ja merkittävimmän mahdollisuuden estää operaatio; Jotkin keskeiset ominaisuudet ja muut erittäin arvostetut tiedot häviävät näin. Tässä vaiheessa mitataan niiden osien tunkeutumisyritysten elinkelpoisuus, jotka ovat estettyjä kuljetuspisteessä.

Vaihe 4: Hyödyntäminen

Kun hyökkääjät havaitsevat muutoksen järjestelmässäsi, he käyttävät hyväkseen heikkoutta ja toteuttavat hyökkäyksensä. Hyökkäyksen hyväksikäytön aikana hyökkääjä ja isäntäkone vaarantuvat. Toimitusmekanismi toteuttaa tyypillisesti yhden kahdesta toimenpiteestä:

• Asenna haittaohjelma (dropper), joka sallii hyökkääjäkomennon suorittamisen.
• Asenna ja lataa haittaohjelma (latausohjelma)

Viime vuosina siitä on tullut hakkerointiyhteisön osaamisalue, joka osoitetaan usein Blackhatin, Defconin ja vastaavien kaltaisissa tapahtumissa.

Vaihe 5: Asennus

Tässä vaiheessa etäkäyttöisen troijalaisen tai takaoven asentaminen uhrin järjestelmään antaa kilpailijalle mahdollisuuden ylläpitää sitkeyttä ympäristössä. Haittaohjelman asentaminen omaisuuteen vaatii loppukäyttäjän osallistumista ottamalla vahingossa käyttöön haitallisen koodin. Toimintaa voidaan pitää kriittisenä tässä vaiheessa. Tekniikka tämän toteuttamiseksi olisi toteuttaa isäntäpohjainen tunkeutumisen estojärjestelmä (HIPS) varoituksen antamiseksi tai esteen asettamiseksi esimerkiksi yhteisille poluille. NSA-työ, Kierrätys. On kriittistä ymmärtää, vaatiiko haittaohjelma järjestelmänvalvojalta vai vain käyttäjältä etuoikeuksia kohteen toteuttamiseen. Puolustajien on ymmärrettävä päätepisteiden tarkastusprosessi paljastamaan epänormaalit tiedostojen luomukset. Heidän on osattava koota haittaohjelmien ajoitus sen selvittämiseksi, onko se vanha vai uusi.

Vaihe 6: Komento ja hallinta

Ransomware käyttää yhteyksiä hallita. Lataa salauksen avaimet ennen tiedostojen tarttumista. Esimerkiksi troijalaisten etäkäyttö avaa komennon ja ohjaa yhteyttä, jotta voit lähestyä järjestelmätiedot etänä. Tämä mahdollistaa jatkuvan yhteyden ympäristöön ja etsivän toiminnan aktiivisuuden puolustuksessa.

Kuinka se toimii?

Komento- ja ohjaussuunnitelma suoritetaan yleensä majakan kautta ruudukosta sallitun polun yli. Majakat ovat monessa muodossa, mutta ne ovat yleensä useimmissa tapauksissa:

HTTP tai HTTPS

Näyttää olevan hyvänlaatuista liikennettä väärennettyjen HTTP-otsikkojen kautta

Jos viestintä on salattu, majakat käyttävät yleensä automaattisia allekirjoituksia tai mukautettua salausta.

Vaihe 7: Tavoitteita koskevat toimet

Toiminta viittaa tapaan, jolla hyökkääjä saavuttaa lopullisen tavoitteensa. Hyökkääjän lopullinen tavoite voi olla mikä tahansa purkaa Ransom sinulta tiedostojen salauksen purkamiseksi asiakastietoihin verkosta. Sisällössä jälkimmäinen esimerkki voi lopettaa tietojen häviämisen estoratkaisujen suodattamisen ennen kuin tiedot poistuvat verkostasi. Muussa tapauksessa hyökkäyksiä voidaan käyttää tunnistamaan toimintoja, jotka poikkeavat asetetuista lähtötasoista, ja ilmoittamaan IT: lle, että jokin on vialla. Tämä on monimutkainen ja dynaaminen hyökkäysprosessi, joka voi tapahtua kuukausina ja satojen pienten vaiheiden suorittamiseksi. Kun tämä vaihe on tunnistettu ympäristössä, on aloitettava valmisteltujen reaktiosuunnitelmien toteutus. Ainakin olisi suunniteltava kattava viestintäsuunnitelma, joka sisältää yksityiskohtaisen näytön todisteista tiedoista, jotka tulisi kerätä korkeimmalle virkamiehelle tai hallintoneuvostolle, päätepisteiden turvalaitteiden käyttöönotosta tietojen häviämisen estämiseksi ja valmistelusta tiedotusten toimittamiseksi CIRT-ryhmä. Näiden resurssien vakiintuminen etukäteen on "PITÄÄ" nykypäivän nopeasti kehittyvässä kyberturvallisuuden uhka-ympäristössä.