Trinn i cyberdrepekjede

Simen Stensrud
Trinn i cyberdrepekjede

Cyber ​​Kill Chain

Cyber ​​Kill Chain (CKC) er en tradisjonell sikkerhetsmodell som beskriver et old-school-scenario, en ekstern angriper som tar skritt for å trenge gjennom et nettverk og stjele dets databrytende angrepstrinnene for å hjelpe organisasjoner med å forberede seg. CKC er utviklet av et team kjent som Computer Security Response Team. Cyber ​​Kill -kjeden beskriver et angrep fra en ekstern angriper som prøver å få tilgang til data i omkretsen av sikkerheten

Hvert trinn i cyberdrapkjeden viser et spesifikt mål sammen med angriperens måte. Design cybermodellen Killing Chain Surveillance and Response Plan er en effektiv metode, ettersom den fokuserer på hvordan angrepene skjer. Stadier inkluderer:

  • Rekognosering
  • Våpenisering
  • Leveranse
  • Utnyttelse
  • Installasjon
  • Kommandere og kontrollere
  • Handlinger på mål

Trinnene i Cyber ​​Kill -kjeden vil nå bli beskrevet:

Trinn 1: Rekognosering

Det inkluderer høsting av e -postadresser, informasjon om konferansen osv. Rekognoseringsangrep betyr at det er en innsats av trusler for å hente data om nettverkssystemer så mye som mulig før du starter andre mer ekte fiendtlige typer angrep. Rekognoseringsangrepere er av to typer passiv rekognosering og aktiv rekognosering. Anerkjennelsesangriper fokuserer på "hvem" eller nettverk: Hvem vil sannsynligvis fokusere på de privilegerte menneskene enten for systemtilgang, eller tilgang til "nettverk" konfidensielle data fokuserer på arkitektur og layout; verktøy, utstyr og protokollene; og den kritiske infrastrukturen. Forstå offerets oppførsel, og bryte inn i et hus for offeret.

Trinn 2: Våpenisering

Forsynings nyttelast ved koblingsutnyttelse med bakdør.

Deretter vil angripere bruke sofistikerte teknikker for å gjenopprette en viss kjernevesen som passer deres formål. Den skadelige programvaren kan utnytte tidligere ukjente sårbarheter, også "null-dagers" utnyttelse, eller en kombinasjon av sårbarheter for å rolig beseire forsvaret i et nettverk, avhengig av angriperens behov og evner. Ved å gjenopprette malware, reduserer angripere sjansene for at tradisjonelle sikkerhetsløsninger vil oppdage den. "Hackerne brukte tusenvis av internettenheter som tidligere er infisert med en ondsinnet kode - kjent som et" botnet "eller, spøkefullt, en" zombiehær " - og tvang en spesielt kraftig distribuert nektelse av tjeneste -angriff (DDOS).

Trinn 3: Levering

Angriperen sender offeret ondsinnet nyttelast ved hjelp av e -post, som bare er en av mange mange angriperen kan bruke inntrengingsmetoder. Det er over 100 mulige leveringsmetoder.

Mål:
Angripere starter inntrenging (våpen utviklet i forrige trinn 2). De grunnleggende to metodene er:

  • Kontrollert levering, som representerer direkte levering, og hacker en åpen port.
  • Levering frigjøres til motstanderen, som overfører skadelig programvare til målet ved å phishing.

Dette stadiet viser den første og mest betydningsfulle muligheten for forsvarere til å hindre en operasjon; Noen nøkkelfunksjoner og annen høyt verdsatt informasjon om data blir imidlertid beseiret ved å gjøre dette. På dette stadiet måler vi levedyktigheten til forsøkene på brøkinntrengingen, som er hindret ved transportpunktet.

Trinn 4: Utnyttelse

Når angripere identifiserer en endring i systemet ditt, utnytter de svakheten og utfører angrepet sitt. Under utnyttelsesstadiet av angrepet vil angriperen og vertsmaskinen kompromittert leveringsmekanisme typisk ta ett av to tiltak:

  • Installer malware (en dropper), som tillater utførelse av angriperkommandoen.
  • Installer og last ned malware (en nedlaster)

De siste årene har dette blitt et kompetanseområde innen hackingssamfunnet som ofte demonstreres på arrangementer som Blackhat, Defcon og lignende.

Trinn 5: Installasjon

På dette stadiet tillater installasjonen av en ekstern tilgangstrojan eller bakdør på offerets system at utfordreren kan opprettholde utholdenhet i miljøet. Å installere skadelig programvare på eiendelen krever sluttbrukerinvolvering ved uforvarende å aktivere den ondsinnede koden. Handling kan sees på som kritisk på dette tidspunktet. En teknikk for å gjøre dette ville være å implementere et vertsbasert inntrengingsforebyggende (HIPS) -system for å gi forsiktighet eller sette en barriere for felles veier, for eksempel. NSA Job, gjenvinning. Å forstå om skadelig programvare krever privilegier fra administratoren eller bare fra brukeren for å utføre målet er kritisk. Forsvarere må forstå endepunktrevisjonsprosessen for å avdekke unormale kreasjoner av filer. De trenger å vite hvordan de skal kompilere timing av malware for å avgjøre om den er gammel eller ny.

Trinn 6: Kommando og kontroll

Ransomware bruker tilkoblinger for å kontrollere. Last ned tastene for å kryptere før du griper inn filene. Trojanere ekstern tilgang, for eksempel, åpner en kommando og kontrollerer tilkoblingen slik at du kan nærme deg systemdataene eksternt. Dette gir mulighet for kontinuerlig tilkobling for miljøet og detektivmålingsaktiviteten på forsvaret.

Hvordan virker det?

Kommando- og kontrollplan utføres vanligvis via et fyrtårn ut av nettet over den tillatte banen. Beacons har mange former, men de har en tendens til å være i de fleste tilfeller:

Http eller https

Virker godartet trafikk gjennom forfalskede HTTP -overskrifter

I tilfeller der kommunikasjonen er kryptert, har beacons en tendens til å bruke autosignerte sertifikater eller tilpasset kryptering.

Trinn 7: Handlinger på mål

Handling refererer til måten angriperen oppnår sitt endelige mål. Angriperens endelige mål kan være hva som helst å hente ut løsepenger fra deg til dekrypter filer til kundeinformasjon fra nettverket. I innholdet kan det sistnevnte eksemplet stoppe eksfiltrering av forebyggingsløsninger for tap av data før data forlater nettverket ditt. Ellers kan angrep brukes til å identifisere aktiviteter som avviker fra faste baselinjer og varsler om at noe er galt. Dette er en intrikat og dynamisk angrepsprosess som kan finne sted i måneder og hundrevis av små trinn for å oppnå. Når dette stadiet er identifisert i et miljø, er det nødvendig å sette i gang implementeringen av forberedte reaksjonsplaner. I det minste bør det planlegges en inkluderende kommunikasjonsplan, som innebærer detaljert bevis på informasjon som bør heves til det høyest rangerte tjenestemannen eller administrerende styret, distribusjonen av endepunktsikkerhetsenheter for å blokkere informasjonstap, og forberedelsene til å orientere en CIRT -gruppe. Å ha disse ressursene godt etablert på forhånd er et "must" i dagens raskt utviklende cybersikkerhetstrusselandskap.

Linux -kommandoer
Hvordan installere pakken med Deb-Fet Command i Linux
Deb-get er et kraftig kommandolinjeverktøy for å installere pakker på Linux-systemer. Følg denne opp...
Mathias Halvorsen
C ++
Hva er const -referanse i C ++
Const Reference er en nyttig funksjon i C ++, som fungerer som en peker, men med noen viktige forskj...
Simen Ødegård
Aws
Hva er Amazon Web Services og hvorfor er det så vellykket?
AWS -tjeneste er en allment akseptert skyplattform av millioner av brukere over hele kloden. Det har...
Daniel Berntsen
PostgreSql
PostgreSQL opprette indeks samtidig
Lars Solberg
Oracle Linux
Hvordan installere og bruke Oracle VirtualBox Extension Pack?
Oskar Fossum
Python
Python Ikke alle argumenter som er konvertert under strengformatering
Simen Ødegård
Salesforce
Salesforce Data Loader
Elias Krogh Svendsen
Linux -kommandoer
Hvordan installere og aktivere SSH multifaktorautentisering for Linux-systemer
Elias Aalerud Aasen
C skarp
Hvordan bruke langt søkeord i C#
Mathias Halvorsen
C ++
Forståelse mens du er sløyfe i C ++
Mathias Halvorsen
C ++
Hva er mens du er sløyfe i C++?
Daniel Johnsen
Kraftskall
Hvordan bruke kommandoen “Start-Sleep” i PowerShell?
Oskar Fossum
Git
Hvordan tvinge Git -kassen?
Jørgen Christiansen