В нескольких статьях мы упоминали о так называемом "цепь кибер-убийств"но при ближайшем рассмотрении мы так и не объяснили, что это такое.
Сегодня в этой короткой статье мы проследим за рождением модели и вместе попытаемся понять кое-что еще.
Концепция Cyber Kill Chain был впервые опубликован Lockheed Martin, главной американской оборонной промышленностью, в официальном документе: "Интеллектуальная защита компьютерной сети, основанная на анализе противоборствующих кампаний и цепочек уничтожения вторжений"Эрика М. Хатчинса, Майкла Дж. Клопперта и Рохана М. Амина.
Рекомендую всем прочитать документ полностью, так как он очень интересен (ссылка внизу). В нашем случае мы ограничиваемся тем, что нам кажется наиболее полезным, в частности, во введении мы находим первое определение термина цепь кибер-убийств:
«Фраза« цепочка уничтожения »описывает структуру вторжения, а соответствующая модель направляет анализ для получения информации, необходимой для анализа безопасности».
Поэтому авторы были заинтересованы в разработке модели кибератаки, которая поможет защитникам разработать методы снижения рисков, чтобы эффективно препятствовать работе гипотетического злоумышленника. Модель также была предназначена для облегчения «приоритизации» инвестиций в новые технологии.
Неслучайно оборонная промышленность ввела понятие Cyber Kill Chain, это просто адаптация к киберсреде военной концепции, фактически изначально это была поэтапная модель, полезная для определения различных шагов, необходимых для выполнения атаки.
Анализ цепь убийства позволяет понять, как противник для достижения своей цели должен иметь возможность продвигаться по всей цепочке, подчеркивая, какие действия по смягчению последствий эффективны для прерывания цепь убийства сам.
Работа направлена, в частности, на анализ тех противников, которые обладают достаточными возможностями и ресурсами для проведения APT-кампаний (Advanced Persistent Threath).
Но давайте посмотрим, из чего это состоит цепь кибер-убийств. Это процесс, состоящий из семь этапов:
Первый этап называется разведывательный (патрулирование) и, как ясно видно из названия, состоит в проведении поисков для определения и выбора цели, поиске в Интернете информации, касающейся цели, используемых ею технологий, адресов электронной почты и персонала, а также социальных отношений. Этот этап является основополагающим для определения начальной цели, полезной для достижения конечной цели, возможно, с боковым движением, например, по сотруднику в правом нижнем углу будет нанесен удар, чтобы, наконец, добраться до генерального директора компании.
Вторая фаза называется вооружение (вооружение) и состоит из создания или идентификации вредоносного ПО, которое может быть использовано для атаки, обычно пары программного обеспечения удаленного доступа (троянский конь) и эксплуатировать (программное обеспечение, эксплуатирующее уязвимость системы). Часто для получения доступа к системе нулевого дня от которых все еще нет защиты, поскольку это совершенно новые уязвимости, которые еще предстоит «исправить» именно потому, что они только что были обнаружены.
Третий этап называется Доставка (доставка) и заключается в передаче кибероружия (оружия) к цели. Обычно для рассылки жертве используются электронные письма со ссылками на поддельные сайты или прикрепленные документы, содержащие вредоносное ПО. Но также возможны USB-накопители, инфракрасный порт, Bluetooth, оптические носители, клавиатуры или мыши с «вложенной» вредоносной программой в прошивку или другие методы.
Четвертый этап известен как Эксплуатация (эксплуатация) и обычно заключается в использовании одной или нескольких уязвимостей вредоносным программным обеспечением, внедренным в атакуемую систему. Следует отметить, что самые передовые методики затемнение (часто даже новые методы), чтобы сделать эти действия полностью невидимыми для наших «радаров», будь то межсетевые экраны, IDS, IPS, почтовые фильтры, антивирус или SIEM.
Пятый этап называется Установка (установка) и состоит из установки в целевой системе, чтобы позволить злоумышленнику оставаться в системе по своему желанию, так называемое постоянство. Вредоносные трояны (RAT Троянская программа удаленного доступа), порты открыты в сети или созданы задняя дверь. На этом этапе система незаметно, но сильно модифицируется, ключи реестра, системные файлы и даже загрузочные разделы могут быть изменены). Это одна из причин, почему результат восстановления «скомпрометированных систем» никогда не принимается как должное.
Шестой этап называется Управление и контроль (C2 или C&C, Command and Control) и состоит из создания прочной цепочки управления и контроля, которая позволяет злоумышленнику отдавать приказы и получать обратную связь. Эта фаза особенно важна в APT.
Седьмой этап называется Действия по целям (действия по целям) и заключается в собственно атаке по целевой системе. Обычно это включает в себя извлечение данных, что в более общем смысле означает исследование системы, сбор данных, их шифрование и извлечение. В других случаях речь идет о том, чтобы сделать данные недоступными, обычно зашифровывая их, чтобы позже потребовать выкуп (знаменитый Программы-вымогатели). В других случаях речь идет об изменении данных (что произойдет, если размер запасной части самолета изменится на несколько долей миллиметра?). Злоумышленник также может быть заинтересован только в сборе данных для атаки на другую, более прибыльную систему.
Каждую фазу, в свою очередь, можно разделить на несколько более или менее многочисленных шагов.
Конечно, модель, разработанная Lockheed Martin для оборонительных целей, может использоваться и также используется в наступательных целях, особенно на ранних этапах разведка и вооружение.
Конечно, существует множество вариаций цепь кибер-убийств, разработанные разными компаниями, но цель всегда одна - помочь понять методы действий злоумышленника, чтобы понять, как его победить или, в более общем плане, как снизить риски.
Для углубления:
- LM-White-Paper-Intel-Driven-Defense.pdf (lockheedmartin.com)
