وبلاگ

Cyber Kill Chain چیست؟ و چگونه از آن به طور موثر استفاده کنیم



زنجیره کشتار سایبری مجموعه ای از مراحل است که مراحل حمله سایبری را از مراحل اولیه شناسایی تا استخراج داده ها ردیابی می کند. زنجیره کشتن به ما کمک می‌کند تا باج‌افزارها، نقض‌های امنیتی، و حملات دائمی پیشرفته (APT) را بفهمیم و با آن مبارزه کنیم.

لاکهید مارتین چارچوب زنجیره کشتار را از یک مدل نظامی استخراج کرد – که در ابتدا برای شناسایی، آماده‌سازی برای حمله، درگیری و نابود کردن هدف ایجاد شد. از زمان پیدایش، زنجیره کشتار برای پیش‌بینی و شناسایی بهتر تهدیدات داخلی، مهندسی اجتماعی، باج‌افزار پیشرفته و حملات نوآورانه تکامل یافته است.

 

چگونه زنجیره کشتار سایبری کار می کند

چندین مرحله اصلی در زنجیره کشتار سایبری وجود دارد. آنها از شناسایی (اغلب اولین مرحله در حمله بدافزار) تا حرکت جانبی (حرکت جانبی در سراسر شبکه برای دسترسی به داده های بیشتر) تا استخراج داده ها (خروج داده ها) را شامل می شود. همه بردارهای حمله متداول شما – چه فیشینگ یا نیروی بیرحمانه یا آخرین نوع بدافزار – باعث فعالیت در زنجیره کشتار سایبری می شوند.

هر مرحله مربوط به نوع خاصی از فعالیت در یک حمله سایبری است، صرف نظر از اینکه حمله داخلی یا خارجی باشد:

 

شناسایی (Reconnaissance):

مرحله مشاهده: مهاجمان معمولاً موقعیت را از بیرون به درون ارزیابی می کنند تا هم اهداف و هم تاکتیک های حمله را شناسایی کنند.

نفوذ(Intrusion)

بر اساس آنچه مهاجمان در مرحله شناسایی کشف کردند، آنها می توانند به سیستم شما نفوذ کنند: اغلب از بدافزارها یا آسیب پذیری های امنیتی استفاده می کنند.

بهره برداری(Exploitation)

عمل بهره برداری از آسیب پذیری ها و ارائه کدهای مخرب به سیستم، به منظور دستیابی به جایگاه بهتر.

افزایش امتیاز(Privilege Escalation)

مهاجمان معمولاً برای دسترسی به داده ها و مجوزهای بیشتر به امتیازات بیشتری در یک سیستم نیاز دارند: برای این کار، آنها باید اغلب امتیازات خود را به یک Admin افزایش دهند.

حرکت جانبی(Lateral Movement)

هنگامی که مهاجمان در سیستم قرار می گیرند، می توانند به صورت جانبی به سیستم ها و حساب های دیگر حرکت کنند تا اهرم بیشتری به دست آورند: چه مجوزهای بالاتر، داده های بیشتر یا دسترسی بیشتر به سیستم ها.

مبهم سازی / ضد فارنزیک  (Obfuscation / Anti-forensics)

برای انجام موفقیت آمیز یک حمله سایبری، مهاجمان باید مسیرهای خود را بپوشانند، و در این مرحله اغلب مسیرهای نادرست، داده ها را به خطر می اندازند، و سیاهه های مربوط را پاک می کنند تا تیم فارنزیک را سردرگم و/یا کند کند.

خود داری از خدمات(Denial of Service)

اختلال در دسترسی عادی کاربران و سیستم ها، به منظور جلوگیری از نظارت، ردیابی یا مسدود شدن حمله

Exfiltration

مرحله استخراج: خروج داده ها از سیستم در معرض خطر.

در زیر، هر مرحله از زنجیره کشتار سایبری را با جزئیات بیشتری بررسی خواهیم کرد.

 

۸ مرحله زنجیره کشتار سایبری

هر مرحله از زنجیره کشتار فرصتی برای متوقف کردن یک حمله سایبری در حال انجام است: با ابزارهای مناسب برای شناسایی و تشخیص رفتار هر مرحله، می‌توانید بهتر در برابر نقض سیستم یا داده دفاع کنید.

 

شناسایی

در هر دزدی، ابتدا باید محل را بشناسید. همین اصل در سرقت سایبری نیز صدق می کند: این مرحله اولیه یک حمله، ماموریت جمع آوری اطلاعات است. در طول شناسایی، یک مهاجم به دنبال اطلاعاتی است که ممکن است آسیب‌پذیری‌ها و نقاط ضعف سیستم را نشان دهد. فایروال ها، سیستم های جلوگیری از نفوذ، امنیت محیطی – این روزها، حتی حساب های رسانه های اجتماعی – شناسایی و بررسی می شوند. ابزارهای شناسایی شبکه‌های شرکتی را اسکن می‌کنند تا نقاط ورودی و آسیب‌پذیری‌های مورد سوء استفاده را جستجو کنند.

 

نفوذ

هنگامی که اطلاعات را دریافت کردید، زمان نفوذ فرا رسیده است. نفوذ زمانی است که حمله فعال می‌شود: مهاجمان می‌توانند بدافزار – از جمله باج‌افزار، جاسوس‌افزار و ابزارهای تبلیغاتی مزاحم را برای ورود به سیستم ارسال کنند. این مرحله تحویل است: می‌تواند از طریق ایمیل فیشینگ تحویل داده شود، ممکن است یک وب‌سایت در معرض خطر یا آن کافی‌شاپ واقعا عالی در کنار خیابان با وای‌فای رایگان و مستعد هکر باشد. نفوذ نقطه ورود برای حمله است، وارد کردن مهاجمان به داخل.

 

بهره برداری

شما داخل در هستید و محیط آن شکسته شده است. مرحله بهره برداری از حمله… خوب، به دلیل نبود اصطلاح بهتر، از سیستم سوء استفاده می کند. مهاجمان اکنون می توانند وارد سیستم شده و ابزارهای اضافی را نصب کنند، گواهی های امنیتی را اصلاح کنند و فایل های اسکریپت جدید را برای اهداف شرورانه ایجاد کنند.

 

افزایش امتیاز

اگر در لابی گیر کرده اید، ورود به ساختمان چه فایده ای دارد؟ مهاجمان از افزایش امتیاز استفاده می کنند تا دسترسی بالاتری به منابع داشته باشند. تکنیک‌های افزایش امتیاز اغلب شامل حملات brute force، شکار آسیب‌پذیری‌های رمز عبور، و بهره‌برداری از آسیب‌پذیری‌های روز صفر است. آن‌ها تنظیمات امنیتی GPO، فایل‌های پیکربندی را تغییر می‌دهند، مجوزها را تغییر می‌دهند و سعی می‌کنند اعتبارنامه‌ها را استخراج کنند.

 

حرکت جانبی

شما مسیر را در اختیار دارید، اما هنوز باید طاق را پیدا کنید. مهاجمان برای دستیابی به دسترسی بیشتر و یافتن دارایی های بیشتر، از سیستمی به سیستم دیگر، در یک حرکت جانبی حرکت می کنند. این همچنین یک ماموریت پیشرفته کشف داده است که در آن مهاجمان به دنبال داده‌های حیاتی و اطلاعات حساس، دسترسی ادمین و سرورهای ایمیل هستند – اغلب با استفاده از منابع مشابه با فناوری اطلاعات و استفاده از ابزارهای داخلی مانند PowerShell – و خود را برای وارد کردن بیشترین آسیب‌ها قرار می‌دهند.

 

مبهم سازی (ضد پزشکی قانونی)

عکس یک آسانسور خالی را به جلوی دوربین مدار بسته بچسبانید تا کسی نبیند که در پشت صحنه چه اتفاقی می افتد. مهاجمان سایبری همین کار را انجام می دهند: حضور و فعالیت خود را پنهان می کنند تا از شناسایی جلوگیری کنند و تحقیقات اجتناب ناپذیر را خنثی کنند. این ممکن است به معنای پاک کردن فایل‌ها و ابرداده‌ها، بازنویسی داده‌ها با مُهر زمانی نادرست (timestomping) و اطلاعات گمراه‌کننده باشد، یا تغییر اطلاعات حیاتی به‌گونه‌ای که به نظر برسد که داده‌ها هرگز لمس نشده‌اند.

 

خود داری از خدمات

خطوط تلفن را مسدود کنید و شبکه برق را خاموش کنید. اینجا جایی است که مهاجمان شبکه و زیرساخت داده را هدف قرار می دهند تا کاربران قانونی نتوانند آنچه را که نیاز دارند به دست آورند. حمله انکار سرویس (DoS) دسترسی را مختل و به حالت تعلیق در می آورد و می تواند سیستم ها و خدمات را از بین ببرد.

 

Exfiltration

همیشه یک استراتژی خروج داشته باشید. مهاجمان داده ها را دریافت می کنند: آنها داده های حساس را کپی، انتقال یا به یک مکان کنترل شده منتقل می کنند، جایی که با داده ها آنچه را که می خواهند انجام می دهند. باج بدهید، در ebay بفروشید، به wikileaks بفرستید. ممکن است چند روز طول بکشد تا همه داده ها بیرون بیایند، اما پس از بیرون آمدن، در کنترل آنها است.

 

نتیجه

تکنیک‌های امنیتی مختلف رویکردهای متفاوتی را برای زنجیره کشتار سایبری ارائه می‌کنند – هرکسی از گارتنر گرفته تا لاکهید مارتین مراحل را کمی متفاوت تعریف می‌کند. مدل‌های جایگزین زنجیره کشتار سایبری چندین مرحله بالا را در مرحله C&C (فرمان و کنترل یا C2) و سایر مراحل را در مرحله «اقدامات روی هدف» ترکیب می‌کنند. برخی حرکت جانبی و افزایش امتیاز را در مرحله اکتشاف ترکیب می کنند. دیگران نفوذ و بهره برداری را در مرحله «نقطه ورود» ترکیب می کنند.

اشتراک گذاری:

مطالب زیر را حتما مطالعه کنید

2 دیدگاه

به گفتگوی ما بپیوندید و دیدگاه خود را با ما در میان بگذارید.

دیدگاهتان را بنویسید