Cyber Kill Chain چیست؟ و چگونه از آن به طور موثر استفاده کنیم
زنجیره کشتار سایبری مجموعه ای از مراحل است که مراحل حمله سایبری را از مراحل اولیه شناسایی تا استخراج داده ها ردیابی می کند. زنجیره کشتن به ما کمک میکند تا باجافزارها، نقضهای امنیتی، و حملات دائمی پیشرفته (APT) را بفهمیم و با آن مبارزه کنیم.
لاکهید مارتین چارچوب زنجیره کشتار را از یک مدل نظامی استخراج کرد – که در ابتدا برای شناسایی، آمادهسازی برای حمله، درگیری و نابود کردن هدف ایجاد شد. از زمان پیدایش، زنجیره کشتار برای پیشبینی و شناسایی بهتر تهدیدات داخلی، مهندسی اجتماعی، باجافزار پیشرفته و حملات نوآورانه تکامل یافته است.
چگونه زنجیره کشتار سایبری کار می کند
چندین مرحله اصلی در زنجیره کشتار سایبری وجود دارد. آنها از شناسایی (اغلب اولین مرحله در حمله بدافزار) تا حرکت جانبی (حرکت جانبی در سراسر شبکه برای دسترسی به داده های بیشتر) تا استخراج داده ها (خروج داده ها) را شامل می شود. همه بردارهای حمله متداول شما – چه فیشینگ یا نیروی بیرحمانه یا آخرین نوع بدافزار – باعث فعالیت در زنجیره کشتار سایبری می شوند.
هر مرحله مربوط به نوع خاصی از فعالیت در یک حمله سایبری است، صرف نظر از اینکه حمله داخلی یا خارجی باشد:
شناسایی (Reconnaissance):
مرحله مشاهده: مهاجمان معمولاً موقعیت را از بیرون به درون ارزیابی می کنند تا هم اهداف و هم تاکتیک های حمله را شناسایی کنند.
نفوذ(Intrusion)
بر اساس آنچه مهاجمان در مرحله شناسایی کشف کردند، آنها می توانند به سیستم شما نفوذ کنند: اغلب از بدافزارها یا آسیب پذیری های امنیتی استفاده می کنند.
بهره برداری(Exploitation)
عمل بهره برداری از آسیب پذیری ها و ارائه کدهای مخرب به سیستم، به منظور دستیابی به جایگاه بهتر.
افزایش امتیاز(Privilege Escalation)
مهاجمان معمولاً برای دسترسی به داده ها و مجوزهای بیشتر به امتیازات بیشتری در یک سیستم نیاز دارند: برای این کار، آنها باید اغلب امتیازات خود را به یک Admin افزایش دهند.
حرکت جانبی(Lateral Movement)
هنگامی که مهاجمان در سیستم قرار می گیرند، می توانند به صورت جانبی به سیستم ها و حساب های دیگر حرکت کنند تا اهرم بیشتری به دست آورند: چه مجوزهای بالاتر، داده های بیشتر یا دسترسی بیشتر به سیستم ها.
مبهم سازی / ضد فارنزیک (Obfuscation / Anti-forensics)
برای انجام موفقیت آمیز یک حمله سایبری، مهاجمان باید مسیرهای خود را بپوشانند، و در این مرحله اغلب مسیرهای نادرست، داده ها را به خطر می اندازند، و سیاهه های مربوط را پاک می کنند تا تیم فارنزیک را سردرگم و/یا کند کند.
خود داری از خدمات(Denial of Service)
اختلال در دسترسی عادی کاربران و سیستم ها، به منظور جلوگیری از نظارت، ردیابی یا مسدود شدن حمله
Exfiltration
مرحله استخراج: خروج داده ها از سیستم در معرض خطر.
در زیر، هر مرحله از زنجیره کشتار سایبری را با جزئیات بیشتری بررسی خواهیم کرد.
8 مرحله زنجیره کشتار سایبری
هر مرحله از زنجیره کشتار فرصتی برای متوقف کردن یک حمله سایبری در حال انجام است: با ابزارهای مناسب برای شناسایی و تشخیص رفتار هر مرحله، میتوانید بهتر در برابر نقض سیستم یا داده دفاع کنید.
شناسایی
در هر دزدی، ابتدا باید محل را بشناسید. همین اصل در سرقت سایبری نیز صدق می کند: این مرحله اولیه یک حمله، ماموریت جمع آوری اطلاعات است. در طول شناسایی، یک مهاجم به دنبال اطلاعاتی است که ممکن است آسیبپذیریها و نقاط ضعف سیستم را نشان دهد. فایروال ها، سیستم های جلوگیری از نفوذ، امنیت محیطی – این روزها، حتی حساب های رسانه های اجتماعی – شناسایی و بررسی می شوند. ابزارهای شناسایی شبکههای شرکتی را اسکن میکنند تا نقاط ورودی و آسیبپذیریهای مورد سوء استفاده را جستجو کنند.
نفوذ
هنگامی که اطلاعات را دریافت کردید، زمان نفوذ فرا رسیده است. نفوذ زمانی است که حمله فعال میشود: مهاجمان میتوانند بدافزار – از جمله باجافزار، جاسوسافزار و ابزارهای تبلیغاتی مزاحم را برای ورود به سیستم ارسال کنند. این مرحله تحویل است: میتواند از طریق ایمیل فیشینگ تحویل داده شود، ممکن است یک وبسایت در معرض خطر یا آن کافیشاپ واقعا عالی در کنار خیابان با وایفای رایگان و مستعد هکر باشد. نفوذ نقطه ورود برای حمله است، وارد کردن مهاجمان به داخل.
بهره برداری
شما داخل در هستید و محیط آن شکسته شده است. مرحله بهره برداری از حمله… خوب، به دلیل نبود اصطلاح بهتر، از سیستم سوء استفاده می کند. مهاجمان اکنون می توانند وارد سیستم شده و ابزارهای اضافی را نصب کنند، گواهی های امنیتی را اصلاح کنند و فایل های اسکریپت جدید را برای اهداف شرورانه ایجاد کنند.
افزایش امتیاز
اگر در لابی گیر کرده اید، ورود به ساختمان چه فایده ای دارد؟ مهاجمان از افزایش امتیاز استفاده می کنند تا دسترسی بالاتری به منابع داشته باشند. تکنیکهای افزایش امتیاز اغلب شامل حملات brute force، شکار آسیبپذیریهای رمز عبور، و بهرهبرداری از آسیبپذیریهای روز صفر است. آنها تنظیمات امنیتی GPO، فایلهای پیکربندی را تغییر میدهند، مجوزها را تغییر میدهند و سعی میکنند اعتبارنامهها را استخراج کنند.
حرکت جانبی
شما مسیر را در اختیار دارید، اما هنوز باید طاق را پیدا کنید. مهاجمان برای دستیابی به دسترسی بیشتر و یافتن دارایی های بیشتر، از سیستمی به سیستم دیگر، در یک حرکت جانبی حرکت می کنند. این همچنین یک ماموریت پیشرفته کشف داده است که در آن مهاجمان به دنبال دادههای حیاتی و اطلاعات حساس، دسترسی ادمین و سرورهای ایمیل هستند – اغلب با استفاده از منابع مشابه با فناوری اطلاعات و استفاده از ابزارهای داخلی مانند PowerShell – و خود را برای وارد کردن بیشترین آسیبها قرار میدهند.
مبهم سازی (ضد پزشکی قانونی)
عکس یک آسانسور خالی را به جلوی دوربین مدار بسته بچسبانید تا کسی نبیند که در پشت صحنه چه اتفاقی می افتد. مهاجمان سایبری همین کار را انجام می دهند: حضور و فعالیت خود را پنهان می کنند تا از شناسایی جلوگیری کنند و تحقیقات اجتناب ناپذیر را خنثی کنند. این ممکن است به معنای پاک کردن فایلها و ابردادهها، بازنویسی دادهها با مُهر زمانی نادرست (timestomping) و اطلاعات گمراهکننده باشد، یا تغییر اطلاعات حیاتی بهگونهای که به نظر برسد که دادهها هرگز لمس نشدهاند.
خود داری از خدمات
خطوط تلفن را مسدود کنید و شبکه برق را خاموش کنید. اینجا جایی است که مهاجمان شبکه و زیرساخت داده را هدف قرار می دهند تا کاربران قانونی نتوانند آنچه را که نیاز دارند به دست آورند. حمله انکار سرویس (DoS) دسترسی را مختل و به حالت تعلیق در می آورد و می تواند سیستم ها و خدمات را از بین ببرد.
Exfiltration
همیشه یک استراتژی خروج داشته باشید. مهاجمان داده ها را دریافت می کنند: آنها داده های حساس را کپی، انتقال یا به یک مکان کنترل شده منتقل می کنند، جایی که با داده ها آنچه را که می خواهند انجام می دهند. باج بدهید، در ebay بفروشید، به wikileaks بفرستید. ممکن است چند روز طول بکشد تا همه داده ها بیرون بیایند، اما پس از بیرون آمدن، در کنترل آنها است.
نتیجه
تکنیکهای امنیتی مختلف رویکردهای متفاوتی را برای زنجیره کشتار سایبری ارائه میکنند – هرکسی از گارتنر گرفته تا لاکهید مارتین مراحل را کمی متفاوت تعریف میکند. مدلهای جایگزین زنجیره کشتار سایبری چندین مرحله بالا را در مرحله C&C (فرمان و کنترل یا C2) و سایر مراحل را در مرحله «اقدامات روی هدف» ترکیب میکنند. برخی حرکت جانبی و افزایش امتیاز را در مرحله اکتشاف ترکیب می کنند. دیگران نفوذ و بهره برداری را در مرحله «نقطه ورود» ترکیب می کنند.
مطالب زیر را حتما مطالعه کنید
Prompt Injection چیست؟
چارچوب (framework) امنیت سایبری چیست؟ و انواع آن
10 افزونه برتر Burp Suite برای تست نفوذ
DNS Rebinding چیست و چگونه کار می کند؟
دور زدن ( JailBreak ) هوش مصنوعی Chatgpt
بررسی گواهی ssl/tls با ابزار TLSx در باگ بانتی
2 Comments
Join the discussion and tell us your opinion.
عالی
خیلی ممنون از مقاله عالی تان