Passos da cadeia de matança cibernética

Passos da cadeia de matança cibernética

Chain Cyber ​​Kill

A cadeia de matança cibernética (CKC) é um modelo de segurança tradicional que descreve um cenário da velha escola, um invasor externo tomando medidas para penetrar em uma rede e roubar sua quebra de dados nas etapas de ataque para ajudar as organizações a se prepararem. CKC é desenvolvido por uma equipe conhecida como equipe de resposta de segurança de computadores. A cadeia de mortes cibernéticas descreve um ataque de um atacante externo tentando obter acesso aos dados no perímetro da segurança

Cada estágio da cadeia de mortes cibernéticas mostra um objetivo específico junto com o da maneira do atacante. Projete seu modelo de vigilância e resposta da cadeia de matança de modelos cibernéticos é um método eficaz, pois se concentra em como os ataques acontecem. Os estágios incluem:

  • Reconhecimento
  • Arma
  • Entrega
  • Exploração
  • Instalação
  • Comando e controle
  • Ações em objetivos

Etapas da cadeia de matança cibernética serão agora descritas:

Etapa 1: reconhecimento

Inclui a colheita de endereços de e -mail, informações sobre a conferência, etc. Ataque de reconhecimento significa que é um esforço de ameaças para obter dados sobre sistemas de rede o máximo possível antes de iniciar outros tipos hostis mais genuínos de ataques. Os atacantes de reconhecimento são de dois tipos de reconhecimento passivo e reconhecimento ativo. O atacante de reconhecimento se concentra em "quem" ou rede: quem provavelmente se concentrará nas pessoas privilegiadas para acesso ao sistema ou acesso a dados confidenciais "da rede" se concentra na arquitetura e no layout; ferramenta, equipamento e protocolos; e a infraestrutura crítica. Entenda o comportamento da vítima e invadiu uma casa para a vítima.

Etapa 2: Arma

O fornecimento de carga útil por explorações de acoplamento com um backdoor.

Em seguida, os invasores usarão técnicas sofisticadas para reengineer alguns malwares principais que se adaptam aos seus propósitos. O malware pode explorar vulnerabilidades anteriormente desconhecidas, as explorações de "dia zero" ou alguma combinação de vulnerabilidades para derrotar silenciosamente as defesas de uma rede, dependendo das necessidades e habilidades do atacante. Ao reengenharia o malware, os invasores reduzem as chances de que as soluções de segurança tradicionais detectem. “Os hackers usaram milhares de dispositivos de Internet que são infectados anteriormente com um código malicioso - conhecido como“ botnet ”ou, brincando, um“ exército de zumbis ” - forçando uma negação de serviço distribuída particularmente poderosa (DDOS).

Etapa 3: Entrega

O atacante envia à vítima carga útil maliciosa usando email, que é apenas um dos muitos que o invasor pode empregar métodos de intrusão. Existem mais de 100 métodos de entrega possíveis.

Alvo:
Os atacantes começam a intrusão (armas desenvolvidas na etapa 2 anterior). Os dois métodos básicos são:

  • Entrega controlada, que representa a entrega direta, invadindo uma porta aberta.
  • A entrega é liberada ao oponente, que transmite o malware ao alvo por phishing.

Este estágio mostra a primeira e mais significativa oportunidade para os defensores obstruirem uma operação; No entanto, alguns recursos -chave e outras informações altamente valorizadas de dados são derrotadas ao fazer isso. Nesse estágio, medimos a viabilidade das tentativas de intrusão fracionária, que são prejudicadas no ponto de transporte.

Etapa 4: Exploração

Uma vez que os invasores identificam uma mudança em seu sistema, eles exploram a fraqueza e executam o ataque deles. Durante a fase de exploração do ataque, o atacante e a máquina host são comprometidos pelo mecanismo de entrega normalmente toma uma das duas medidas:

  • Instale o malware (um conta -gotas), que permite a execução do comando do atacante.
  • Instale e faça o download do malware (um downloader)

Nos últimos anos, isso se tornou uma área de especialização dentro da comunidade de hackers que é frequentemente demonstrada em eventos como Blackhat, Defcon e similar.

Etapa 5: Instalação

Nesta fase, a instalação de um Trojan de acesso remoto ou backdoor no sistema da vítima permite que o concorrente mantenha a perseverança no ambiente. A instalação de malware no ativo requer envolvimento do usuário final, permitindo involuntariamente o código malicioso. A ação pode ser vista como crítica neste momento. Uma técnica para fazer isso seria implementar um sistema de prevenção de intrusões baseado em host (HIPS) para dar cautela ou colocar uma barreira a caminhos comuns, por exemplo. NSA Job, Recycler. Entender se o malware requer privilégios do administrador ou apenas do usuário para executar o alvo é crítico. Os defensores devem entender o processo de auditoria do terminal para descobrir criações anormais de arquivos. Eles precisam saber como compilar o tempo de malware para determinar se é antigo ou novo.

Etapa 6: comando e controle

Ransomware usa conexões para controlar. Baixe as chaves para criptografia antes de apreender os arquivos. Trojans Acesso remoto, por exemplo, abre um comando e controla a conexão para que você possa abordar os dados do sistema remotamente. Isso permite conectividade contínua para o meio ambiente e a atividade de medição de detetive na defesa.

Como funciona?

O plano de comando e controle geralmente é realizado através de um farol da grade sobre o caminho permitido. Os beacons assumem muitas formas, mas tendem a ser na maioria dos casos:

Http ou https

Parece tráfego benigno através de cabeçalhos HTTP falsificados

Nos casos em que a comunicação é criptografada, os faróis tendem a usar certificados assinados automaticamente ou criptografia personalizada.

Etapa 7: Ações nos objetivos

Ação refere -se à maneira como o atacante atinge seu alvo final. O objetivo final do atacante pode ser qualquer coisa para extrair um resgate de você para descriptografar os arquivos para obter informações do cliente da rede. No conteúdo, o último exemplo pode interromper a exfiltração de soluções de prevenção de perda de dados antes que os dados deixem sua rede. Caso contrário, os ataques podem ser usados ​​para identificar atividades que se desviam das linhas de base do conjunto e notificá -lo de que algo está errado. Este é um processo de agressão intrincado e dinâmico que pode ocorrer em meses e centenas de pequenos passos para realizar. Uma vez que este estágio é identificado em um ambiente, é necessário iniciar a implementação de planos de reação preparados. No mínimo, um plano de comunicação inclusivo deve ser planejado, que envolve a evidência detalhada de informações que devem ser elevadas ao oficial de maior escalão ou da diretoria de administração, a implantação de dispositivos de segurança de endpoint para bloquear a perda de informações e a preparação para resumir um grupo de cirt. Ter esses recursos bem estabelecidos antes do tempo é um "obrigatório" na cenário de ameaças de segurança cibernética de hoje em rápida evolução.