- Poruka
- 25.129
Sta je Cyber Kill Chain i zasto je vazan?
U zavisnosti od samog tipa organizacija negde postoji vise ili manje faza ili pod-faza ali se kod mene konkretno model razlaze na 7 glavnih faza po kojima se i vodimo, pa cu i pisati o njima.
Cyber Kill Chain je najosnovniji framework Cyber napada kojeg se svi iole ozbiljniji Cyber Security timovi pridrzavaju kako bi bolje razumeli i odradili analizu aktuelnih pretnji i sto efikasnije odgovorili na njih.
"Kill chain” je naziv koji potice iz vojne terminologije koji opisuje korake koje neprijatelj preduzima za postizanje krajnjeg cilja. Kasnije je Lockheed Martin popularizovao koncept cyber kill chain i taj model je oberucke zvanicno prihvacen i u Cyber zastiti jer dosta pomaze u razvijanju i stalnom prilagodjavanju odbrambene tehnologije i strategije koja varira u zavisnosti od tipa organizacije koja se brani.
Ukratko veoma nam je vazan kako bi cyber tim a i cela organizacija razumela trend i aktivnost cyber napada koji je uperen ka njoj i usresredila se na razvijanje preventivne strategije, policy-ja i delova koji su najugrozeniji kao i koncentrisanje penetration testiranja na najkriticnijim tackama.
Cyber Kill Chain faze
1. Reconnaissance
2. Weaponization
3. Delivery
4. Exploitation
5. Installation
6. Command and Control – C&C
7. Actions on Objectives
1. Reconnaissance
Reconnaissance je prva faza i uopste najcesci scenario u cyber kill lancu, ona ukljucuje istrazivanje potencijalnih meta, njihovu identifikaciju, trazenje ranjivih tacaka pre nego sto se izvrsi napad.
To ukljucuje skeniranje portova i mreze radi otkrivanja ranjivih segmenata , raspitivanje o zaposlenima (social engineering), raspitivanje o tehnologiji koja se koristi, patentima i slicno. Tu spadaju u neku ruku i indirektne Phishing kampanje sa naizgled bezazlenim pitanjima, ankete itd. pa cak i fizicko osmatranje osetljivih delova objekta, slikanje, snimanje itd.
2. Weaponization
Ovo je druga faza kada je napadac / haker prikupio dovoljno informacija o meti i slabostima on sada modifikuje ili kreira softver koji ce iskoristiti konkretnu slabost do koje je napadac dosao putem Reconnaissance ali je jos uvek nije sproveo u delo niti je payload isporucen meti.
Recimo ako je otvoren kritican port u mrezi uocen je maliciozni softver koji je modifikovan da iskoristi njegovu slabost i taj alat je pronadjen / presretnut pre izvrsenja, ili detektovanje neuspelog Brute Force napada, personalizovana phishing stranica na osnovu prikupljenih podataka osobe ili entiteta o kojoj su prikupljene informacije i slicno.
3. Delivery
U ovoj fazi "cyber oruzje” je isporuceno, maliciozni softver je infiltriran u mrezu i dosao je do cilja / korisnika. Najcesci i najprostiji primer su klasicni Phishing mejlovi koji sadrze maliciozne linkove u sebi . Ovde se takodje klasifikuje scenario kradje lozinki i korisnickih kredencijala.
4. Exploitation
Ova faza se nadovezuje na prethodne 2 gde haker/backdoor uspesno iskoriscava sve slabosti koje je ranije otkrio kako bi jos dublje probio u mrezu, malware koji otvara vrata za upad je pokrenut i haker se vec krece po mrezi tzv. "Lateral movement” (MITRE ATT&CK: TA0008) i istrazuje komponente ili naloge koje bi mogao iskoristi kako bi dosao do krajnjeg cilja, recimo visa elevacija ili jos podataka. Ova faza ne mora nuzno znaciti izvrsenje malware-a u smislu krajnjeg cilja sto moze dovesti do kradje podataka "Exfilltration” (MITRE ATT&CK: TA0010) ili onesposobljavanja mreze vec pre pripremanje terena za finaliziranje krajnje namere, i cesto se moze klasifikovati kao cyber breach.
5. Installation
U ovoj fazi nakon sto je haker ili softver iskoristio sve prethodne slabosti kako bi pristupio mrezi ovde pocinje instalaciona faza pokusaja glavne instalacije.
Ovde bi takodje IDR i EDR cyber sistemi po sablonu trebali da objave uzbunu da je u toku neki cyber napad ili recimo anomalija gde se pokrece sumnjiva instrukcija i pokusava da se izvrsi sumnjiv kod na nekom racunaru ili serveru.
U ovoj fazi je vec instaliran neki backdoor, trojan ili je na neki nacin izvrsena neka maliciozna komandna instrukcija. Ovde je ujedno i najkriticnija faza gde dobar EDR sistem ali i Cybersecuty responder koji moze brzo da protumaci anomaliju imaju poslednju sansu da sprece stetu.
6. Command and Control – C&C
Ova faza oznacava da malware komunicira sa IP adresom komandnog centra od kojeg dobija dalje instrukcije ili salje izvucene podatke svojoj bazi sto moze dalje da vodi i do "Exfiltration" (kradja poverljivih informacija / najcesce je povezano sa korporativnom spijunazom) sto je jos jedan od pod segmenata kill chain-a nakon cega je neophodno proceniti razmere stete ukljucujuci kolicinu i tip procurelih podataka
7. Actions and objectives.
Nakon svih napora i instaliranja malware-a i preuzimanja kontrole ovde se zapocinje poslednja faza u ovom lancu u cilju konacnog sprovodjenja svojih ciljeva. Ti ciljevi mogu biti preuzimanje potpune ili odredjene kontrole nad mrezom i sistemima, izazivanje stete, izvlacenje podataka (Exfiltration), Korporativna spijunaza, ucena / Ransom i sl.
U zavisnosti od samog tipa organizacija negde postoji vise ili manje faza ili pod-faza ali se kod mene konkretno model razlaze na 7 glavnih faza po kojima se i vodimo, pa cu i pisati o njima.
Cyber Kill Chain je najosnovniji framework Cyber napada kojeg se svi iole ozbiljniji Cyber Security timovi pridrzavaju kako bi bolje razumeli i odradili analizu aktuelnih pretnji i sto efikasnije odgovorili na njih.
"Kill chain” je naziv koji potice iz vojne terminologije koji opisuje korake koje neprijatelj preduzima za postizanje krajnjeg cilja. Kasnije je Lockheed Martin popularizovao koncept cyber kill chain i taj model je oberucke zvanicno prihvacen i u Cyber zastiti jer dosta pomaze u razvijanju i stalnom prilagodjavanju odbrambene tehnologije i strategije koja varira u zavisnosti od tipa organizacije koja se brani.
Ukratko veoma nam je vazan kako bi cyber tim a i cela organizacija razumela trend i aktivnost cyber napada koji je uperen ka njoj i usresredila se na razvijanje preventivne strategije, policy-ja i delova koji su najugrozeniji kao i koncentrisanje penetration testiranja na najkriticnijim tackama.
Cyber Kill Chain faze
1. Reconnaissance
2. Weaponization
3. Delivery
4. Exploitation
5. Installation
6. Command and Control – C&C
7. Actions on Objectives
1. Reconnaissance
Reconnaissance je prva faza i uopste najcesci scenario u cyber kill lancu, ona ukljucuje istrazivanje potencijalnih meta, njihovu identifikaciju, trazenje ranjivih tacaka pre nego sto se izvrsi napad.
To ukljucuje skeniranje portova i mreze radi otkrivanja ranjivih segmenata , raspitivanje o zaposlenima (social engineering), raspitivanje o tehnologiji koja se koristi, patentima i slicno. Tu spadaju u neku ruku i indirektne Phishing kampanje sa naizgled bezazlenim pitanjima, ankete itd. pa cak i fizicko osmatranje osetljivih delova objekta, slikanje, snimanje itd.
2. Weaponization
Ovo je druga faza kada je napadac / haker prikupio dovoljno informacija o meti i slabostima on sada modifikuje ili kreira softver koji ce iskoristiti konkretnu slabost do koje je napadac dosao putem Reconnaissance ali je jos uvek nije sproveo u delo niti je payload isporucen meti.
Recimo ako je otvoren kritican port u mrezi uocen je maliciozni softver koji je modifikovan da iskoristi njegovu slabost i taj alat je pronadjen / presretnut pre izvrsenja, ili detektovanje neuspelog Brute Force napada, personalizovana phishing stranica na osnovu prikupljenih podataka osobe ili entiteta o kojoj su prikupljene informacije i slicno.
3. Delivery
U ovoj fazi "cyber oruzje” je isporuceno, maliciozni softver je infiltriran u mrezu i dosao je do cilja / korisnika. Najcesci i najprostiji primer su klasicni Phishing mejlovi koji sadrze maliciozne linkove u sebi . Ovde se takodje klasifikuje scenario kradje lozinki i korisnickih kredencijala.
4. Exploitation
Ova faza se nadovezuje na prethodne 2 gde haker/backdoor uspesno iskoriscava sve slabosti koje je ranije otkrio kako bi jos dublje probio u mrezu, malware koji otvara vrata za upad je pokrenut i haker se vec krece po mrezi tzv. "Lateral movement” (MITRE ATT&CK: TA0008) i istrazuje komponente ili naloge koje bi mogao iskoristi kako bi dosao do krajnjeg cilja, recimo visa elevacija ili jos podataka. Ova faza ne mora nuzno znaciti izvrsenje malware-a u smislu krajnjeg cilja sto moze dovesti do kradje podataka "Exfilltration” (MITRE ATT&CK: TA0010) ili onesposobljavanja mreze vec pre pripremanje terena za finaliziranje krajnje namere, i cesto se moze klasifikovati kao cyber breach.
5. Installation
U ovoj fazi nakon sto je haker ili softver iskoristio sve prethodne slabosti kako bi pristupio mrezi ovde pocinje instalaciona faza pokusaja glavne instalacije.
Ovde bi takodje IDR i EDR cyber sistemi po sablonu trebali da objave uzbunu da je u toku neki cyber napad ili recimo anomalija gde se pokrece sumnjiva instrukcija i pokusava da se izvrsi sumnjiv kod na nekom racunaru ili serveru.
U ovoj fazi je vec instaliran neki backdoor, trojan ili je na neki nacin izvrsena neka maliciozna komandna instrukcija. Ovde je ujedno i najkriticnija faza gde dobar EDR sistem ali i Cybersecuty responder koji moze brzo da protumaci anomaliju imaju poslednju sansu da sprece stetu.
6. Command and Control – C&C
Ova faza oznacava da malware komunicira sa IP adresom komandnog centra od kojeg dobija dalje instrukcije ili salje izvucene podatke svojoj bazi sto moze dalje da vodi i do "Exfiltration" (kradja poverljivih informacija / najcesce je povezano sa korporativnom spijunazom) sto je jos jedan od pod segmenata kill chain-a nakon cega je neophodno proceniti razmere stete ukljucujuci kolicinu i tip procurelih podataka
7. Actions and objectives.
Nakon svih napora i instaliranja malware-a i preuzimanja kontrole ovde se zapocinje poslednja faza u ovom lancu u cilju konacnog sprovodjenja svojih ciljeva. Ti ciljevi mogu biti preuzimanje potpune ili odredjene kontrole nad mrezom i sistemima, izazivanje stete, izvlacenje podataka (Exfiltration), Korporativna spijunaza, ucena / Ransom i sl.