Главная » Linux

Этапы цепочки кибер-убийств

На чтение 5 мин. Просмотров 13 Опубликовано
Содержание
  1. Cyber ​​kill chain
  2. Шаг 1: Разведка
  3. Шаг 2: Вооружение
  4. Шаг 3: Доставка
  5. Шаг 4: Эксплуатация
  6. Шаг 5: Установка
  7. Шаг 6: Управление и контроль
  8. Шаг 7: Действия с целями

Cyber ​​kill chain

Cyber ​​kill chain (CKC) — это традиционная модель безопасности, описывающая старый сценарий, когда внешний злоумышленник предпринимает шаги для проникновения в сеть и украсть ее данные, разбивая шаги атаки, чтобы помочь организациям подготовиться. CKC разрабатывается группой, известной как группа реагирования на компьютерную безопасность. Цепочка кибер-убийств описывает атаку внешнего злоумышленника, пытающегося получить доступ к данным в пределах периметра безопасности

Каждый этап цепочки кибер-убийств показывает конкретную цель наряду с целью злоумышленника. . Разработайте свою кибермодель, план наблюдения и реагирования на цепочку убийств — эффективный метод, поскольку он фокусируется на том, как происходят атаки. Этапы включают:

  • Разведку
  • Оружие
  • Доставка
  • Эксплуатация
  • Установка
  • Управление и контроль
  • Действия над целями

Шаги киберубийства Теперь будет описана цепочка:

Шаг 1: Разведка

Она включает сбор адресов электронной почты, информацию о конференции и т. д. Разведывательная атака означает, что это попытки угроз собрать как можно больше данных о сетевых системах, прежде чем начинать другие, более подлинно враждебные виды атак. Атакующие-разведчики бывают двух типов: пассивная разведка и активная разведка. Recognition Attacker фокусируется на «кто» или на сети: кто, вероятно, сосредоточится на привилегированных людях для доступа к Системе или доступа к конфиденциальным данным «Сети», фокусируется на архитектуре и структуре; инструмент, оборудование и протоколы; и критическая инфраструктура. Понять поведение жертвы и проникнуть в дом для жертвы.

Шаг 2: Вооружение

Обеспечьте полезную нагрузку, связав эксплойты с бэкдором.

Затем злоумышленники будут использовать сложные методы для перепроектирования некоторых основных вредоносных программ, которые соответствуют их целям. Вредоносное ПО может использовать ранее неизвестные уязвимости, известные как эксплойты «нулевого дня», или некоторые комбинации уязвимостей, чтобы незаметно преодолеть защиту сети, в зависимости от потребностей и способностей злоумышленника. Реорганизуя вредоносное ПО, злоумышленники снижают вероятность его обнаружения традиционными решениями безопасности. «Хакеры использовали тысячи интернет-устройств, которые ранее были заражены вредоносным кодом — известным как« ботнет »или, в шутку,« армия зомби », — вызвав особенно мощный распределенный отказ в обслуживании Angriff (DDoS).

Шаг 3: Доставка

Злоумышленник отправляет жертве вредоносные данные по электронной почте, что является лишь одним из многих методов вторжения, которые злоумышленник может использовать. Существует более 100 возможных способов доставки.

Цель:
Злоумышленники начинают вторжение (оружие, разработанное на предыдущем шаге 2). Основными двумя методами являются:

  • Контролируемая доставка, которая представляет собой прямую доставку, взлом открытого порта..
  • Доставка отправляется противнику, который передает вредоносное ПО цели путем фишинга.

Этот этап показывает первую и наиболее значительную возможность для защитников препятствовать операции; однако при этом теряются некоторые ключевые возможности и другая важная информация о данных. На этом этапе мы измеряем жизнеспособность попыток частичного вторжения, которым препятствуют в точке передачи.

Шаг 4: Эксплуатация

Как только злоумышленники идентифицируют изменения в вашей системе, они используют слабые места и проводят свою атаку. На этапе эксплуатации атаки злоумышленник и хост-компьютер скомпрометированы Механизм доставки обычно принимает одну из двух мер:

  • Установка вредоносного ПО (дроппера), которое позволяет выполнение команды злоумышленника.
  • Установить и загрузить вредоносное ПО (загрузчик)

В последние годы это стало областью знаний в хакерское сообщество, которое часто демонстрируется на таких мероприятиях, как Blackhat, Defcon и т. д.

Шаг 5: Установка

На этом этапе установка трояна удаленного доступа или бэкдор в системе жертвы позволяет сопернику сохранять настойчивость в окружающей среде. Установка вредоносного ПО на актив требует участия конечного пользователя путем невольного включения вредоносного кода. На этом этапе действия можно рассматривать как критически важные. Один из способов сделать это — реализовать систему предотвращения вторжений (HIPS) на основе хоста, например, чтобы предупредить или заблокировать общие пути. АНБ Работа, РЕЦИКЛЕР. Понимание того, требует ли вредоносная программа прав от администратора или только от пользователя для выполнения цели, является критически важным. Защитники должны понимать процесс аудита конечных точек, чтобы обнаруживать ненормальное создание файлов. Им нужно знать, как скомпилировать время вредоносного ПО, чтобы определить, старое оно или новое.

Шаг 6: Управление и контроль

Программа-вымогатель использует соединения для управления. Загрузите ключи к шифрованию, прежде чем захватывать файлы. Например, удаленный доступ троянов открывает команду и управляет соединением, чтобы вы могли удаленно обращаться к системным данным. Это обеспечивает постоянное соединение для окружающей среды и активность детективных мер защиты.

Как это работает?

Command и план управления обычно выполняется через маяк вне сети по разрешенному пути. Маячки принимают разные формы, но в большинстве случаев они, как правило:

HTTP или HTTPS

Кажется, трафик через фальсифицированный HTTP не является приемлемым. заголовки

В случаях, когда обмен данными зашифрован, маяки обычно используют автоматически подписанные сертификаты или настраиваемое шифрование.

Шаг 7: Действия с целями

Действие относится к способу, которым атакующий достигает своей конечной цели. Конечная цель злоумышленника может заключаться в том, чтобы получить от вас выкуп, чтобы расшифровать файлы с информацией о клиенте из сети.. В контенте последний пример может остановить утечку решений по предотвращению потери данных до того, как данные покинут вашу сеть. В противном случае атаки можно использовать для выявления действий, которые отклоняются от установленных базовых показателей, и для уведомления ИТ-отдела о том, что что-то не так. Это сложный и динамичный процесс нападения, который может занять несколько месяцев, и для его выполнения потребуется несколько сотен маленьких шагов. Как только эта стадия определена в окружающей среде, необходимо приступить к реализации подготовленных планов реагирования. По крайней мере, следует спланировать всеобъемлющий план коммуникации, который включает подробное подтверждение информации, которая должна быть доведена до высшего должностного лица или административного совета, развертывание устройств безопасности конечных точек, чтобы заблокировать потерю информации, и подготовку к брифингу. группа CIRT. В современном быстро меняющемся ландшафте угроз кибербезопасности НЕОБХОДИМО заранее подготовить эти ресурсы.

Оцените статью
nanomode.ru
Добавить комментарий