Cyber Kill Chain | Techbox.cz - Znalostní IT báze

Militární pojem objevující se dříve v letectví (Kill Chain - přejato pro zmapování vojenského útoku na cíl od jeho identifikace až po samotnou destrukci) zavedla pro svět IT korporace Lockheed Martin.

Ilustrace Cyber Kill Chain fází

Zpravodajský a technologický rámec pro zabezpečení – Cyber Kill Chain – definuje jednotlivé fáze moderního útoku tak, abyste kyber-kriminálníky mohli logicky stopovat a rozkrývat. Pochopit řetězec je klíčem na obranu, protože stačí v roli obránce přerušit pouze jednu z těch fází a útok kompletně selže.

Cca 7 standardních fází:

1. Reconnaissance (Průzkum)

Sbírání všech dostupných informací. Analýza architektury cizích serverů, zjištění IP adres, shlukování LinkedIn účtů klíčových pracovníků společnosti nebo aktivní scanování otevřených portů v cílové firmě.

2. Weaponization (Kompilace zbraně)

Hacker nesedí přímo ve vaší síti – zatím kompiluje na druhém konci světa např. PDF s makrem. Programuje se exploit případně vytvářejí podvržené dokumenty určené jen pro vybraného zaměstnance firmy z první fáze.

3. Delivery (Doručení)

Hmatatelný bod střetu, kdy útočník musí ten “náklad” dostat oběti na počítač. Může se jednat o vhozený USB disk zanechaný u recepce na budově, poslání phishing-emailu nebo zaslání soukromé zprávy s nakažlivým linkem.

4. Exploitation (Spuštění škodliviny)

Oběť zapnula nástroj nebo navštívila web s XSS, útočníkova střela byla tím zaktivována. Malware provádí lokální spuštění přesně do paměti a využívá technických zranitelností (chyb v kódech).

5. Installation (Instalace)

Když má aktivovaný útok dost času v paměti počítače bez zásahu antiviru, provádí samotnou modifikaci systémových registrů, instalaci tzv. backdoor (zadních vrátek), aby po běžném re-startu vašeho počítače kód na druhý den stále ve stroji sídlil a čekal na spojení.

6. C2 = Command & Control (Převzetí vlády)

Zařízení podvědomě začne “telefonovat domů”. Komunikuje se vzdáleným serverem útočníka. Zde hacker získává interaktivní, na dálku dostupnou terminálovou konzli “na klávesnici ukradeného počítače”, ať ten sedí v kavárně nebo kdesi s telefonem na WiFi.

7. Actions on Objectives (Dosažení cíle a činy)

Poslední, nejhorší fáze celého řetězce, typicky to o čem poté čtete ve zprávách. Veškerá data o zákaznících firmy z databáze jsou u útočníků, systémy se zamknou kvůli Ransamwaru. Provedení hlavní ničivé agendy.