21 listopada 2016

Cyber Kill Chain - po polsku


Jakiś czas temu, przy okazji jednego z tematów potrzebowałem polskiego opisu Cyber Kill Chain. Nie znalazłem, więc przetłumaczyłem i wrzucam poniżej. Może i wam się przyda.
Ten opracowany przez Lockheed Martin ciąg podkreśla, że atak cybernetyczny składa się z 7 faz i tym samym organizacje mogą i powinny mieć kolejne możliwości wykrycia i powstrzymania ataku.
Kolejne fazy cyberataku to:
1.      Rozpoznanie - badania, identyfikacja i dobór celów, często obejmujące indeksowanie stron internetowych, takich jak materiały konferencyjne oraz listy adresów e-mail, sieci zależności oraz informacje na temat specyficznych technologii;
2.      Uzbrojenie - łączenie koni trojańskich (RAT - Remote Access Trojan) ze złośliwym kodem wykonywalnym (ang. exploit) w celu stworzenia możliwego do dostarczenia pakunku, zazwyczaj za pomocą automatycznego narzędzia (ang. weaponizer). Coraz częściej do dostarczania takich "uzbrojonych pakunków" służą specjalnie przygotowane pliki popularnych aplikacji klientowskich;
3.      Dostarczenie - przekazywanie cyberbroni do docelowego środowiska. Trzy najbardziej rozpowszechnione wektory dostawy dla "uzbrojonych pakunków" w ramach ataków APT (ang. Advanced Persisten Threat) to załączniki e-mail, strony internetowe i nośników wymienne USB;
4.      Eksploatacja - po dostarczeniu cyberbroni do środowiska ofiary eksploatacja powoduje uruchomienie złośliwego kodu. Najczęściej eksploatacja nakierowana jest na lukę w aplikacji lub systemie operacyjnym, ale może również być nakierowana na samych użytkowników lub wykorzystać funkcję systemu operacyjnego, który automatycznie wykonuje kod.
5.      Instalacja - instalacja koni trojańskich (RAT - Remote Access Trojan) lub tylnich furtek (ang. backdoor) w systemie ofiary pozwala przestępcom na trwałe utrzymanie dostępu do środowiska wewnętrznego.
6.      Dowodzenie i kontrola (ang. Command and Control - C2) - zazwyczaj zainfekowane środowiska muszą wysłać sygnał nawigacyjny wychodzące do serwera kontrolnego w celu ustanowienia kanału C2. Oprogramowanie APT zazwyczaj wymaga ręcznej interakcji zamiast prowadzenia w pełni zautomatyzowanej działalności. Po ustanowieniu kanału C2 intruzi otrzymują pełny dostęp do wewnętrznego środowiska ofiary.
7.      Realizacja celów - dopiero teraz, po przejściu przez pierwszych sześć faz intruzi mogą podjąć działania nakierowane na osiągnięcia pierwotnych celów. Zazwyczaj celem jest uzyskanie danych, niemniej naruszanie integralności i dostępności danych również bywa spotykane. Alternatywnie, intruzi mogą pragnąć uzyskać jedynie dostęp do skrzynki poczty elektronicznej ofiary w celu wykorzystania jej jako punktu przesiadkowego w celu kompromitacji zabezpieczeń innych systemów oraz przejścia w inne rejony sieci wewnętrznej.