متدولوژی Cyber Kill Chain

روش‌شناسی Cyber Kill Chain یکی از مؤلفه‌های دفاع مبتنی بر اطلاعات است که برای شناسایی و جلوگیری از فعالیت‌های نفوذ مخرب به‌کار می‌رود. این روش‌شناسی به متخصصان امنیت در شناسایی مراحلی که مهاجمان برای رسیدن به اهداف خود طی می‌کنند کمک می‌کند. Cyber Kill Chain یک چارچوب طراحی‌شده برای ایمن‌سازی فضای سایبری است که بر اساس مفهوم «زنجیره کشتار» در عملیات نظامی توسعه یافته است. هدف این روش، تقویت فعالانه فرایندهای تشخیص و پاسخ به نفوذ است. Cyber Kill Chain به یک سازوکار حفاظتی هفت‌مرحله‌ای مجهز است تا تهدیدات سایبری را کاهش داده و اثر آن‌ها را کم کند.

بر اساس مدل شرکت Lockheed Martin، حملات سایبری ممکن است در هفت مرحله مختلف رخ دهند؛ از شناسایی اولیه تا دستیابی نهایی به هدف. درک روش‌شناسی Cyber Kill Chain به متخصصان امنیت کمک می‌کند تا کنترل‌های امنیتی را در مراحل مختلف حمله به‌کار گیرند و پیش از موفقیت حمله، از وقوع آن جلوگیری کنند. این چارچوب همچنین بینش عمیق‌تری نسبت به مراحل حمله فراهم می‌کند و در نتیجه به درک پیش‌دستانه تاکتیک‌ها، تکنیک‌ها و رویه‌های مهاجم (TTPs) کمک می‌نماید.

شناسایی

مهاجم به‌منظور گردآوری حداکثری اطلاعات درباره هدف و شناسایی نقاط ضعف پیش از اجرای حمله واقعی، اقدام به شناسایی می‌کند. او به دنبال اطلاعاتی نظیر داده‌های در دسترس عموم در اینترنت، اطلاعات شبکه، اطلاعات سیستم و اطلاعات سازمانی هدف است. با انجام شناسایی در سطوح مختلف شبکه، مهاجم می‌تواند به اطلاعاتی مانند بلوک‌های شبکه، آدرس‌های IP مشخص و جزئیات کارکنان دست یابد. مهاجم ممکن است از ابزارهای خودکار برای به‌دست آوردن اطلاعاتی مانند پورت‌ها و سرویس‌های باز، آسیب‌پذیری‌های موجود در برنامه‌های کاربردی و اعتبارنامه‌های ورود استفاده کند. چنین اطلاعاتی می‌تواند به مهاجم در دستیابی به دسترسی بک‌دور به شبکه هدف کمک کند.

آکادمی لیان

فعالیت‌های مهاجم شامل موارد زیر است:

o گردآوری اطلاعات درباره سازمان هدف از طریق جست‌وجو در اینترنت یا با استفاده از مهندسی اجتماعی

o تحلیل فعالیت‌های مختلف آنلاین و اطلاعات در دسترس عموم

o جمع‌آوری اطلاعات از شبکه‌های اجتماعی و سرویس‌های وب

o به‌دست آوردن اطلاعات درباره وب‌سایت‌های بازدیدشده

o پایش و تحلیل وب‌سایت سازمان هدف

o انجام Whois، DNS و فوت‌پرینتینگ شبکه

o انجام اسکن برای شناسایی پورت‌ها و سرویس‌های باز

تسلیح‌سازی

مهاجم داده‌های گردآوری‌شده در مرحله پیشین را تحلیل می‌کند تا آسیب‌پذیری‌ها و تکنیک‌هایی را که می‌توانند برای بهره‌برداری و دستیابی غیرمجاز به سازمان هدف استفاده شوند، شناسایی کند. بر اساس آسیب‌پذیری‌های شناسایی‌شده در جریان تحلیل، مهاجم یک محموله مخرب سفارشیِ قابل‌ارسال (سلاح بدافزاری دسترسی از راه دور) را با استفاده از یک اکسپلویت و یک بک‌دور انتخاب یا ایجاد می‌کند تا آن را برای قربانی ارسال کند. مهاجم ممکن است برای اجرای حمله خود، دستگاه‌های شبکه خاص، سیستم‌عامل‌ها، دستگاه‌های انتهایی، یا حتی افراد درون سازمان را هدف قرار دهد. برای مثال، مهاجم ممکن است یک ایمیل فیشینگ برای یکی از کارکنان سازمان هدف ارسال کند که می‌تواند شامل یک پیوست مخرب مانند ویروس یا کرم باشد که پس از دانلود شدن، یک بک‌دور روی سیستم نصب می‌کند و امکان دسترسی از راه دور را برای مهاجم فراهم می‌سازد.

فعالیت‌های مهاجم شامل موارد زیر است:

o شناسایی محموله بدافزاری مناسب بر اساس تحلیل

o ایجاد یک محموله بدافزاری جدید یا انتخاب، استفاده مجدد، ویرایش محموله‌های بدافزاری موجود بر اساس آسیب‌پذیری شناسایی‌شده

o ایجاد یک کمپین ایمیل فیشینگ

o بهره‌گیری از کیت‌های اکسپلویت و بات‌نت‌ها

تحویل

مرحله قبلی شامل ایجاد یک سلاح بود. محموله آن به قربانی(ان) موردنظر از طریق یک پیوست ایمیل، از طریق یک لینک مخرب در وب‌سایت‌ها، یا از طریق یک برنامه وب آسیب‌پذیر یا درایو USB منتقل می‌شود. مرحله تحویل یک مرحله کلیدی است که اثربخشی راهبردهای دفاعی پیاده‌سازی‌شده توسط سازمان هدف را بر اساس این‌که تلاش نفوذ مهاجم مسدود می‌شود یا خیر، اندازه‌گیری می‌کند.

فعالیت‌های مهاجم شامل موارد زیر است:

o ارسال ایمیل‌های فیشینگ به کارکنان سازمان هدف

o توزیع درایوهای USB حاوی محموله مخرب میان کارکنان سازمان هدف

o اجرای حملاتی مانند Watering Hole بر روی وب‌سایت به‌خطر‌افتاده

o به‌کارگیری ابزارهای مختلف هک علیه سیستم‌عامل‌ها، برنامه‌های کاربردی و سرورهای سازمان هدف

بهره‌برداری

پس از آن‌که سلاح به قربانی موردنظر منتقل شد، مرحله بهره‌برداری کد مخرب مهاجم را فعال می‌کند تا از یک آسیب‌پذیری در سیستم‌عامل، برنامه کاربردی یا سرور روی سیستم هدف سوءاستفاده کند. در این مرحله، سازمان ممکن است با تهدیداتی نظیر حملات احراز هویت و مجوزدهی، اجرای کد دلخواه، تهدیدات امنیت فیزیکی و پیکربندی نادرست امنیتی مواجه شود.

فعالیت‌های مهاجم شامل موارد زیر است:

o سوءاستفاده از آسیب‌پذیری‌های نرم‌افزاری یا سخت‌افزاری برای دستیابی به دسترسی از راه دور به سیستم هدف

نصب

مهاجم برای حفظ دسترسی به شبکه هدف در یک بازه زمانی طولانی، نرم‌افزارهای مخرب بیشتری را روی سیستم هدف دانلود و نصب می‌کند. او ممکن است از همان سلاح برای نصب یک بک‌دور به‌منظور به‌دست آوردن دسترسی از راه دور استفاده کند. پس از تزریق کد مخرب روی یک سیستم هدف، مهاجم قادر می‌شود آلودگی را به سایر سیستم‌های نهایی در شبکه گسترش دهد. همچنین مهاجم تلاش می‌کند حضور فعالیت‌های مخرب را با استفاده از تکنیک‌های مختلفی مانند رمزگذاری از دید کنترل‌های امنیتی مانند فایروال‌ها پنهان کند.

فعالیت‌های مهاجم شامل موارد زیر است:

o دانلود و نصب نرم‌افزارهای مخرب مانند بک‌دورها

o به‌دست آوردن دسترسی از راه دور به سیستم هدف

o بهره‌گیری از روش‌های مختلف برای پنهان‌سازی و فعال نگه‌داشتن بک‌دور

o حفظ دسترسی به سیستم هدف

فرماندهی و کنترل

مهاجم یک کانال فرماندهی و کنترل ایجاد می‌کند که ارتباطی دوطرفه میان سیستم قربانی و سرور تحت کنترل مهاجم برقرار می‌سازد تا داده‌ها میان آن‌ها ردوبدل شود. مهاجمان برای پنهان‌سازی وجود چنین کانال‌هایی از تکنیک‌هایی مانند رمزگذاری استفاده می‌کنند. با استفاده از این کانال، مهاجم بهره‌برداری از راه دور را روی سیستم یا شبکه هدف انجام می‌دهد.

فعالیت‌های مهاجم شامل موارد زیر است:

o برقراری یک کانال ارتباطی دوطرفه میان سیستم قربانی و سرور تحت کنترل مهاجم

o بهره‌گیری از کانال‌هایی مانند ترافیک وب، ارتباطات ایمیلی و پیام‌های DNS

o به‌کارگیری تکنیک‌های ارتقای سطح دسترسی

o پنهان‌سازی هرگونه شواهد نفوذ با استفاده از تکنیک‌هایی مانند رمزگذاری

اقدامات بر روی اهداف

مهاجم سیستم قربانی را از یک موقعیت راه دور کنترل می‌کند و در نهایت به اهداف موردنظر خود دست می‌یابد. مهاجم با دسترسی به شبکه هدف و به‌خطر انداختن سیستم‌های بیشتر، به داده‌های محرمانه دسترسی پیدا می‌کند، خدمات یا شبکه را مختل می‌سازد، یا توان عملیاتی هدف را از بین می‌برد. همچنین مهاجم ممکن است از این نقطه به‌عنوان سکوی پرتابی برای انجام حملات دیگر استفاده کند.

آکادمی لیان

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دکمه بازگشت به بالا