متدولوژی Cyber Kill Chain
روششناسی Cyber Kill Chain یکی از مؤلفههای دفاع مبتنی بر اطلاعات است که برای شناسایی و جلوگیری از فعالیتهای نفوذ مخرب بهکار میرود. این روششناسی به متخصصان امنیت در شناسایی مراحلی که مهاجمان برای رسیدن به اهداف خود طی میکنند کمک میکند. Cyber Kill Chain یک چارچوب طراحیشده برای ایمنسازی فضای سایبری است که بر اساس مفهوم «زنجیره کشتار» در عملیات نظامی توسعه یافته است. هدف این روش، تقویت فعالانه فرایندهای تشخیص و پاسخ به نفوذ است. Cyber Kill Chain به یک سازوکار حفاظتی هفتمرحلهای مجهز است تا تهدیدات سایبری را کاهش داده و اثر آنها را کم کند.
بر اساس مدل شرکت Lockheed Martin، حملات سایبری ممکن است در هفت مرحله مختلف رخ دهند؛ از شناسایی اولیه تا دستیابی نهایی به هدف. درک روششناسی Cyber Kill Chain به متخصصان امنیت کمک میکند تا کنترلهای امنیتی را در مراحل مختلف حمله بهکار گیرند و پیش از موفقیت حمله، از وقوع آن جلوگیری کنند. این چارچوب همچنین بینش عمیقتری نسبت به مراحل حمله فراهم میکند و در نتیجه به درک پیشدستانه تاکتیکها، تکنیکها و رویههای مهاجم (TTPs) کمک مینماید.
شناسایی
مهاجم بهمنظور گردآوری حداکثری اطلاعات درباره هدف و شناسایی نقاط ضعف پیش از اجرای حمله واقعی، اقدام به شناسایی میکند. او به دنبال اطلاعاتی نظیر دادههای در دسترس عموم در اینترنت، اطلاعات شبکه، اطلاعات سیستم و اطلاعات سازمانی هدف است. با انجام شناسایی در سطوح مختلف شبکه، مهاجم میتواند به اطلاعاتی مانند بلوکهای شبکه، آدرسهای IP مشخص و جزئیات کارکنان دست یابد. مهاجم ممکن است از ابزارهای خودکار برای بهدست آوردن اطلاعاتی مانند پورتها و سرویسهای باز، آسیبپذیریهای موجود در برنامههای کاربردی و اعتبارنامههای ورود استفاده کند. چنین اطلاعاتی میتواند به مهاجم در دستیابی به دسترسی بکدور به شبکه هدف کمک کند.
فعالیتهای مهاجم شامل موارد زیر است:
o گردآوری اطلاعات درباره سازمان هدف از طریق جستوجو در اینترنت یا با استفاده از مهندسی اجتماعی
o تحلیل فعالیتهای مختلف آنلاین و اطلاعات در دسترس عموم
o جمعآوری اطلاعات از شبکههای اجتماعی و سرویسهای وب
o بهدست آوردن اطلاعات درباره وبسایتهای بازدیدشده
o پایش و تحلیل وبسایت سازمان هدف
o انجام Whois، DNS و فوتپرینتینگ شبکه
o انجام اسکن برای شناسایی پورتها و سرویسهای باز
تسلیحسازی
مهاجم دادههای گردآوریشده در مرحله پیشین را تحلیل میکند تا آسیبپذیریها و تکنیکهایی را که میتوانند برای بهرهبرداری و دستیابی غیرمجاز به سازمان هدف استفاده شوند، شناسایی کند. بر اساس آسیبپذیریهای شناساییشده در جریان تحلیل، مهاجم یک محموله مخرب سفارشیِ قابلارسال (سلاح بدافزاری دسترسی از راه دور) را با استفاده از یک اکسپلویت و یک بکدور انتخاب یا ایجاد میکند تا آن را برای قربانی ارسال کند. مهاجم ممکن است برای اجرای حمله خود، دستگاههای شبکه خاص، سیستمعاملها، دستگاههای انتهایی، یا حتی افراد درون سازمان را هدف قرار دهد. برای مثال، مهاجم ممکن است یک ایمیل فیشینگ برای یکی از کارکنان سازمان هدف ارسال کند که میتواند شامل یک پیوست مخرب مانند ویروس یا کرم باشد که پس از دانلود شدن، یک بکدور روی سیستم نصب میکند و امکان دسترسی از راه دور را برای مهاجم فراهم میسازد.
فعالیتهای مهاجم شامل موارد زیر است:
o شناسایی محموله بدافزاری مناسب بر اساس تحلیل
o ایجاد یک محموله بدافزاری جدید یا انتخاب، استفاده مجدد، ویرایش محمولههای بدافزاری موجود بر اساس آسیبپذیری شناساییشده
o ایجاد یک کمپین ایمیل فیشینگ
o بهرهگیری از کیتهای اکسپلویت و باتنتها
تحویل
مرحله قبلی شامل ایجاد یک سلاح بود. محموله آن به قربانی(ان) موردنظر از طریق یک پیوست ایمیل، از طریق یک لینک مخرب در وبسایتها، یا از طریق یک برنامه وب آسیبپذیر یا درایو USB منتقل میشود. مرحله تحویل یک مرحله کلیدی است که اثربخشی راهبردهای دفاعی پیادهسازیشده توسط سازمان هدف را بر اساس اینکه تلاش نفوذ مهاجم مسدود میشود یا خیر، اندازهگیری میکند.
فعالیتهای مهاجم شامل موارد زیر است:
o ارسال ایمیلهای فیشینگ به کارکنان سازمان هدف
o توزیع درایوهای USB حاوی محموله مخرب میان کارکنان سازمان هدف
o اجرای حملاتی مانند Watering Hole بر روی وبسایت بهخطرافتاده
o بهکارگیری ابزارهای مختلف هک علیه سیستمعاملها، برنامههای کاربردی و سرورهای سازمان هدف
بهرهبرداری
پس از آنکه سلاح به قربانی موردنظر منتقل شد، مرحله بهرهبرداری کد مخرب مهاجم را فعال میکند تا از یک آسیبپذیری در سیستمعامل، برنامه کاربردی یا سرور روی سیستم هدف سوءاستفاده کند. در این مرحله، سازمان ممکن است با تهدیداتی نظیر حملات احراز هویت و مجوزدهی، اجرای کد دلخواه، تهدیدات امنیت فیزیکی و پیکربندی نادرست امنیتی مواجه شود.
فعالیتهای مهاجم شامل موارد زیر است:
o سوءاستفاده از آسیبپذیریهای نرمافزاری یا سختافزاری برای دستیابی به دسترسی از راه دور به سیستم هدف
نصب
مهاجم برای حفظ دسترسی به شبکه هدف در یک بازه زمانی طولانی، نرمافزارهای مخرب بیشتری را روی سیستم هدف دانلود و نصب میکند. او ممکن است از همان سلاح برای نصب یک بکدور بهمنظور بهدست آوردن دسترسی از راه دور استفاده کند. پس از تزریق کد مخرب روی یک سیستم هدف، مهاجم قادر میشود آلودگی را به سایر سیستمهای نهایی در شبکه گسترش دهد. همچنین مهاجم تلاش میکند حضور فعالیتهای مخرب را با استفاده از تکنیکهای مختلفی مانند رمزگذاری از دید کنترلهای امنیتی مانند فایروالها پنهان کند.
فعالیتهای مهاجم شامل موارد زیر است:
o دانلود و نصب نرمافزارهای مخرب مانند بکدورها
o بهدست آوردن دسترسی از راه دور به سیستم هدف
o بهرهگیری از روشهای مختلف برای پنهانسازی و فعال نگهداشتن بکدور
o حفظ دسترسی به سیستم هدف
فرماندهی و کنترل
مهاجم یک کانال فرماندهی و کنترل ایجاد میکند که ارتباطی دوطرفه میان سیستم قربانی و سرور تحت کنترل مهاجم برقرار میسازد تا دادهها میان آنها ردوبدل شود. مهاجمان برای پنهانسازی وجود چنین کانالهایی از تکنیکهایی مانند رمزگذاری استفاده میکنند. با استفاده از این کانال، مهاجم بهرهبرداری از راه دور را روی سیستم یا شبکه هدف انجام میدهد.
فعالیتهای مهاجم شامل موارد زیر است:
o برقراری یک کانال ارتباطی دوطرفه میان سیستم قربانی و سرور تحت کنترل مهاجم
o بهرهگیری از کانالهایی مانند ترافیک وب، ارتباطات ایمیلی و پیامهای DNS
o بهکارگیری تکنیکهای ارتقای سطح دسترسی
o پنهانسازی هرگونه شواهد نفوذ با استفاده از تکنیکهایی مانند رمزگذاری
اقدامات بر روی اهداف
مهاجم سیستم قربانی را از یک موقعیت راه دور کنترل میکند و در نهایت به اهداف موردنظر خود دست مییابد. مهاجم با دسترسی به شبکه هدف و بهخطر انداختن سیستمهای بیشتر، به دادههای محرمانه دسترسی پیدا میکند، خدمات یا شبکه را مختل میسازد، یا توان عملیاتی هدف را از بین میبرد. همچنین مهاجم ممکن است از این نقطه بهعنوان سکوی پرتابی برای انجام حملات دیگر استفاده کند.



