ویدئو آموزشی: زنجیره‌ی کشتار در حملات سایبری

زنجیره کشتار سایبری

زنجیره‌ی کشتار سایبری مدلی است که توسط محققان لاکهید مارتین توسعه یافته است. این مدل حملات سایبری را به هفت مرحله طبقه‌بندی می‌کند. زنجیره‌ی کشتار سایبری برای ایجاد یک «برنامه‌ی دفاعی اطلاعات‌محور برای شبکه‌های کامپیوتری» استفاده می‌شود. این مدل دفاعی بر مبنای مفهوم نظامی «زنجیره‌ی کشتار» بنا شده که از مدل‌های چندمرحله‌ای برای توصیف انواع مختلف حمله استفاده می‌کند تا بتوان با استفاده از آن مدل، شکاف‌های موجود در قابلیت‌های دفاعی را شناسایی کرد و برای پرکردن این شکاف‌ها اولویت‌بندی انجام داد. زنجیره کشتار سایبری به نفوذهایی می‌پردازد که از آن‌ها به عنوان تهدیدات پیشرفته و مستمر (APT) یاد می‌شود. این تهدیدات نسبت به «ویروس‌های خودکار» شناخته‌شده پیشرفته‌تر بوده و پیشگیری از آن‌ها دشوارتر است.

سازمان‌ها با استفاده از راهکارهای خودکار از خود محافظت می‌کنند. ازجمله این راهکارهای خودکار می‌توان برنامه‌های آنتی‌ویروس و فایروال‌ها را نام برد. مشکل اینجاست که این راهکارها در مقابل حملات APT چندان موثر نیستند. هدف اصلی در یک حمله‌ی APT کسب دسترسی به یک شبکه‌ی هدف و ناشناس‌ماندن حین استخراج داده‌های حساس طی یک بازه‌ی زمانی طولانی است.

راهکارهای خودکار نمی‌توانند جلوی حملات APT را بگیرند

حملات APT بیشتر مکانیزم‌های دفاع سایبری پیاده‌شده توسط سازمان‌ها را دور می‌زنند. هکرهای APT با ترکیب تکنیک‌های «ساده» و تکنیک‌ها و ابزارهای پیشرفته، تشخیص و خنثی‌سازی حملات خود تنها با استفاده از راهکارهای خودکار را دشوار می‌کنند.

زنجیره‌ی کشتار سایبری چارچوبی را در اختیار تحلیل‌گران قرار می‌دهد که با استفاده از آن قادر خواهند بود:

  • ردپای هر تلاش تشخیص‌داده‌شده برای نفوذ را تا نقطه‌ی آغاز آن دنبال کنند.
  • حفره‌های امنیتی را که توسط مهاجمان «اکسپلویت» شده‌اند شناسایی کنند.

پس از آن تحلیل‌گران می‌توانند این حفره‌ها را از بین ببرند تا برای روبه‌رویی با نفوذهایی که با تکنیک‌های یکسانی انجام می‌شوند آماده باشند.

زنجیره‌ی کشتار سایبری: 7 فاز نفوذهای APT

بیایید هفت مرحله‌ی معمول در نفوذهای APT را مرور کنیم: شناسایی (Reconnaissance)، سلاح‌سازی (Weaponization)، انتقال (Delivery)، اکسپلویت (Exploitation)، نصب (Installation)، فرمان‌دهی و کنترل (Command and Control) و اقدام در جهت هدف (Actions on Objective).

آسیب‌پذیری‌ها و نقطه‌ضعف‌های شبکه‌ی خود را پیش از مهاجمین بیابید:

گام اول: شناسایی (Reconnaissance)

در این گام مهاجمان با استفاده از ابزارها و روش‌های متنوع، تا جای ممکن درباره‌ی هدف خود اطلاعات کسب می‌کنند. مهاجمان ممکن است برای جمع‌آوری داده‌های مختلف از شبکه‌ی هدف (مثل دستگاه‌های قابل نفوذ، سیستم عامل مورد استفاده، نسخه‌های مختلف دستگاه‌ها، برنامه‌ها و سیستم عامل) و هم‌چنین تشخیص سطح آسیب‌پذیری، از تکنیک‌های فعال (اکتیو) یا غیرفعال (پسیو) شناسایی استفاده کنند. برای مثال، از این روش‌ها استفاده می‌کنند که پی ببرند آیا اطلاعات هویتی یا دیگر اطلاعات مربوط به کارکنان بدون نیاز به نفوذ به سیستم در دسترس هست یا خیر. هدف مهاجمان انتخاب ضعیف‌ترین روزنه‌های ورود در شبکه‌ی هدف است که می‌توانند از آن‌ها برای دستیابی به اهداف خود استفاده کنند.

گام دوم: سلاح‌سازی (Weaponization)

مهاجمان براساس اطلاعات به‌دست‌آمده در فاز شناسایی و رویکردهایی که انتخاب کرده‌اند یک «ابزار» خاص می‌سازند. مهاجمان معمولا از یک بدافزار (معمولا یک تروجان دسترسی از راه دور یا RAT به همراه دیگر برنامه‌هایی که در فاز اکسپلویت به کار می‌روند) در کنار یک پی‌لود (Payload) قابل انتقال مانند یک سند آلوده (یک فایل PDF، پاورپوینت یا اکسل) استفاده می‌کنند.

با این وجود، بسته به روش انتقال، سلاح‌سازی ممکن است به شکل‌های دیگری نیز صورت بگیرد، که کیت‌های اکسپلویت یکی از آن‌ها هستند. در این نمونه، مهاجمان نیاز ندارند بدافزار خود را در یک فایل ظاهرا سالم پنهان کرده و هدف خود را برای دانلود آن فریب دهند. در عوض هدف را ترغیب می‌کنند که به یک وبسایت آلوده سر بزند، که ممکن است باعث «دانلود جانبی» (drive-by download) بدافزار یا یک میزبان آسیب‌پذیر شود که مستقیما توسط مهاجمان هدف قرار می‌گیرد.

به طور کلی هدف فاز سلاح‌سازی ساخت بدافزاری مخصوص هدف توسط مهاجمان است به گونه‌ای که محتوای مخرب آن پنهان بماند. مهاجمان برای دستیابی به هدف مورد نظر خود ممکن است چندین «سطح» از سلاح‌سازی را طی کرده و از چندین برنامه‌ی مخرب استفاده کنند.

برای تماشای ویدئوی آموزشی زنجیره‌ی کشتار سایبری به پایین صفحه مراجعه کنید. 

گام سوم: انتقال (Delivery)

از این فاز به بعد قضیه جدی می‌شود؛ چرا که در این مرحله مهاجم وارد فاز «فعال» می‌شود. در این فاز ابزار ساخته‌شده در فاز قبلی به هدف انتقال داده می‌شود. این کار ممکن است به شکل‌های متنوعی انجام شود. برای مثال، اگر مهاجم اطلاعات هویتی معتبر یا دستگاهی محافظت‌نشده را روی شبکه‌ی هدف خود یافته باشد، می‌تواند از راه دور به آن دستگاه دسترسی پیدا کرده و آن را با بدافزار خود آلوده کند. از دیگر روش‌های انتقال مجاب‌کردن یکی از کارکنان برای به‌اشتراک‌گذاشتن اطلاعات دسترسی و یافتن و اکسپلویت‌کردن آسیب‌پذیری‌هاست.

براساس گزارش تهدیدات امنیتی اینترنتی ارائه‌شده توسط Symantec، 65 درصد از باندهای APT شناخته‌شده از ایمیل‌های فیشینگ برای حملات هدفمند استفاده می‌کنند. مهاجمان معمولا از طریق ایمیل‌های فیشینگ که با دقت و ظرافت طراحی شده‌اند و از تکنیک‌های مهندسی اجتماعی استفاده می‌کنند، فایل‌ها یا لینک‌های آلوده را ارسال می‌کنند. در روش‌های انتقال بدافزار، لینک‌های موجود در ایمیل سهم 40 درصدی دارند. هم‌چنین ضمیمه‌های ایمیل 18 درصد از این روش‌ها را تشکیل می‌دهند.

گام چهارم: اکسپلویت (Exploitation)

وقتی سلاح به هدف انتقال پیدا کرد، می‌توان فاز اکسپلویت را آغاز کرد. هدف این فاز پخش‌شدن بدافزار در شبکه، افزایش سطح دسترسی یا هر عمل دیگری است که مهاجمان برای آماده‌شدن برای فازهای بعدی به آن نیاز دارند.

بدافزارها معمولا آسیب‌پذیری‌های موجود در برنامه‌های کاربردی یا سیستم عامل را هدف می‌گیرند. این آسیب‌پذیری‌ها ممکن است شناخته‌شده باشند (آسیب‌پذیری‌ها و نقطه‌ضعف‌های رایج، یا همان CVEها)، و یا ممکن است آسیب‌پذیری‌های ناشناخته‌ی «روز صفر» یا zero-day باشند؛ یعنی آسییب‌پذیری‌هایی که هنوز توسط گردانندگان سیستم یا شبکه‌ی مورد حمله، شناسایی و پچ نشده‌اند.

گام پنجم: نصب (Installation)

همان‌طور که پیش از این نیز به آن اشاره شد، هدف حملات APT معمولا استخراج اطلاعات طی یک بازه‌ی زمانی طولانی است. در فاز نصب، مهاجمان سعی می‌کنند خود را در شبکه «نصب» کرده و تداوم حضور خود در شبکه را حفظ کنند. این کار عمدتاً با استفاده از RATها (تروجان‌های دسترسی از راه دور) و بک‌دورها (backdoor) انجام می‌شود. مهاجمان می‎‌توانند چندین ابزار را مستقر کنند تا در صورت از کارافتادن یا شناسایی و بلاک‌شدن یکی از آن‌ها، ابزار دیگری جایگزین آن شود.

گام ششم: فرمان‌دهی و کنترل (Command & Control: C2)

وقتی مهاجمان خود را روی شبکه «نصب» کردند، یک سرور C2 پیاده‌سازی می‌شود. این سرور کانالی میان میزبان‌های آلوده و خرابکاران ایجاد می‌کند. مهاجمان می‌توانند از این سرور C2 برای تعامل مستقیم با هدف استفاده کنند؛ این تعامل ممکن است استخراج اطلاعات یا تزریق یک بدافزار جدید باشد.

گام هفتم: اقدام در جهت هدف (Actions on Objective)

وقتی تمام گام‌های قبلی کامل شدند، عاملان APT درنهایت شروع به کار روی اهداف اصلی خود می‌کنند. این اهداف ممکن است شامل استخراج اطلاعات، مخفی ماندن روی شبکه تا یک زمان خاص، نصب بدافزار با هدف غیرفعال‌سازی یا نابودکردن سیستم‌ها و یا حرکت به سوی اهداف یا سیستم‌ها ارزشمندتری باشد که به سیستم آلوده‌شده متصل هستند.

رویکرد مرحله‌به‌مرحله روی این نظریه بنا شده که اگر یک مدافع بتواند یکی از گام‌های مورد استفاده در یک حمله‌ی APT را شناسایی کرده و آن را مستندسازی کند، نفوذهای مشابه در نهایت شکست خواهند خورد. با این وجود، زنجیره‌ی کشتار یک مفهوم انتزاعی بوده و تنها نشان‌دهنده‌ی بخش‌های مختلف در نحوه‌ی رخ‌دادن یک نفوذ امنیتی است. زنجیره‌ی کشتار ابزاری عالی است که می‌تواند به مدافعان کمک کند انواع مختلف محیط‌های مورد تهدید را طبقه‌بندی کنند؛ ولی مدافعان سایبری باید آن را متناسب با منابع در دسترس و موارد استفاده‌ی خاص خود به کار ببرند.

می‌خواهید بیشتر درباره‌ی مستندسازی از حملات سایبری بیاموزید؟ به دوره‌های فارنزیک لیان سر بزنید:

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.