Общий алгоритм заражения и вторжения в сеть предприятия

Модель Cyber Kill Chain

1. Разведка: выбор и анализ целей, а также идентификация уязвимостей.

2. Создание инструментария: злоумышленник создает инструментария для удаленного доступа,

например: вирус или червя с трояном удаленного доступа (RAT), адаптированный к одной или
нескольким уязвимостям.

3. Доставка: злоумышленник «стреляет» из ПО (например, через вложения электронной почты,

веб-сайты или USB-накопители).

4. Эксплуатация: срабатывает программный код вредоносного ПО, который атакует жертву,

используя выявленную уязвимость.

5. Установка: Вредоносное ПО устанавливает точку доступа (например, «бэкдор»), которую может

использовать злоумышленник.

6. Управление и контроль. Вредоносное ПО позволяет злоумышленнику «держать в руках

клавиатуру» - постоянный доступ к целевой сети.

7. Действия по достижению цели: злоумышленник предпринимает действия для достижения

своих целей, например кражу данных, уничтожение или шифрование с целью выкупа.
 1.Разведка: сбор информации о целевых социальных сетях, адресах
электронной почты, интеллектуальной собственности.

Что такое разведывательные атаки?

Разведывательная атака, как следует из названия - это попытки злоумышленников получить как
можно больше информация о сети, по мере возможности перед запуском других более серьезных
типов атак. Довольно часто разведывательная атака осуществляется с использованием
легкодоступной информации. Какая цель? Злоумышленник-разведчик сосредоточится на ком то,
кто имеет привилегированный доступ к системе, доступ к конфиденциальным данным или
сосредоточится на сети , ее архитектуре и планировке, инструментах, устройствах и протоколах, и
критической инфраструктуре. Это как грабитель, понимающий поведения жертвы, свободно
проникает в дом жертвы.

Виды разведывательной атаки:

• Пассивная разведка: хакер ищет информацию, не относящуюся к домену жертвы. Ему просто
известен домен, зарегистрированный в целевой системе, поэтому он может например
использовать социальные сети для поиска информации о цели.

• Активная разведка: хакер использует системную информацию для получения

несанкционированного доступа к защищенным цифровым или электронным материалам и может
обойти маршрутизаторы или даже брандмауэры, чтобы получить их.
 2. Создание инструментария

Создание инструментария: троян в сочетании с пригодным для использования приложениями:

документы Adobe pdf, Microsoft office, архивы в zip и rar формате.

«Хакеры использовали сотни тысяч подключенных к Интернету устройств, которые ранее были
заражен вредоносным кодом - известным как «ботнет» или, в шутку, «армия зомби» - чтобы
осуществить распределенную атаку отказа в обслуживании (DDoS) ». Об этом сообщает The
Guardian.

Какое кибероружие (инструментарий) наиболее известно?

• Ботнет: сеть компьютеров, вынужденных работать вместе по команде неавторизованного

удаленного пользователя. Эта сеть компьютеров-роботов используется для атак на другие
системы.

• DDOS: распределенные атаки типа «отказ в обслуживании» - это атаки, при которых
компьютерная система или сеть переполняются трафиком данных до такой степени, что система
не может обрабатывать объем запросов, и система или сеть выключается. Например нет
соединения с вашей корпоративной почтой, потому что, почтовый сервер вашей организации,
обрабатывает большое количество запросов злоумышленников(хакеров) , вместо того что бы
обрабатывать ваш запрос.

• Вредоносное ПО: вредоносное ПО внедряется в систему или сеть, чтобы делать то, чего
владелец не хотел бы делать. Примеры: логические бомбы, черви, вирусы, анализаторы пакетов
(прослушивание сети).

3. Доставка
Доставка: доставка кибероружия(инструментария) в целевую среду осуществляется при помощи
вложения электронной почты, съемные USB-носители, веб-сайты.

Что такое доставка?

Злоумышленник отправляет вредоносные данные жертве с помощью таких средств, как

электронная почта, что является лишь одним из многочисленных методов вторжения, которые
может использовать злоумышленник. Доступно более 100 способов доставки.

Два основных метода:

• Доставка, контролируемая злоумышленником, которая включает в себя прямой взлом

открытого порта.

• Доставка вредоносного ПО, при котором вредоносное ПО доставляется к цели с помощью

фишинга.

Пример фишинга , письмо ссылкой на загрузку вредоносного ПО.

4. Эксплуатация
Эксплуатация: активирован код злоумышленника и может автоматически запускаться с
операционной системой.

Как только злоумышленники обнаруживают уязвимость в вашей системе, они используют ее и

проводят атаку.

На этапе эксплуатации злоумышленник взламывает хост-машину(компьютер, роутер и т.п.) , и

механизм доставки обычно выполняет одно из двух действий:

• Устанавливает вредоносное ПО(droper- «бомбосбрасыватель» семейство вредоносных

программ, как правило это троянская программа) позволяющее злоумышленнику выполнять
команды.

• Устанавливает вредоносное ПО (downloader) и загружает дополнительное вредоносное ПО из

Интернета, что позволяет выполнение команд злоумышленника на хост-машине.

Как только точка опоры устанавится внутри сети, злоумышленник обычно загружает
дополнительные инструменты, пытаясь повысить привилегии, извлечь хэши паролей и т. д.

5. Установка

Установка / распространение: бэкдор или троян, постоянство скрывают свое существование от

устройств безопасности. «Уязвимость в Source SDK от Valve(компания-разработчик компьютерных
игр), библиотеки, используемой поставщиками игр для поддержки пользовательских модов и
других функций, позволяет злоумышленнику выполнять код на компьютере пользователя и, при
необходимости, установить вредоносное ПО, такое как программы-вымогатели, майнеры
криптовалюты, банковские трояны и другие ». –BleepingComputers.com

Какие еще возможные вредоносные программы? Возможное вредоносное ПО включает

программы-вымогатели и трояны удаленного доступа , другие нежелательные приложения.
Установка веб-оболочки на взломанный веб-сервер или backdoor внедренный в
скомпрометированную компьютерную систему позволяет злоумышленникам обойти меры
безопасности и поддерживать доступ в среду жертвы.

6. Управление и контроль

Управление и контроль : каналы для отправки и получения информации.

Что это?

Программы-вымогатели используют командные и управляющие соединения для загрузки ключей

шифрования перед захватом ваших файлов. Например, трояны удаленного доступа открывают
соединения для управления и контроля, чтобы разрешить удаленный доступ к вашей системе. Это
обеспечивает постоянное соединение для постоянного доступа к среде.

Как это делается?

Управление и контроль над скомпрометированным ресурсом обычно осуществляется через

маяки, по разрешенным протоколам из сети в интернет. Маяки могут иметь разные формы, но в
большинстве случаев они бывают следующими:

• На основе HTTP или HTTPS

• Сделан так, чтобы он выглядел как неопасный трафик через фальсифицированные заголовки
HTTP

В случаях, когда используется шифрованная связь, маяки, как правило, используют

самоподписные сертификаты или настраиваемое шифрование по разрешенному пути.

7. Действия по достижению цели

Действия и цели: Кража денег, кража IP, уничтожение и экс фильтрация: собрать, зашифровать,
извлечь информацию от цели, использования цели для компрометации других машин.
Что означает «действие» в кибер-терминах? Действие относится к тому, как атакующий достигает
своей конечной цели. Конечная цель злоумышленника может заключаться в чем угодно: от
получения от вас выкупа в обмен на расшифровку ваших файлов до кражи информации о
клиентах. В последнем примере решения по предотвращению потери данных могут остановить
кражу до того, как данные покинут вашу сеть. При других атаках программное обеспечение агента
конечной точки может идентифицировать активность, которая отклоняется от установленных
базовых показателей, и уведомлять ИТ-отдел о том, что что-то не так. Это тщательно
продуманный процесс активной атаки, который может занять месяцы и тысячи маленьких шагов,
чтобы достичь цели.

ЗАКЛЮЧЕНИЕ
Вместо того, чтобы бояться изощренности и тщательности кибератаки, мы должны узнать, что
представляет собой эта цепочка. Каждый шаг в Cyber Kill Chain - это возможность остановить атаку
на своем пути. По этой причине важно думать о кибератаках не как об инциденте, а как о
континууме.

Стратегия безопасности должна быть сосредоточена не только на Шаге 3: Доставка. Как видно
выше, атака, вероятно, началась задолго до этого и будет продолжаться еще долго после того, как
вредоносный файл будет доставлен. Ваша стратегия безопасности должна начинаться до атаки,
быть сильной во время атаки и оставаться сильной после завершения атаки. Брандмауэр не может
обеспечить безопасность на всех этапах Cyber Kill Chain - ни один продукт не может. Помня, что
безопасность - это стратегия, а не продукт, вы будете на пути к созданию эффективной стратегии
защиты.