زنجیره سایبری کشتن زنجیره ای (CKK) – روش شناسی رهگیری APT و کاهش بدافزار پیشرفته.

ما شاهد یک تغییر معرفت شناختی در روش های شناسایی و کاهش بدافزار هستیم. این ابتکار با هدایت لاکهید مارتین ، یک رویکرد جدید جدید را پیشنهاد می کند – بجای برخورد با حمله مخرب در پی آن و تقویت زیرساخت ها پس از متوقف شدن حمله ، براساس IOT های محاسبه شده و IOCs ، LM در نظر دارد تا زودهنگام دایره ای و بسیار کارآمد را تقویت کند. سیستم کاهش می یابد که نیاز روزافزون به تیم پاسخگوی حوادث امنیتی رایانه ای (CSIRT) را نشان می دهد.

فرضی که بر اساس آن Cyber ​​Kill Chain (CKK) ساخته شده لاکهید مارتین (CKK) ساخته شده است ، مربوط به بازی قدرت بین یک پتانسیل است. مهاجم و مدافع. مدل های تشخیص ، پاسخ و کاهش سنتی می گویند که مدافع در مواجهه با یک دشمن بالقوه "مشکلی" ذاتی دارد – thespian مخرب عنصر تعجب را دارد و همیشه اطلاعات کافی را برای سازش مدافع در اختیار خواهد داشت.

بدون شک این اظهارات تا حدی صادق است ، با قضاوت در مورد چگونگی "جراحی" در طبیعت "تهدیدهای مداوم پیشرفته" (و تبدیل به آن شده اند) ، با این وجود ، این مانع از سناریوی مدافع بدست آوردن دست بالا نیست!

ما به استعاره نیاز داریم به (عملی) اطلاعاتی و پزشکی قانونی ، CKK را محاکمه کنیم. بدون شک ، نتیجه بی اهمیت و بدون تأثیر نیست ، با توجه به اینکه این مفهوم ارتش می تواند هنوز راه را برای یک رنسانس واقعی شکار تهدید فراهم کند.

اصطلاحات اصطلاحات Cyber ​​Kill Chain (CKK) (CKK) 

 (همانطور که توسط پیشنهاد شده است اریک م. هاچینز ، مایکل جی کلوپرت ، رومان M. امین ، دکتری و همکاران)
  1. Lockheed Martin Kill Chain – برنامه هشت مرحله ای ، تشخیص پیشرفته ، کاهش ، و برنامه پاسخ بر اساس F2T2E2 نظامی ایالات متحده (Intrusion Kill Chain) استراتژی (یافتن ، رفع ، پیگیری ، هدف ، تعامل و ارزیابی). رویکرد لاکهید مارتین پیوندهای زیر را ارائه می دهد: شناسایی ، اسلحه سازی ، تحویل ، بهره برداری ، نصب ، فرماندهی و کنترل (C2 ، گاهی اوقات C&C) ، اقدام به هدف (و حرکت جانبی) و پیاده سازی داده ها.
  2. شاخص های تهدید (IOTs) و شاخص های سازش (IOCs) – محاسبه شده بر اساس داده های خام قبل و بعد از حمله. طبقه بندی LM شاخص های اتمی را مشاهده می کند (نمی توان آنها را به قسمتهای کوچکتر تقسیم کرد و معنای آنها را بدون در نظر گرفتن زمینه) حفظ کرد ، شاخص های محاسبه شده (حاصل از داده های درگیر در یک حمله) و رفتاری (جمع کامپوزیت بین داده های اتمی و محاسبه شده).
  3. تحویل مکانیسم – روش هایی برای بارگذاری بارهای مخرب به شبکه های هدفمند و نقاط انتهایی. بر اساس تجزیه و تحلیل پویا APT ، بیشترین روش برای حمله به ایمیل (TME یا ایمیل مخرب هدفمند) ، به دنبال آن وب سایت های فیشینگ ، و درایوهای رسانه قابل جابجایی USB تغییر یافته است.
  4. ماتریس اکشن – ارتباط متقابل مناسب با مرحله زنجیره کشتن
  5. ضد انقباض های قبل و بعد از شناسایی :
    1. ورود به حسابرسی ؛
    2. NIDS + HIDS + Hips؛
    3. مدیریت کنترل دسترسی فایروال ؛
    4. 'Tarpit'؛
    5. DNS تغییر مسیر ؛
    6. AV رفت و برگشت ؛
    7. DEP (پیشگیری از اجرای داده ها) ؛
    8. صف بندی ،
    9. وصله ؛
    10. فیلتر پروکسی (Egress + Ingress)
    11. Analytics؛
    12. Chroot 'زندان'.
    13. تجزیه و تحلیل QoS.
  6. کنترل های امنیتی – مجموعه ای از اقدامات انجام شده توسط یک تیم CSIR برای جلوگیری یا جلوگیری از حمله. همچنین نامیده می شود پنج DK از CKK : D ذات ، D دشمن ، D ناگهان ، D و D
  7. Intelligent Intelligence – استنتاج هایی که پس از کشف و کاهش هجوم گذشته انجام شده است. این همچنین می تواند به "چکمه های روی زمین" – تهدید و اطلاعات تاکتیکی کشف شده از طریق روش های مستقیم (به عنوان مثال شنوایی ، بازجویی ، تجزیه و تحلیل اسناد فیزیکی و غیره) مراجعه کند. اطلاعات تاکتیکی بخشی ذاتی از SOP CSIRT (روال عملیاتی استاندارد) است و در تهیه دستور کار TTP (تاکتیک ها ، تکنیک ها و رویه ها) این گروه مفید است.

شرح فاز فاز Cyber ​​Kill Chain (CKK) – تجزیه و تحلیل عمیق

رویکرد لاکهید مارتین برای کشف و کاهش تهدید عناصر موجود در پوسته حمله / پاسخ MITRE را شامل می شود. بر خلاف چارچوب نسبتاً نظری که توسط MITER پیشنهاد شده است ، CKK رویکردی دست و پاگیرتر دارد و به راحتی می تواند بدون توجه به موجودیت (یعنی SMB ، استارتاپ ، شرکت) در تدوین استراتژی دفاعی منسجم و فعال سایبر دفاعی ادغام شود. ، ارائه دهنده اطلاعات و غیره.)

با توجه به نمایش فازهایی که CKK را تشکیل می دهند ، می خواهم یک چالش را ایجاد کنم: آیا Cyber ​​Kill Chain الگوی بعدی برای مبارزه با APT ها یا علوم رایانه ای معادل فنولوژی است؟ باقی مانده است تا دیده شود.

طبق گفته LM ، زنجیره سایبر قتل از هشت مرحله تشکیل شده است:

  1. بازآفرینی ؛
  2. اسلحه سازی ؛
  3. تحویل ؛
  4. ؛
  5. نصب و راه اندازی ؛
  6. فرمان و کنترل ؛
  7. اکشن-روی-هدف و حرکت جانبی ؛
  8. Exfiltration

بازآفرینی

مرحله اول یک حمله. یک مرحله مهم برای اطمینان از دستیابی به عملکرد مخرب به هدف خود – استخراج داده ها. در طول این مرحله ، مهاجم تلاش خواهد کرد تا هرچه بیشتر اطلاعات را در مورد هدف جمع کند. تکنیک های Recon بسته به اندازه هدف ، قدرت دفاع سایبری ، میزان سازش ، هدف یک مهاجم می تواند متفاوت باشد:

  • وب سایت خزنده (لیست های پستی ، مهندسی رسانه های اجتماعی ، نام دامنه اطلاعات ، شرکت میزبان ، اطلاعات تاریخی وب سایت).
  • ' اثر انگشت – یک روش جمع آوری اطلاعات است که به مهاجمان کمک می کند تا سیستم عامل هدف را تعیین کنند. چاپ اثر انگشت با انتقال بسته های تغییر یافته به سیستم هدف و تجزیه و تحلیل نحوه تعامل هدف با آنها انجام می شود. نمونه ای از اثر انگشت: زمان برای پخش ، اندازه پنجره ، DF (مشخص می کند که سیستم عامل بیت 'Fragment' را تنظیم نکرده است) ، و TOS (نوع سرویس).
  • اسکن بندر – لیست همه درگاه های باز روی سیستم هدف.
  • DNS enumeration – تکنیکی که معمولاً از یک ابزار خودکار (یعنی DNSenum) استفاده می کند تا کلیه سرورها و سوابق DNS مرتبط با یک نهاد مانند یک شرکت را در خود جای دهد.
  • 'Sniffing ' – روش بازسازی برای ضبط ، تجزیه و تحلیل و نظارت بر بسته ها هنگام عبور از یك شبکه استفاده می شود. Sniffing از طریق ابزارهای تخصصی حاصل می شود. نوع اطلاعات جمع آوری شده با یک ابزار مفصل: ترافیک DNS ، جلسات گپ ، پیکربندی روتر ، رمزهای عبور (Telnet و FTP) ، وب و ترافیک ایمیل.
Heimdal Logo logo

آنتی ویروس دیگر به اندازه کافی امنیت سیستم های سازمان را حفظ نمی کند.

Thor Foresight Enterprise

بعدی سپر پیشگیرانه ژنرال ما است که تهدیدهای ناشناخته را
قبل از رسیدن آنها متوقف می کند. سیستم شما
            

  • یادگیری ماشینی اسکن شده برای همه ترافیک آنلاین دریافتی ؛
  • نقض داده ها را متوقف می کند قبل از اطلاعات حساس می تواند در معرض نمایش در خارج باشد ؛
  • تکه های خودکار برای نرم افزار و برنامه های شما بدون هیچ گونه وقفه ای ؛
  • محافظت در برابر نشت داده ها ، APT ها ، باج افزار و سوءاستفاده ها ؛

تسلیحات

مرحله / پیوند دوم CKK [اسلحهسازی19659041] است – اضافه کردن یک بار مخرب به یک تروجان یا تغییر از راه دور. این تروجان خود دارای قابلیت های بهره برداری است. با این حال ، بدون بردار انتشار ، نمی تواند از شناسایی جلوگیری کند. اسلحه سازی اغلب با استفاده از ابزارهای خودکار حاصل می شود. درمورد تحویل ، تحقیقات نشان می دهد که رایج ترین رسانه تحویل بار تحویل ، یک فایل داده برنامه برنامه مشتری مانند سند Microsoft Office (.docx ، .xls) یا pdf است.

مطالعه موردی – سلاح های تسلیحاتی اکسل Bank Security از طریق Metasploit SMB ماژول تحویل.

مطالعه موردی بانک امنیت ثابت كرد كه حتی یك چیز به عنوان یك سند بی نظیر MS Excel را می توان به یك بهره برداری تبدیل كرد كه بیشتر AV-Inline را از بین می برد. مطالعه موردی نحوه بارگیری و اجرای یک بار خرابکار بر روی دستگاه را با استفاده از ماکرو VBS نشان می دهد.

چکیده : ماژول که شامل یک کد سفارشی یا آماده است. در Metasploit بارگیری می شود. این ماژول برای سوء استفاده از windows / smb / smb_delivery پیکربندی شده است. پس از اجرای دستور ، پرونده های مربوط به کتابخانه های لینک Dynamic Link مخرب مناسب بارگیری می شوند. شناسه هدف و .dll نیز باید مشخص شوند. پس از اتمام مرحله پیکربندی ، فرمان بهره برداری قابل اجرا است. یک پوسته معکوس Meterpreter روی دستگاه قربانی باز خواهد شد (این کار پس از نصب metrepreter_reverse_tcp انجام خواهد شد).

یک خط بهره برداری از فرمان تولید می شود. این باید روی دستگاه قربانی اجرا شود. قرار دادن آن در پنجره Run باعث می شود تا توسط AV AV تشخیص داده شود. اسلحه سازی با تعبیه یک خط فرمان ایجاد شده توسط سرور مخرب در یک کلان Excel VBS حاصل می شود. هنگامی که کاربر ورق اکسل را باز کرد ، خط فرمان به طور خودکار در پس زمینه اجرا می شود و باعث سوء استفاده می شود.

برای جزئیات بیشتر و مستندات فنی کامل ، لطفاً به این مسئله در اسلحه سازی اکسل مراجعه کنید.

تحویل

مرحله سوم زنجیره سایبر کشتار به بردارهایی که برای تحویل بارهای مخرب استفاده می شود ، اشاره دارد. مشاهدات پدیده بدافزارها نشان داده است که بردارهای برجسته تحویل عبارتند از: پیوست های ایمیل (مراجعه به فیشینگ) ، وب سایت های مخرب و درایوهای انگشت شست USB. RDP (پروتکل دسک تاپ از راه دور) نیز در بین بازیگران مخرب به وجود می آید. بیشتر اوقات ، بازیگران مخرب از آسیب پذیری های سیستم عامل استفاده می کنند ، اما برنامه ها نیز می توانند مورد هدف قرار گیرند ، به ویژه مواردی که به روز نشده ، ضمیمه شده یا در حال ساختن یک ناپایدار / آزمایشی هستند.

در برخی موارد ، حتی برخی از سیستم عامل ها یا سیستم. ویژگی ها کد اجرای خودکار سوء استفاده را طی می کنند. این یکی از دلایلی است که باعث شده است وصله در بین مدیران سیستم و محققان جرایم سایبری کشیده شود. داده های داخلی Heimdal Security نشان داده است که وصله مکرر می تواند تا 85٪ از کل بردارهای حمله را از بین ببرد.

تشدید حقوق

در طی مرحله بهره برداری ، مهاجمی با بدست آوردن نوع ادمین سعی در به خطر انداختن سیستم های اضافی و / یا حساب ها خواهد داشت. حقوق. روش های مختلفی وجود دارد که از طریق آن مهاجمان می توانند چنین حقوقی را کسب کنند ، از معروف ترین روش ، حمله به اصطلاح نیرومند است.

سایر بردارها را می توان جستجو کرد: مخازن اعتبار غیرقابل اطمینان ، ترافیک شبکه بدون رمزگذاری ، پرونده هایی که دارای اعتبارنامه ساده است. اقدامات متقابل مناسب برای به کارگیری یک تشدید حقوق و تشدید حقوق خودکار برای ساده تر کردن روند و در صورت وجود مزخرف عفونت است.

Logo Heimdal Official Logo

سیستم مدیریت می کند 30٪ از وقت خود را برای مدیریت دستی حقوق کاربر و یا زباله تلف کند.

Thor AdminPrivilege ™

راه حل اتوماتیک مدیریت دسترسی اختصاصی (PAM) است
                    که بخش های عظیمی از زمان سیستم مدیریت را آزاد می کند.
            

  • افزایش حقوق مدیر در صورت درخواست به صورت خودکار ؛
  • تأیید یا رد پراکندگی ها با یک کلیک ؛
  • یک مسیر حسابرسی کامل را در رفتار کاربر فراهم کنید ؛
  • به طور خودکار در معرض خطر عفونت مجدد قرار بگیرید ؛

نصب [19659040] در مرحله پنجم ، بازیگر بدخواه سعی در دستیابی به جایگاه (حفظ پایداری) دارد. این می تواند با انداختن یک تروجان دسترسی از راه دور در داخل سیستم به خطر بیافتد. بازیگر مخرب می تواند نصب یک Backdoor یا استفاده از یک موجود را انتخاب کند.

Command and Control (C&C)

پس از برقراری ارائه ، حمله کننده سعی خواهد کرد که میزبان به خطر بیافتد را به یک فرمان وصل کند. سرور کنترل (C&C). این به مهاجم اجازه می دهد تا دستورات مربوط به Exfil داده ها را انجام دهد. برخی محدودیت ها وجود دارد – تعامل بیشتر دستی است و فضای بسیار کمی برای اتوماسیون باقی می گذارد. با این حال ، APT های اخیراً مشاهده شده ممکن است از تکنیک های یادگیری ماشین برای افزایش کارآیی آنها و کاهش خطر تشخیص موفقیت آمیز استفاده کنند.

Action-on-Object & Lateral Movement

پس از طی کردن مرحله یک تا پنج ، متجاوز اکنون می تواند بدون مانع حرکت کند. سیستم و رسیدن به هدف خود – داده های حساس 'فرار از زندان'. در بعضی موارد ، مهاجم برای دستیابی به ارزش بالاتر (هدفگذاری هوپ) یک هدف را سازش می کند. در این مرحله ، بازیگر مخرب همچنین سعی خواهد کرد تا به اعماق داخل شبکه منتقل شود یا حتی به منابع بیشتری نیز دسترسی پیدا کند (یعنی مخازن اعتبار ، پایگاه داده و غیره.).

Obfuscation

Action-on-Object و Lateral Movement. بسیار دشوار است اگر غیرممکن نیست. علی رغم اینکه فاز به خودی خود نیست ، مهاجم برای جلوگیری از شناسایی باید مجبور به "ردپاهای خود" شود. انسداد را می توان با روش های مختلفی بدست آورد: padding binary ، امضای کد ، حذف پرونده ، توخالی فرآیند ، تحریک مکان های زمانی تحریف ، و غیره. در کمپین های APT ، بازیگران مخرب قادر به کنار زدن اقدامات خود به حدی هستند که Exfil داده خیلی دیر کشف می شود. زنجیره ای برای استفاده از هر نوع اقدامات متقابل.

Exfiltration Data

مرحله نهایی زنجیره کشتن سایبر LM: LD's Excelilation: Exfiltration داده های جعلی و کسب درآمد بعدی. بازیگر مخرب معمولاً سعی خواهد کرد از طریق ابزارهای مختلف داده های حساس را از سیستم های به خطر بیافتد و یا پروتکل رمزنگاری ، فشرده سازی داده ها ، لایه برداری از پروتکل پنهان یا بدون نظارت و حتی خارج کردن یک رسانه فیزیکی (به عنوان مثال USB قابل جدا شدن) حذف کند. رسانه ها ، دستگاه های قابل حمل ذخیره سازی داده ها و غیره)

DoS (انکار سرویس)

حتی با وجود کلیه اقدامات متقابل کلیدی که از عمل خارج شده است ، کشف هنوز هم ممکن است امکان پذیر باشد. برای جلوگیری از این نتیجه ، بازیگران بدخواه به منظور جلب توجه تیم امنیت سایبری در سایت ، یک حمله انکار سرویس را آغاز می کنند. این بیشتر یک اقدام پریشان کننده است و حداقل تأثیر آن بر سیستم یا شبکه شرکت است. حملات DoS شامل ربودن منابع ، توقف سرویس ، انکار شبکه یا خاموش کردن کل سیستم است.

استراتژیک کردن پاسخ حادثه

Cyber ​​Kill Chain یک مدل پویا و شهودی است که رفتار یک بازیگر مخرب را در تلاش برای توصیف خود توصیف می کند. نفوذ به زیرساخت ها به منظور استخراج داده ها. اگرچه به خودی خود راه حلی نیست ، CKK می تواند یک چشم انداز روشنگری را در ذهن جنایتکار در فضای سایبر فراهم کند و تیم CSIR را در تدوین اقدامات مبتنی بر فاز "کشتن" یاری دهد.

اقدامات ضد پیشنهاد شده توسط اقدام لاکهید مارتین – ماتریس حساس به فاز هستند و پس از سیستم F2T2E2 ارتش آمریكا مدل سازی شده اند.

در مقدمه ، من در مورد پنج DS CKK [ D etect ، D eny، D dive، D egrade، and D eceive). بگذارید یک نگاه دقیق تر به چگونگی تدوین یک استراتژی مناسب بر اساس مرحله کشتار همکار بیاندازیم.

Recon

اقدامات متقابل در این مرحله کشف و انکار می شوند. کشف می تواند از طریق تجزیه و تحلیل وب انجام شود ، در حالی که Deny از Firewall ACM استفاده می کند.

سلاح سازی

ضد انفعالات مناسب: شناسایی نفوذ شبکه (NIDS) در تشخیص و محافظت از نفوذ شبکه در انکار.

تحویل

احتراق احتمالی: هوشیاری کاربر در تشخیص ، فیلتر پروکسی بر روی رد کردن ، جارو کشیدن زنده AV بر روی Disrupt ، و صف کشیدن روی Degrade.

بهره برداری

: HIDS در تشخیص ، Patch در رد ، و جلوگیری از اجرای داده ها (DEP) در مورد اختلال.

نصب

احتمالات ضد احتمالی: HIDS on Detect ، زندان "chroot" در رد ، و جابجایی AV دوم. on Disqet.

Command & Control

احتراق احتمالی: NIDS on Detect ، فایروال ACM در Deny ، NIPS on Disrupt ، Tarpit on Degrade و DNS تغییر مسیر در Deceive.

اقدام به شیء

ممکن c actionsactions: بررسی ورود به سیستم در مورد Detect ، کیفیت خدمات در مورد تخریب و Honeypot on Deceive.

بستن افکار

CSIRT بدون توجه به اندازه شرکت یا مشخصات شرکت ضروری است. بدافزارهای نسل دوم نسبت به عموزاده های دور خود موذی تر و ویروسی تر هستند و راه حل های ساده AV به سادگی برای شناسایی و کاهش این نوع هجوم طراحی نشده اند.

CKK یک پاناسو نیست – اجرای این مدل تشخیص و کاهش نمی تواند مانع از بدبینی نشود. فایل داده ها و سازش سیستم. مثل همیشه ، هوشیاری (و شبکه امنیت سایبری که به خوبی مدیریت شده است) کلید اصلی برای جلوگیری از هجوم آینده است.

[1] ابزاری منبع باز که به هکرهای اخلاقی اجازه می دهد آزمایش های نفوذ ، شبکه های کاوشگر را انجام دهند و راه حل های را در اولویت قرار دهند. چارچوب Metasploit اجازه می دهد تا از کد های مخرب آماده یا سفارشی استفاده کند.

Comments are closed.