Czym jest Cyber Kill Chain?

Znany też jako cybersecurity kill chain. Został on stworzony przez firmę zbrojeniową Lockhead Martin. Cyber Kill Chain opisuje wszystkie kroki i charakteryzuje fazy działania aktora zagrożeń (czy to mniejszego hakera czy grupy APT), które atakujący może podjąć do osiągnięcia celu – czyli włamania się do systemu.

Służy on do modelowania zagrozeń.

Modelowanie zagrożeń

Modelowanie zagrożeń to proces polegający na analizie wszystkich komponentów i przepływów danych systemu/aplikacji, które chcemy chronić i które atakujący (haker/ grupa APT/ szpieg) chcieli by pozyskać.

Również polega na określeniu jakie zagrożenia mogą wystąpić w systemie i jakie są jego słabe punkty. W tym celu wymagana jest znajomość typów zagrożeń i szczerość. Po części jest to “dramatyzowanie” i wytwarzanie najgorszych możliwch scenariuszy.

I ostatni jego etap to weryfikacja tego czy i jak bardzo system/aplikacja jest odporny na zagrożenia, które udało nam się zidentyfikować. Należy również w tym etapie wdrożyć środki kontrolne i zaradcze na dane zagrożenia.

Cyber Kill Chain a Kill Chain

Powstał on na bazie wojskowej koncepcji łańcucha zniszenia (kill chain), który opisuje w sześciu krokach wszystkie potrzebne kroki do zniszczenia celu wojskowego:

• Find – znajdź cele przeciwnika
• Fix – ustal ich lokalizacje
• Track – śledź
• Target – namierz cel
• Engage – atakuj
• Assess – oceń skutki

Ważnym jego aspektem jest to że jest on łańcuchem, który gdy zostanie przerwany chociaż jeden etap to atak zakończy się niepowodzeniem.

CKC składa się natomiast z siedmiu faz:

Rekonesans

Jest to faza gdzie atakujący „bada” teren – Rozpoznaje, identyfikuje i wybiera cele. Robi zwiad, sprawdza cel w poszukiwaniu słabości. Zbiera jaknajwięcej informacje o celu jak to tylko możliwe. Zbiera takie informacje jak:

• informacje o sieci – rodzaj sieci, nazwy domen, słabe punkty w zabezpieczeniach, nazwy udostępnianych plików.
• informacje o hostach – urządzenia podłączone do sieci, adresy IP, adresy MAC, Systemy operacyjne, otwarte porty i uruchomione usługi, wersjach oprogramowania.
• informacje o infrastrukturze – rodzajach zabezpieczeń, reguł bezpieczeństwa, stosowanych mechanizmów bezpieczeństwa, słabych punktów w narzędziach i regułach bezpieczęństwa.
• informacje o użytkownikach – prywatne informacje o użytkownikach, rodzinie, zwierzętach domowych, kontach w social mediach, hobby, adresach mailowych.
• inne ujawnione informacje.

Rekonesans może mieć forme aktywną i pasywną.

Aktywny

Forma aktywna będzie wtedy kiedy atakujący rzeczywiście szuka i jego działania mogą zostać zapisane przez systemy takie jak IDS – Intrusion Detection System. Przykładowo atakujący może enumerować otwarte porty serwera/serwisu przy pomocy nmapa. Wtedy jeżeli firma posiada systemy monitorujące sieć to zostanie pięknie przez nie wykryty.

Skanowanie

Jest to jeden z sposobów aktywnego rekonesansu wykorzystywany przez aktorów zagrożeń. Służy do identyfikacji usług w systemie docelowym, które atakujący będzie mógł wykorzystać lub exploitować. Proces ten pozwala mu na ujawnienie szczegółów jakie maszyny są podłączone do sieci, jakie są otwarte porty i inne zasoby sieci. Skanowanie dzieli się na trzy typy.

Skanowanie portów

Dzięki temu skanowaniu atakujący może dowiedzieć się więcej o systemie. Dzięki tej informacji dowie się jakie są używane porty, jakie są otwarte porty, pozwala mu to na określenie mniej lub więcej jakie aplikacje znajdują się na serwerze.

Skanowanie sieci

Pozwala atakującemu na zbieranie informacji dotyczących sieci. Może dowiedzieć się na temat przyłączonych hostów, przełącznikach sieciowych, routerach, topologia sieci oraz o firewallach (nmap filtered).

Skanowanie luk w zabezpieczeniach

Najczęściej jest to automatyczne narzędzie, które bada luki w zabezpieczeniach danego systemu. Po przeprowadzeniu takiego skanowania następnie mogą wykorzystać zebrane luki do dalszcyh etapów.

Pasywny

Cięższą do wykrycia jest forma pasywna, czyli wtedy kiedy atakujący czeka na informacje od samego celu. Czy to gdy cel publikuje jakieś posty na mediach społecznościowych czy to gdy jakieś przydatne informacje przenikają na zewnątrz. Dla przykładu gdy atakujący podsłuchuje rozmowy pracowników w kawiarni obok celu. Zbieraniem informacji z otwartych źródeł – ogólno dostępnych, zajmuje się dziedzina OSINT – Open Source Inteligence. Czyli wywiad otwarto źródłowy.

Formy te można porównać do tego gdy pytasz znajomego jak było na wakacjach – forma aktywna, natomiast jeżeli byś czekał aż wrzuci post na instagrama czy facebooka z zdjęciami z wakacji to była by to forma pasywna.

Faza ta może trwać nawet kilka tygodni. Im więcej informacji zbierze atakujący tym większe pole do popisu będzie miał w kolejnych etapach.

Footprinting

Jest to podetap, który polega na zbieraniu kluczowych informacji o systemie docelowym, który następnie atakujący wykorzysta do włamania się do tego systemu. Szczególnie gromadzi wtedy takie informacje jak:

• Adresy IP
• VPN
• mapy sieci
• adresy URL

Enumeracja

Służy do wyodrębnienia szczegółów takich jak nazwy klientów, nazwy maszyn i zasobów sieci i kont administracyjnych używanych w systemie. Dane z tego etapu pozwalają na identyfikacje i rozpoznanie różnych słabych stron systemu/aplikacji. Pozwala również na identyfikacje rodzaju zabezpieczeń .

Uzbrajanie

Najczęściej wybieranie exploitów systemu i tworzenie na niego określonego payloada, który ma służyć do określonych celów atakującego. Najbardziej pospolitym typem payloada będzie RAT – Remote Access Trojan w połączeniu z exploitami. Nie musi to być niewiadomo jak tajne oprogramowanie, które ma tylko jedna grupa APT w posiadaniu ale może to być także coś znanego. Może to być jakakolwiek forma tworzenia “paczki”, która ma być wykorzystana w dalszych etapach.

Można to porównać do sytuacji spod Troi. W tej fazie nie liczy się to w czym upchani są żołnierze, liczy się to że w ogóle są w środku. To że to z zewnątrz wyglądają jak koń, czy kula, czy cokolwiek innego nie ma już znaczenia.

To jest ta faza, w której znajdują się te mityczne 0-day’e.

Dostarczanie

Dostarczanie ładunku z wcześniejszej fazy poprzez np. pendrive, załącznik, mail itp. Sposobów na dostarczenie ładunku jest multum. Tu jedyne co jest ograniczeniem to kreatywność i pomysłowość atakującego. Powoduje to że te najbardziej nietypowe metody, najbardziej nie oczywiste są najniebezpieczniejsze i najcięższe do wykrycia/obrony przed nimi.

Eksploitacja

Eksploitacja, czyli wykorzystanie podatności systemu czy oprogramowania przy pomocy dostarczonego już payloadu aby wykonać złośliwy kod lub działanie na systemie ofiary. Może to być też exploitacja ludzkich podatności. To tu dochodzi do wykonania złośliwej akcji i jest to często wyznacznik w testach/analityce powłamaniowej że od tego punktu atakujący miał dostęp do systemu.

Warto zaznaczyć że atakujący w tym etapie uzyskuje dostęp do systemu, ale to nie był jego cel tylko kamień milowy. Teraz jest coraz bliżej swojego celu – czyli utrzymania dostępu.

Instalacja

Etap ten polega na np. instalowaniu złośliwego oprogramowania na komputerze ofiary w celu utrzymania dostępu otrzymanego po wcześniejszej fazie, w której wykorzystany był exploit znajdujący się w payloadzie.

Jest to etap, który jest najbardziej niebezpieczny dla atakującego gdyż od tego momentu szanse na jego wykrycie będą tylko wzrastały. Jednakże w celu modelowania grup APT ten krok jest istotny ponieważ najczęściej zależy im na utrzymaniu się w systemie jak najdłużej.

C&C (C2)

C&C czyli Command And Control – zarządzanie i kontrola komputerem ofiary. Ten etap również ma konotacje z grupami APT i ich metodykami. Polega na tym że przejęte urządzenia po przez wcześniejszy payload łączą się do przygotowanego kontrolera, który będzie nimi sterował. Tym samym dołączane są one do tak zwanego botnetu. Grupy APT mogą wtedy wydawać polecenia przy pomocy kontrolera dla wszystkich zainfekowanych urządzeń. I tak przeprowadzane są ataki DDoS po przez botnety czy akcje ransomwerowe.

Tutaj kolejna ważna adnotacja jest taka że sposobów komunikacji kontrolera i zainfekowanych maszyn jest mnóstwo. Mogą one być oparte na ruchu http, ukryte w zapytaniach dns, mogą też być botmi na różnych serwisach czy kontami na mediach społecznościowych. Nie da się jednoznacznie przewidzieć czego atakujący może użyć gdyż tu również ogranicza ich pomysłowość.

Działanie na celach

To jest realny cel atakującego, w którym atakujący realizuje swoje cele. Jest to koniec łańcucha. Atakujący tutaj mogą wykraść dane, pieniądze, własność intelektualną, zniszczyć infrastrukure lub zabużyć jej działanie ewentualnie ją przejąć w pełni.

Realia

Cyber Kill Chain jest uproszczeniem rzeczywistości. Sprawia to że nie każdy atak przebiega zgodnie z tymi etapami. Zawsze mogą się znaleźć czarne owce.

Nie uwzględnia też tak zwanego insider threat czyli zagrożenia wewnętrznego, wychodzącego od zewnątrz. Pracownik firmy może zostać przekupiony lub po prostu wyrządzić szkody firmie od wewnątrz a nie od zewnątrz.

Opracowane na bazie książek:

• Wprowadzenie do bezpieczeństwa IT (Tom 1). Autorzy: Michał Sajdak, Tomasz Turba, […] Wydawnictwo: Securitum.
• Cyberbezpieczeństwo Strategie ataku i obrony (wydanie III). Autorzy: Yuri Diogenes, Erdal Ozkaya, Wydawnictwo: Packt.