Étapes de la chaîne de cyber-kill

Ethan Guillot
Étapes de la chaîne de cyber-kill

Cyber ​​Kill Chain

La chaîne Cyber ​​Kill (CKC) est un modèle de sécurité traditionnel qui décrit un scénario à l'ancienne, un attaquant externe prenant des mesures pour pénétrer un réseau et voler ses étapes d'attaque pour aider les organisations à préparer les organisations. CKC est développé par une équipe connue sous le nom d'équipe de réponse à la sécurité informatique. La chaîne de cyber-kill décrit une attaque d'un attaquant externe essayant d'avoir accès aux données dans le périmètre de la sécurité

Chaque étape de la chaîne de cyber-kill montre un objectif spécifique avec celui de l'attaquant. Concevoir votre plan de surveillance et de réponse de la chaîne de tueurs de cyber est une méthode efficace, car elle se concentre sur la façon dont les attaques se produisent. Les étapes comprennent:

  • Reconnaissance
  • Armement
  • Livraison
  • Exploitation
  • Installation
  • Commander et contrôler
  • Actions sur les objectifs

Les étapes de la chaîne de cyber-kill seront désormais décrites:

Étape 1: reconnaissance

Il comprend la récolte des adresses e-mail, des informations sur la conférence, etc. L'attaque de reconnaissance signifie qu'il s'agit d'un effort de menaces pour ramasser autant que possible des données sur les systèmes de réseau avant de commencer d'autres types d'attaques hostiles plus authentiques. Les attaquants de reconnaissance sont de deux types de reconnaissance passive et de reconnaissance active. Reconnction Attateur se concentre sur «Who» ou le réseau: qui se concentrera probablement sur les personnes privilégiées pour l'accès au système, soit l'accès à des données confidentielles «réseau» se concentre sur l'architecture et la mise en page; outil, équipement et protocoles; et l'infrastructure critique. Comprendre le comportement de la victime et pénétrer dans une maison pour la victime.

Étape 2: armement

Fournir la charge utile en couplant les exploits avec une porte dérobée.

Ensuite, les attaquants utiliseront des techniques sophistiquées pour réorganiser certains logiciels malveillants de base qui conviennent à leurs objectifs. Le malware peut exploiter des vulnérabilités inconnues auparavant, des exploits «zéro-jour», ou une combinaison de vulnérabilités pour vaincre tranquillement les défenses d'un réseau, en fonction des besoins et des capacités de l'attaquant. En régénérant les logiciels malveillants, les attaquants réduisent les chances que les solutions de sécurité traditionnelles le détectent. «Les pirates ont utilisé des milliers d'appareils Internet qui sont précédemment infectés par un code malveillant - connu sous le nom de« botnet »ou, en plaisantant, une« armée de zombies »- forçant un déni de service distribué particulièrement puissant (DDOS).

Étape 3: Livraison

L'attaquant envoie la charge utile malveillante de la victime en utilisant le courrier électronique, qui n'est qu'un grand nombre de nombreux l'attaquant peut utiliser des méthodes d'intrusion. Il existe plus de 100 méthodes de livraison possibles.

Cible:
Les attaquants commencent l'intrusion (armes développées à l'étape précédente 2). Les deux méthodes de base sont:

  • Livraison contrôlée, qui représente la livraison directe, piratant un port ouvert.
  • La livraison est publiée à l'adversaire, qui transmet le malware à la cible en phishing.

Cette étape montre la première et la plus importante opportunité pour les défenseurs d'entraver une opération; Cependant, certaines capacités clés et autres informations très appréciées des données sont vaincues en faisant cela. À ce stade, nous mesurons la viabilité des tentatives d'intrusion fractionnaire, qui sont entravées au point de transport.

Étape 4: Exploitation

Une fois que les attaquants ont identifié un changement dans votre système, ils exploitent la faiblesse et exécutent leur attaque. Pendant le stade d'exploitation de l'attaque, l'attaquant et la machine hôte sont un mécanisme de livraison compromis prendront généralement l'une des deux mesures:

  • Installez le malware (un compte-gouttes), qui permet l'exécution de la commande d'attaquant.
  • Installer et télécharger des logiciels malveillants (un téléchargeur)

Ces dernières années, cela est devenu un domaine d'expertise au sein de la communauté du piratage qui est souvent démontré lors d'événements comme Blackhat, Defcon, etc.

Étape 5: installation

À ce stade, l'installation d'un cheval de Troie ou d'une porte dérobée d'accès à distance sur le système de la victime permet au concurrent de maintenir la persévérance dans l'environnement. L'installation de logiciels malveillants sur l'actif nécessite une implication de l'utilisateur final en permettant involontairement le code malveillant. L'action peut être considérée comme critique à ce stade. Une technique pour ce faire consisterait à mettre en œuvre un système de prévention des intrusions (HIPS) basée sur l'hôte pour faire preuve de prudence ou mettre une barrière aux chemins communs, par exemple. Job NSA, recycler. Comprendre si les logiciels malveillants nécessitent des privilèges de l'administrateur ou tout simplement de l'utilisateur pour exécuter la cible est critique. Les défenseurs doivent comprendre le processus d'audit de point final pour découvrir des créations anormales de fichiers. Ils ont besoin de savoir comment compiler le timing des logiciels malveillants pour déterminer s'il est ancien ou nouveau.

Étape 6: commande et contrôle

Ransomware utilise des connexions pour contrôler. Téléchargez les clés du chiffrement avant de saisir les fichiers. L'accès à distance des chevaux de Troie, par exemple, ouvre une commande et contrôlez la connexion afin que vous puissiez aborder à distance les données du système. Cela permet une connectivité continue pour l'environnement et l'activité de mesure du détective sur la défense.

Comment ça marche?

Le plan de commande et de contrôle est généralement effectué via une balise hors de la grille sur le chemin autorisé. Les balises prennent de nombreuses formes, mais elles ont tendance à être dans la plupart des cas:

HTTP ou HTTPS

Semble un trafic bénin à travers des en-têtes HTTP falsifiés

Dans les cas où la communication est cryptée, les balises ont tendance à utiliser des certificats signés automobiles ou un chiffrement personnalisé.

Étape 7: Actions sur les objectifs

L'action fait référence à la manière dont l'attaquant atteint sa cible finale. L'objectif ultime de l'attaquant pourrait être n'importe quoi pour extraire une rançon de vous pour décrypter les fichiers aux informations clients du réseau. Dans le contenu, ce dernier exemple pourrait arrêter l'exfiltration de solutions de prévention de la perte de données avant que les données ne quittent votre réseau. Sinon, les attaques peuvent être utilisées pour identifier. Il s'agit d'un processus d'assaut complexe et dynamique qui peut avoir lieu en mois et des centaines de petites étapes pour accomplir. Une fois cette étape identifiée dans un environnement, il est nécessaire d'initier la mise en œuvre de plans de réaction préparés. À tout le moins, un plan de communication inclusif doit être planifié, ce qui implique les preuves détaillées des informations qui devraient être relevées au fonctionnaire le mieux rangée ou à l'administration, le déploiement de dispositifs de sécurité des terminaux pour bloquer la perte d'informations et la préparation à brèche Un groupe CIRT. Avoir ces ressources bien établi à l'avance est un «incontournable» dans le paysage des menaces de cybersécurité en évolution rapide d'aujourd'hui.

C programmation C
Livres et guides pour la langue C
Il y a 6 livres et guides utiles pour apprendre la langue C. Suivez cet article pour apprendre en dé...
Nathan Blanc
golang
Que sont les constantes à Golang?
Dans la langue Go, les constantes sont des variables avec des valeurs fixes qui ne peuvent pas être ...
Ethan Guillot
Salesforce
Salesforce Apex - Limites du gouverneur
Tutoriel sur ce que sont les limites du gouverneur et comment ils peuvent être gérés pour différents...
Lena Dupuy
Python
Supprimer les caractères spéciaux de String Python
Sarah Roux
Python
Texte gras Matplotlib
Jules Colin
Python
Pandas read_csv multiprocessement
Nathan Blanc
Docker
Plugins moteur Docker
Ethan Guillot
Javascrip
Comment utiliser GetElementsByTagName Méthode dans JavaScript
Ethan Guillot
Javascrip
Que fait W Metacharacter dans Regexp de JavaScript
Zoe Martinez
Base de données Oracle
Comment se connecter à la base de données Oracle Top 10C à l'aide du développeur SQL?
Zoe Martinez
Oracle Linux
Comment installer Oracle SQL Developer sur Windows?
Célia Girard
Javascrip
Comment vérifier la version TypeScript
Jules Colin
Base de données Oracle
Comment trouver le nom du service Oracle?
Ines Dubois