حملات The Cyber KillChain
حملات The Cyber KillChain و حملات APT چیست
حمله ی APT یک نوع تهدید پیشرفته و پیچیده است که در این نوع حمله بدون اینکه مهاجم شناسایی شود اطلاعات شبکه را هک می کند .
در دنیای امروزه با توجه به پیشرفته شدن حملات سایبری نیازمند استفاده از راهکارهای امنیت شبکه هستیم تا در مقابل این حملات بتوان مقابله کرد. این نوع حمله نیازمند پیچیدگی و یا برنامه ریزی ، نسبت به حملات عادی می باشد.
معمولا مهاجمان در حمله ی APT به لحاظ کالی تامین می شوند و به سازمان ها با اطلاعات ارزشمند را مورد حمله قرار می دهند.
هدف حملات APT چیست
- جاسوسی و یا هک اطلاعات مهم و با ارزش دولتی
- تخریب
- به منظور کسب سود مالی
نحوه و یا مراحل خمله ی APT چگونه است
نفوذ
اولین مرحله از طریق ایمیل ، شبکه و یا برنامه کاربردی دسترسی پیدا می کنند. یکی از علایم حمله ایمیل مدیران ارشد سازمان ها را مورد حمله قرار می دهد.
تشدید وحرکت جانبی
به محض دسترسی اولیه توسط مهاجمان بلافاصله مهاجمان وارد شبکه سازمان میشوند تا بلافاصله گسترش دهند. انها به صورت جانبی شبکه را شناسایی می کنند تا براحتی به حساب های کاربری و رمزهای عبور دسترسی پیدا می کنند.
استخراج
مجرمان سایبری برای آماده سازی در مرحله ی سوم اطلاعات سرقت شده را در محلی امن و درون یک شبکه ذخیره می کنند. ممکن است برای اینکه پرسنل متوجه حملات نشوند از تکنیک هایی هم مانند DOS استفاده کنند.
حملات APT چه ویژگی هایی دارند
از آنجایی که مهاجمان از تکنیک های پیشرفته ای استفاده می کنند ردپای متفاوتی را خود به جا می گذارند که شامل موارد زیر می باشد.
- انجام فعالیت های غیر عادی از طریق حساب کاربران در ساعات شب و غیر کاری
- وجود تروجان
- بسته های غیر عادی از داده ها
- افزایش غیر عادی در عملیات دیتا بیس
حملات APT دارای مراحل مختلفی هستند مانند:
تحقیق :ابتدا هکرها راجع به سازمانی که قرار است حمله کنند اطلاعات مختلفی را بدست می آورند و میزان آسیب پذیری ان را بررسی می کنند.
محموله: هکر بسته ای را برای سیستم سازمانی که قرار است مورد حمله قرار بگیرد می فرستد.
راه نفوذ: در اینجا هکر ها ابزاری را برای انتقال و تحویل بسته پیدا می کنند.
دستکاری:هکر از طریق دستکاری به اسناد و فایل فعالیت خود را آغاز میکند.
استقرار : نفوذ هکر با استفاده از تروجان.
کنترل: در این مورد سیستم به صورت کامل در اختیار هکر قرار می گیرد. و به آن نفوذ می کند.
اقدام: حمله صورت می گیرد و اطلاعات را هک میکند.
راهکار جلوگیری از حملات APT چیست؟
استفاده از برنامه ضد فیشینگ و یا استفاده از رمز عبور پیچیده و همچنین استفاده از آنتی ویروس می تواند خطر حملات APT را کمتر کند.
معروف ترین حملات APT
GhostNet
این گروه در کشور چین استو حملات خود را بر اساس حمله به ایمیل های فیشینگ که حاوی بدافزار هستند آغاز می کند.
Stuxnet
در برنامه هسته ای ایران از طریق دستگاه USB انجام شد و برنامه های غنی سازی اورانیوم را مختل کرد.
FIN4
به بیش از 100 شرکت توسط هکرهای وال استریت مورد حمله قرار گرفتند شرکت ها و یا سازمان هایی مانند شرکت های دارویی و بهداشتی و بانکداران و وکلا از جمله این قربانیان بودند.
حمله به فایروال -در مدل The Cyber KillChain
با توجه به حملات پیشرفته در سطح شبکه استفاده از فایوال ها از جمله فایروال فورتی گیت ، فورتی وب و… برای سازمان ها بسیار ضروری می باشد. فایروال ها در هفت مرحله مورد حمله قرار میگیرند که شامل موارد زیر می باشد.
1. Reconnaissance
این مرحله شناسایی قبل از حمله می باشد و اطلاعات مختلفی را در مورد وب سایت جمع آوری می کند.
2. Weaponization
ارسال یک ایمیل فیشینگ و یا یک نوع جدید باج افزار توسط فلش مموری در دستگاه می باشد.
3. Delivery
در این مرحله هکر با هدف مشخص شده ای حمله را انتقال می دهدشامل ایمیل فیشینگ و یا از طریق همان فلش مموری است.
4. Exploitation
از طریق انتقال هک از طریق بد افزار مرحله ی استفاده از نقطه ضعف است که در اینجا هکرها به صورت افقی از یک سیستم به سیستم دیگر حرکت می کنند و در طول مسیر نقاط ورودی را شناسایی می کنند.
5. Installation
در این مرحله هکر سعی می کند تا با نصب ابزارهای هک مانند بدافزار بتواند کنترل بیشتری روی سیستم بدست بیاورد. مانند اسب های تروجان ، دستکاری توکن دسترسی ، رابط های خط فرمان
6. Command & Control
این مرحله یکی از مراحل حیاتی زنجیره کشتار است پس از بدست آوردن کنترل بخشی از سیستم یا حساب های هدف مهاجمان می توانند از راه دور ابزارهای سایبری خود را کنترل کنند.
7. Actions and Objectives
در این مرحله هک به پایان می رسد و عملیات سرقت اطلاعات توسط مجرمان سایبری به مرحله نهایی می رسد.
mitre atteck چیست
mitre atteck مجموعه ای از تکنیک های مهاجمین که بر اساس مشاهدات در دنیای واقعی ایجاد شده است. و با هدف خاصی اقدام به هک می کنند.
انجام تجزیه و تحلیل در مورد رفتار مخرب
بهبود تلاش های شناسایی تهدید
شناسایی و تست کردن قواعد
mitre atteck
درحال حاضر سه نسخه ی mitre atteck عبارتند از : اتک برای سازمان ها ، اتک برای موبایل و شبکه های صنعتی و دارای 14 مرحله موارد زیر است.
شناسایی Reconnaissance جمع آوری اطلاعات خصوصی در رابطه با سازمان
توسعه منابع Resource Development) تهیه منابع مورد نیاز برای حملات اینده
دسترسی اولیه Initial access تکنیک هایی که هکر برای حملات در نظر گرفته مانند فیشینگ
اجرا Execution اجرای کدهای مخرب
تداوم Persistence تاکتیک که هکر جایگاه خود را در شبکه پیدا میکند.
بالابردن دسترسی Privilege escalation مهاجم یا هکر به دنیال دسترسی بیشتر است.
گریز از دفاع Defense evasion استفاده از تکنیک هایی که باث می شود هکر از دید راهکارهای دفاعی موجود نادیده گرفته شود.
دسترسی به داده ها اCredential access به دست آوردن اطلاعات حساس مانند یوزر و پسورد
شناسایی کردن Discovery به دست آوردن اطلاعات راجع به نحوه عملکرد سیستم ها
حرکت جانبی Lateral movement ورود به سیستم و تحت کنترل گرفتن انها
گردآوری Collection جمع آوری اطلاعات از منابع داخلی سازمان مورد هدف
فرمان و کنترل Command and Controlتحت کنترل گرفتن سیستم با هک آن
دسترسی غیر مجاز به اطلاعات Exfiltrationسرقت و یا هک داده های سازمان
ضربه نهایی Impact ایجاد اختلال در شبکه