Dowodzenie i kontrola (C2)

https://chacker.pl/

Po wykonaniu dodatkowego ładunku osoba atakująca zwykle będzie dysponować jakąś formą dowodzenia i kontroli (C2), co jest wojskowym zwrotem, dzięki któremu atakujący może kierować działaniami narzędzia zdalnego dostępu (RAT) lub struktury ataku. Może to być prosta forma komunikacji, która może spać przez jeden dzień (lub dłużej), a następnie budzi się i dzwoni do domu, sprawdzając polecenia do wykonania. Co więcej, ten C2 może wykorzystywać bardziej wyrafinowany schemat tunelowania przez typowy ruch, niestandardowe szyfrowanie lub protokoły komunikacyjne.

Eksploatacja

https://chacker.pl/

Podczas tej fazy cyberbroń zostaje zdetonowana i w jakiś sposób wykonywana przez „pomocnego” użytkownika lub automatycznie przez aplikację, taką jak klient poczty e-mail lub wtyczka do przeglądarki internetowej. W tym momencie kod atakującego jest wykonywany na hoście docelowym. W przypadku bezpośredniego ataku na port lub usługę faza dostawy i eksploatacji jest taka sama. Instalacja Podczas tej fazy osoba atakująca zwykle wykonuje dwie akcje (1) zyskuje trwałość oraz (2) pobiera i wykonuje dodatkowy ładunek. Jeśli chodzi o trwałość, najgorszą rzeczą, jaka może przytrafić się atakującemu na tym etapie, jest zamknięcie przez użytkownika aplikacji, w której działa złośliwy kod, lub w najgorszym przypadku ponowne uruchomienie komputera, zrywając wszystkie połączenia. Dlatego pierwszą intencją przeciwnika jest szybkie zdobycie jakiejś formy wytrwałości. Ten dodatkowy ładunek jest zwykle wymagany, ponieważ główny ładunek musi być mały, unikać działania programów antywirusowych i często musi mieścić się w dokumencie przewoźnika lub pliku. Jednakże ten dodatkowy ładunek może mieć znacznie większy rozmiar i może być wykonywany w całości w pamięci, co dodatkowo omija wiele technologii antywirusowych. Dodatkowy ładunek może zawierać standardową i łatwo dostępną platformę ataku, taką jak trojan dostępu zdalnego (RAT). Niektórzy napastnicy zaczęli nawet wykorzystywać przeciwko nam nasze własne narzędzia, takie jak Metasploit.

Dostawa

https://chacker.pl/

Na tej fazie ataku osoba atakująca wysyła exploit i ładunek do celu, aby wykorzystać wykrytą lukę. Może to obejmować wykorzystanie wykrytej luki w zabezpieczeniach sieci lub poczty e-mail lub być może otwartego interfejsu API. Niestety często istnieją prostsze sposoby na dostanie się do przedsiębiorstwa, takie jak prosty atak phishingowy, który mimo miliardów dolarów na szkolenia i podnoszenie świadomości nadal jest skuteczny. Można tu również zastosować inne formy ataków socjotechnicznych.

Uzbrojenie

https://chacker.pl/

Uzbrojenie polega na tworzeniu lub selekcji istniejących exploitów w celu wykorzystania luk w zabezpieczeniach wykrytych podczas fazy rozpoznania. Zwykle APT nie musi robić nic nadzwyczajnego ani używać wartości 0-day na tym etapie ataku. Zwykle istnieją niezałatane, publicznie znane luki, które można wykorzystać. Jednak w rzadkich przypadkach przeciwnik może stworzyć specjalny exploit dla niestandardowego ładunku zawierającego trojana lub inne tylne drzwi, który zapewnia polecenie i kontrolę oraz dalsze funkcjonalności, zgodnie z potrzebami.

Rekonesans

https://chacker.pl/

Rekonesans to kroki podejmowane przez przeciwnika przed atakiem. Często obejmują techniki zarówno pasywne, jak i aktywne. Techniki pasywne są stosowane bez wysyłania pakietu do celu ataku, zamiast tego metadane są gromadzone pośrednio, za pośrednictwem dokumentów publicznych, źródeł publicznych, wyszukiwarek i buforowanych archiwów internetowych. Z drugiej strony aktywny rekonesans obejmuje interakcję ze stroną internetową celu, otwartymi interfejsami i może nawet obejmować skanowanie (wyliczanie) portów i usług oraz interfejsów API oraz skanowanie podatności na zagrożenia.

Łańcuch cyberzabójstw Lockheed Martin

https://chacker.pl/

Omawiając trwały charakter APT, Lockheed Martin opracował w 2011 roku model zwany łańcuchem cyberzabijania, jak pokazano tutaj:

dostosowane, aby pokazać koszty środków zaradczych. Model został opracowany poprzez rozszerzenie doktryny celowniczej Departamentu Obrony (DoD) o wykorzystanie wywiadu, którego głównym elementem są wskaźniki, które jak sama nazwa wskazuje, dają wskaźnik zachowania wroga. Następnie w swoim przełomowym artykule Hutchins i in. wyjaśnił typowy schemat atakujących, jak pokazano na ilustracji. Kluczową ideą jest to, że przeciwnicy często mają powtarzalne procesy, którym, jeśli zostaną wcześnie wykryte, można przeciwdziałać na wiele sposobów. Im szybciej odkryjesz oznaki ataku i „przerwiesz” łańcuch zabijania, tym tańsze będzie odzyskanie sił. Odwrotność jest również prawdą. Poszczególne etapy łańcucha cyberzabójstw omówiono w poniższych sekcjach.

Zaawansowane trwałe zagrożenia

https://chacker.pl/

Zanim w ogóle omówimy ten temat, możemy zgodzić się, że nie wszyscy hakerzy Black Hat stanowią zaawansowane trwałe zagrożenia (APT) ani nie wszystkich APT można przypisać hakerom Black Hat. Co więcej, z biegiem czasu termin ten został rozciągnięty i obejmuje jeszcze bardziej podstawowe formy ataku, co jest niefortunne. To powiedziawszy, stał się użytecznym opisem zaawansowanego przeciwnika, który można wykorzystać do rzucenia światła na jego działania i skupienia uwagi (co prawda, czasami w nadmierny sposób) na przeciwniku. Jak sama nazwa wskazuje, ataki APT wykorzystują zaawansowane formy ataków, mają charakter trwały i stanowią poważne zagrożenie dla przedsiębiorstwa. Mimo to musimy przyznać, że przeciwnik zwykle nie musi tracić dnia 0 na początku swojego ataku APT. Są ku temu dwa powody: po pierwsze, okres 0 dni jest trudny do osiągnięcia i szybko się psuje, jeśli jest używany często, ponieważ jest tylko kwestią czasu, zanim haker w białym lub szarym kapeluszu odkryje atak, dokona inżynierii wstecznej i zgłosi go przekazać go „etycznie” twórcy oprogramowania, kończąc w ten sposób okres zerowy. Po drugie, często 0 dni nie jest potrzebne, aby dostać się do przedsiębiorstwa. Biorąc pod uwagę pierwsze zagrożenie dla atakującego, zwykle zmniejszają się o 0 dni tylko wtedy, gdy jest to absolutnie konieczne, a często jako atak wtórny, po zdobyciu już przyczółka w sieci korporacyjnej.