Autor: admin

https://chacker.pl/

Wreszcie, po całym tym wysiłku, który może zająć tylko sekundy, przeciwnik wykona działania na celach, co jest również wyrażeniem ilitarycznym, co oznacza: ukończ misję, ukończ zadanie, które miałeś do wykonania. Często wiąże się to z poruszaniem się po całej organizacji, odkrywaniem poufnych informacji, zdobywaniem przywilejów administracyjnych przedsiębiorstwa, ustanawianiem większej liczby form trwałości i dostępu, a ostatecznie eksfiltracją wrażliwych danych, wymuszeniami za pomocą oprogramowania ransomware, wydobywaniem bitcoinów lub innym motywem zysku

https://chacker.pl/

Po wykonaniu dodatkowego ładunku osoba atakująca zwykle będzie dysponować jakąś formą dowodzenia i kontroli (C2), co jest wojskowym zwrotem, dzięki któremu atakujący może kierować działaniami narzędzia zdalnego dostępu (RAT) lub struktury ataku. Może to być prosta forma komunikacji, która może spać przez jeden dzień (lub dłużej), a następnie budzi się i dzwoni do domu, sprawdzając polecenia do wykonania. Co więcej, ten C2 może wykorzystywać bardziej wyrafinowany schemat tunelowania przez typowy ruch, niestandardowe szyfrowanie lub protokoły komunikacyjne.

https://chacker.pl/

Podczas tej fazy cyberbroń zostaje zdetonowana i w jakiś sposób wykonywana przez „pomocnego” użytkownika lub automatycznie przez aplikację, taką jak klient poczty e-mail lub wtyczka do przeglądarki internetowej. W tym momencie kod atakującego jest wykonywany na hoście docelowym. W przypadku bezpośredniego ataku na port lub usługę faza dostawy i eksploatacji jest taka sama. Instalacja Podczas tej fazy osoba atakująca zwykle wykonuje dwie akcje (1) zyskuje trwałość oraz (2) pobiera i wykonuje dodatkowy ładunek. Jeśli chodzi o trwałość, najgorszą rzeczą, jaka może przytrafić się atakującemu na tym etapie, jest zamknięcie przez użytkownika aplikacji, w której działa złośliwy kod, lub w najgorszym przypadku ponowne uruchomienie komputera, zrywając wszystkie połączenia. Dlatego pierwszą intencją przeciwnika jest szybkie zdobycie jakiejś formy wytrwałości. Ten dodatkowy ładunek jest zwykle wymagany, ponieważ główny ładunek musi być mały, unikać działania programów antywirusowych i często musi mieścić się w dokumencie przewoźnika lub pliku. Jednakże ten dodatkowy ładunek może mieć znacznie większy rozmiar i może być wykonywany w całości w pamięci, co dodatkowo omija wiele technologii antywirusowych. Dodatkowy ładunek może zawierać standardową i łatwo dostępną platformę ataku, taką jak trojan dostępu zdalnego (RAT). Niektórzy napastnicy zaczęli nawet wykorzystywać przeciwko nam nasze własne narzędzia, takie jak Metasploit.

https://chacker.pl/

Na tej fazie ataku osoba atakująca wysyła exploit i ładunek do celu, aby wykorzystać wykrytą lukę. Może to obejmować wykorzystanie wykrytej luki w zabezpieczeniach sieci lub poczty e-mail lub być może otwartego interfejsu API. Niestety często istnieją prostsze sposoby na dostanie się do przedsiębiorstwa, takie jak prosty atak phishingowy, który mimo miliardów dolarów na szkolenia i podnoszenie świadomości nadal jest skuteczny. Można tu również zastosować inne formy ataków socjotechnicznych.

https://chacker.pl/

Uzbrojenie polega na tworzeniu lub selekcji istniejących exploitów w celu wykorzystania luk w zabezpieczeniach wykrytych podczas fazy rozpoznania. Zwykle APT nie musi robić nic nadzwyczajnego ani używać wartości 0-day na tym etapie ataku. Zwykle istnieją niezałatane, publicznie znane luki, które można wykorzystać. Jednak w rzadkich przypadkach przeciwnik może stworzyć specjalny exploit dla niestandardowego ładunku zawierającego trojana lub inne tylne drzwi, który zapewnia polecenie i kontrolę oraz dalsze funkcjonalności, zgodnie z potrzebami.

https://chacker.pl/

Rekonesans to kroki podejmowane przez przeciwnika przed atakiem. Często obejmują techniki zarówno pasywne, jak i aktywne. Techniki pasywne są stosowane bez wysyłania pakietu do celu ataku, zamiast tego metadane są gromadzone pośrednio, za pośrednictwem dokumentów publicznych, źródeł publicznych, wyszukiwarek i buforowanych archiwów internetowych. Z drugiej strony aktywny rekonesans obejmuje interakcję ze stroną internetową celu, otwartymi interfejsami i może nawet obejmować skanowanie (wyliczanie) portów i usług oraz interfejsów API oraz skanowanie podatności na zagrożenia.

https://chacker.pl/

Omawiając trwały charakter APT, Lockheed Martin opracował w 2011 roku model zwany łańcuchem cyberzabijania, jak pokazano tutaj:

dostosowane, aby pokazać koszty środków zaradczych. Model został opracowany poprzez rozszerzenie doktryny celowniczej Departamentu Obrony (DoD) o wykorzystanie wywiadu, którego głównym elementem są wskaźniki, które jak sama nazwa wskazuje, dają wskaźnik zachowania wroga. Następnie w swoim przełomowym artykule Hutchins i in. wyjaśnił typowy schemat atakujących, jak pokazano na ilustracji. Kluczową ideą jest to, że przeciwnicy często mają powtarzalne procesy, którym, jeśli zostaną wcześnie wykryte, można przeciwdziałać na wiele sposobów. Im szybciej odkryjesz oznaki ataku i „przerwiesz” łańcuch zabijania, tym tańsze będzie odzyskanie sił. Odwrotność jest również prawdą. Poszczególne etapy łańcucha cyberzabójstw omówiono w poniższych sekcjach.

https://chacker.pl/

Zanim w ogóle omówimy ten temat, możemy zgodzić się, że nie wszyscy hakerzy Black Hat stanowią zaawansowane trwałe zagrożenia (APT) ani nie wszystkich APT można przypisać hakerom Black Hat. Co więcej, z biegiem czasu termin ten został rozciągnięty i obejmuje jeszcze bardziej podstawowe formy ataku, co jest niefortunne. To powiedziawszy, stał się użytecznym opisem zaawansowanego przeciwnika, który można wykorzystać do rzucenia światła na jego działania i skupienia uwagi (co prawda, czasami w nadmierny sposób) na przeciwniku. Jak sama nazwa wskazuje, ataki APT wykorzystują zaawansowane formy ataków, mają charakter trwały i stanowią poważne zagrożenie dla przedsiębiorstwa. Mimo to musimy przyznać, że przeciwnik zwykle nie musi tracić dnia 0 na początku swojego ataku APT. Są ku temu dwa powody: po pierwsze, okres 0 dni jest trudny do osiągnięcia i szybko się psuje, jeśli jest używany często, ponieważ jest tylko kwestią czasu, zanim haker w białym lub szarym kapeluszu odkryje atak, dokona inżynierii wstecznej i zgłosi go przekazać go „etycznie” twórcy oprogramowania, kończąc w ten sposób okres zerowy. Po drugie, często 0 dni nie jest potrzebne, aby dostać się do przedsiębiorstwa. Biorąc pod uwagę pierwsze zagrożenie dla atakującego, zwykle zmniejszają się o 0 dni tylko wtedy, gdy jest to absolutnie konieczne, a często jako atak wtórny, po zdobyciu już przyczółka w sieci korporacyjnej.

https://chacker.pl/

Słynny starożytny chiński generał Sun Tzu powiedział to najlepiej ponad 2500 lat temu: „Jeśli znasz wroga i znasz siebie, nie musisz się obawiać wyniku stu bitew. Jeśli znasz siebie, ale nie wroga, za każde odniesione zwycięstwo poniesiesz także porażkę. Bazując na tej ponadczasowej radzie, wypada poznać naszego wroga, hakera z czarnym kapeluszem.

https://chacker.pl/

Nie wszyscy zgadzają się ze stosowaniem programów nagród za błędy, ponieważ istnieją pewne kwestie, które są kontrowersyjne. Na przykład dostawcy mogą używać tych platform do oceniania badaczy, ale badacze zwykle nie mogą oceniać dostawców. Niektóre programy nagród za błędy są skonfigurowane tak, aby zbierać raporty, ale dostawca może nie komunikować się prawidłowo z badaczem. Ponadto może nie być możliwości sprawdzenia, czy odpowiedź „duplikat” jest rzeczywiście dokładna. Co więcej, system punktacji może być arbitralny i nie odzwierciedlać dokładnie wartości ujawnienia podatności, biorąc pod uwagę wartość raportu na czarnym rynku. Dlatego każdy badacz będzie musiał zdecydować, czy program nagród za błędy jest dla niego i czy korzyści przeważają nad wadami.