Pasos de la cadena de asesinatos cibernéticos

Pasos de la cadena de asesinatos cibernéticos

Cadena de matar cibernética

La cadena Cyber ​​Kill (CKC) es un modelo de seguridad tradicional que describe un escenario de la vieja escuela, un atacante externo que toma medidas para penetrar en una red y robar sus datos de ataque para ayudar a las organizaciones a prepararse. CKC es desarrollado por un equipo conocido como el equipo de respuesta de seguridad informática. La cadena cibernética describe un ataque de un atacante externo que intenta obtener acceso a los datos dentro del perímetro de la seguridad

Cada etapa de la cadena cibernética muestra un objetivo específico junto con el de la forma del atacante. Diseñe su plan de respuesta y vigilancia de la cadena de asesinato de su modelo cibernético es un método efectivo, ya que se centra en cómo ocurren los ataques. Las etapas incluyen:

  • Reconocimiento
  • Arma
  • Entrega
  • Explotación
  • Instalación
  • Comando y control
  • Acciones sobre objetivos

Ahora se describirán los pasos de la cadena cibernética:

Paso 1: Reconocimiento

Incluye la recolección de direcciones de correo electrónico, información sobre la conferencia, etc. El ataque de reconocimiento significa que es un esfuerzo de amenazas para recoger datos sobre los sistemas de red tanto como sea posible antes de comenzar otros tipos hostiles más genuinos de ataques. Los atacantes de reconocimiento son de dos tipos de reconocimiento pasivo y de reconocimiento activo. El atacante de reconocimiento se centra en "quién" o en la red: quién probablemente se centrará en las personas privilegiadas, ya sea para el acceso del sistema o el acceso a los datos confidenciales de "red" se centra en la arquitectura y el diseño; herramienta, equipo y los protocolos; y la infraestructura crítica. Comprender el comportamiento de la víctima y entrar en una casa para la víctima.

Paso 2: Arma

Suministro de carga útil por exploits de acoplamiento con una puerta trasera.

A continuación, los atacantes utilizarán técnicas sofisticadas para volver a diseñar algunos malware central que se adapte a sus propósitos. El malware puede explotar vulnerabilidades previamente desconocidas, también conocidas como expotlios de "día cero", o alguna combinación de vulnerabilidades para derrotar silenciosamente las defensas de una red, dependiendo de las necesidades y habilidades del atacante. Al volver a ineparar el malware, los atacantes reducen las posibilidades de que las soluciones de seguridad tradicionales lo detecten. "Los piratas informáticos usaron miles de dispositivos de Internet que se infectan anteriormente con un código malicioso, conocido como un" botnet "o, en broma, un" ejército zombie ", forzando un angriff de denegación distribuida de servicio (DDOS) particularmente poderosa.

Paso 3: Entrega

El atacante envía a la víctima carga maliciosa con el correo electrónico, que es solo uno de los grandes que el atacante puede emplear métodos de intrusión. Hay más de 100 métodos de entrega posibles.

Objetivo:
Los atacantes comienzan la intrusión (armas desarrolladas en el paso 2 anterior). Los dos métodos básicos son:

  • Entrega controlada, que representa la entrega directa, pirateando un puerto abierto.
  • La entrega se libera al oponente, que transmite el malware al objetivo por phishing.

Esta etapa muestra la primera y más significativa oportunidad para que los defensores obstruyan una operación; Sin embargo, algunas capacidades clave y otra información de datos altamente valorada se derrotan al hacer esto. En esta etapa, medimos la viabilidad de los intentos de intrusión fraccional, que se ven obstaculizadas en el punto de transporte.

Paso 4: Explotación

Una vez que los atacantes identifican un cambio en su sistema, explotan la debilidad y ejecutan su ataque. Durante la etapa de explotación del ataque, el atacante y el mecanismo de entrega comprometido generalmente tomarán una de las dos medidas:

  • Instale el malware (un gotero), que permite la ejecución del comando del atacante.
  • Instalar y descargar malware (un descargador)

En los últimos años, esto se ha convertido en un área de especialización dentro de la comunidad de piratería que a menudo se demuestra en eventos como Blackhat, Defcon y similares.

Paso 5: Instalación

En esta etapa, la instalación de un troyano de acceso remoto o puerta trasera en el sistema de la víctima le permite al contendiente mantener la perseverancia en el entorno. La instalación de malware en el activo requiere la participación del usuario final al habilitar involuntariamente el código malicioso. La acción puede verse como crítica en este momento. Una técnica para hacer esto sería implementar un sistema de prevención de intrusos basado en host (caderas) para dar precaución o poner una barrera a las rutas comunes, por ejemplo,. Job de la NSA, reciclador. Comprender si el malware requiere privilegios del administrador o simplemente del usuario para ejecutar el objetivo es crítico. Los defensores deben comprender el proceso de auditoría de punto final para descubrir creaciones anormales de archivos. Necesitan saber cómo compilar el tiempo de malware para determinar si es antiguo o nuevo.

Paso 6: Comando y control

El ransomware utiliza conexiones para controlar. Descargue las claves para el cifrado antes de confiscar los archivos. El acceso remoto de los troyanos, por ejemplo, abre un comando y controle la conexión para que pueda abordar los datos de su sistema de forma remota. Esto permite una conectividad continua para el medio ambiente y la actividad de medición de detective en la defensa.

Como funciona?

El plan de comando y control generalmente se realiza a través de una baliza fuera de la cuadrícula sobre la ruta permitida. Las balizas toman muchas formas, pero tienden a ser en la mayoría de los casos:

Http o https

Parece tráfico benigno a través de encabezados HTTP falsificados

En los casos en que la comunicación está encriptada, las balizas tienden a usar certificados firmados automáticamente o cifrado personalizado.

Paso 7: Acciones sobre objetivos

La acción se refiere a la forma en que el atacante alcanza su objetivo final. El objetivo final del atacante podría ser cualquier cosa para extraer un rescate de usted para descifrar archivos a la información del cliente de la red. En el contenido, el último ejemplo podría detener la exfiltración de las soluciones de prevención de pérdidas de datos antes de que los datos dejen su red. De lo contrario, los ataques se pueden usar para identificar actividades que se desvían de las líneas de base establecidas y notificarle que algo está mal. Este es un proceso de asalto intrincado y dinámico que puede tener lugar en meses y cientos de pequeños pasos para lograr. Una vez que esta etapa se identifica dentro de un entorno, es necesario iniciar la implementación de planes de reacción preparados. Por lo menos, se debe planificar un plan de comunicación inclusivo, que implica la evidencia detallada de la información que debe elevarse al oficial de más alto rango o a la junta administradora, el despliegue de dispositivos de seguridad de punto final para bloquear la pérdida de información y la preparación para breve. Un grupo Cirt. Tener estos recursos bien establecidos con anticipación es una "imprescindible" en el panorama de amenazas de ciberseguridad en rápida evolución actual.