Schritte der Cyber ​​-Kill -Kette

Lars Daub
Schritte der Cyber ​​-Kill -Kette

Cyber ​​-Kill -Kette

Die Cyber ​​Kill-Kette (CKC) ist ein traditionelles Sicherheitsmodell, das ein Szenario der alten Schule beschreibt, ein externer Angreifer, der Schritte unternimmt. CKC wird von einem Team entwickelt, das als Computer -Sicherheitsteam bekannt ist. Die Cyber ​​-Kill -Kette beschreibt einen Angriff eines externen Angreifers, der versucht, Zugriff auf Daten innerhalb des Umfangs der Sicherheit zu erhalten

Jede Stufe der Cyber ​​-Kill -Kette zeigt ein spezifisches Ziel zusammen mit dem des Angreiferwegs. Entwerfen Sie Ihr Cyber ​​-Überwachung und Reaktionsplan für Cybermodell -Kettenketten sind eine effektive Methode, da sie sich darauf konzentriert, wie die Angriffe auftreten. Zu den Phasen gehören:

  • Aufklärung
  • Waffe
  • Lieferung
  • Ausbeutung
  • Installation
  • Steuerung und Kontrolle
  • Aktionen zu Zielen

Stufen der Cyber ​​-Kill -Kette werden nun beschrieben:

Schritt 1: Aufklärung

Es enthält die Ernte von E -Mail -Adressen, Informationen zur Konferenz usw. Aufklärungsangriff bedeutet, dass es eine Anstrengung der Bedrohungen ist, Daten über Netzwerksysteme so weit wie möglich aufzunehmen, bevor Sie andere echte feindliche Arten von Angriffen starten. Aufklärungsangriffe sind zwei Arten passive Aufklärung und aktive Aufklärung. Der Erkennungsangriff konzentriert sich auf „WHO“ oder Netzwerk: Wer wird sich wahrscheinlich auf die privilegierten Personen für den Systemzugriff oder den Zugriff auf „Netzwerk“ -Kontrolldaten konzentrieren sich auf Architektur und Layout. Werkzeug, Geräte und Protokolle; und die kritische Infrastruktur. Verstehe das Verhalten des Opfers und brich in ein Haus für das Opfer.

Schritt 2: Waffe

Versorgung der Nutzlast durch Kopplung von Exploits mit einer Hintertür.

Als nächstes werden Angreifer ausgefeilte Techniken anwenden, um eine Kernmalware zu überarbeiten, die ihren Zwecken entspricht. Die Malware kann bisher unbekannte Schwachstellen, AKA-Zero-Day-Exploits oder eine Kombination von Schwachstellen ausnutzen, um die Verteidigung eines Netzwerks abhängig von den Anforderungen und Fähigkeiten des Angreifers leise zu besiegen. Durch die Wiedergängerung der Malware reduzieren Angreifer die Chancen, dass herkömmliche Sicherheitslösungen sie erkennen werden. „Die Hacker verwendeten Tausende von Internet -Geräten, die zuvor mit einem böswilligen Code infiziert sind - als„ Botnetz “oder scherzhaft eine„ Zombie -Armee “ - eine besonders leistungsstarke verteilte Verweigerung des Dienstes Angriff (DDOs) erzwingen,.

Schritt 3: Lieferung

Der Angreifer sendet die böswillige Nutzlast des Opfers mit E -Mail, was nur einer von vielen, den der Angreifer möglicherweise in Eindringungsmethoden einsetzt. Es gibt über 100 mögliche Liefermethoden.

Ziel:
Angreifer beginnen mit dem Eindringen (Waffen, die im vorherigen Schritt 2 entwickelt wurden). Die zwei grundlegenden Methoden sind:

  • Kontrollierte Lieferung, die eine direkte Lieferung darstellt, ein offener Port hackt.
  • Die Lieferung wird an den Gegner weitergeleitet, was die Malware durch Phishing an das Ziel übermittelt.

Diese Stufe zeigt die erste und bedeutendste Gelegenheit für Verteidiger, eine Operation zu behindern. Dadurch werden jedoch einige wichtige Funktionen und andere hoch geschätzte Dateninformationen besiegt. In diesem Stadium messen wir die Lebensfähigkeit der Versuche beim fraktionalen Eindringen, die am Beförderpunkt behindert werden.

Schritt 4: Ausbeutung

Sobald Angreifer eine Änderung Ihres Systems identifizieren, nutzen sie die Schwäche und führen ihren Angriff aus. Während der Ausbeutungsphase des Angriffs erfolgt der Angreifer und die Wirtsmaschine in der Regel eines von zwei Maßnahmen:

  • Installieren Sie die Malware (ein Tropfen), das die Ausführung des Angreiferbefehls ermöglicht.
  • Malware installieren und herunterladen (einen Downloader)

In den letzten Jahren ist dies zu einem Fachgebiet in der Hacking -Community geworden, das bei Veranstaltungen wie Blackhat, Defcon und dergleichen häufig demonstriert wird.

Schritt 5: Installation

Zu diesem Zeitpunkt ermöglicht die Installation eines Fernzugriffs -Trojaner oder Hintertür auf dem System des Opfers den Anwärter, die Beharrlichkeit in der Umgebung aufrechtzuerhalten. Die Installation von Malware am Asset erfordert die Einbeziehung der Endbenutzer. Aktion kann an dieser Stelle als kritisch angesehen werden. Eine Technik dafür wäre die Implementierung eines Host-basierten Intrusion Prevention (HIPS) -System. NSA -Job, Recycler. Es ist kritisch. Verteidiger müssen den Endpunktprüfprozess verstehen, um abnormale Kreationen von Dateien aufzudecken. Sie müssen wissen, wie man das Malware -Timing kompiliert, um festzustellen, ob es alt oder neu ist.

Schritt 6: Befehl und Kontrolle

Ransomware verwendet Verbindungen zur Steuerung. Laden Sie die Schlüssel zur Verschlüsselung herunter, bevor Sie die Dateien beschlagnahmen. Die Trojaner -Remote -Zugriff öffnet beispielsweise einen Befehl und steuern die Verbindung, sodass Sie Ihre Systemdaten remote angehen können. Dies ermöglicht eine kontinuierliche Konnektivität für die Umwelt und die Aktivität der Detektivmessung in der Verteidigung.

Wie funktioniert es?

Befehls- und Steuerplan wird normalerweise über ein Leuchtfeuer aus dem Netz über dem zulässigen Pfad durchgeführt. Beacons nehmen viele Formen an, aber sie sind in den meisten Fällen in der Regel:

Http oder https

Scheint gutartiger Verkehr durch gefälschte HTTP -Header

In Fällen, in denen die Kommunikation verschlüsselt ist.

Schritt 7: Aktionen zu Zielen

Aktion bezieht sich auf die Art und Weise, in der der Angreifer sein endgültiges Ziel erreicht. Das ultimative Ziel des Angreifers könnte alles sein, um ein Lösegeld von Ihnen zu extrahieren, um Dateien für Kundeninformationen aus dem Netzwerk zu entschlüsseln. In dem Inhalt könnte das letztere Beispiel das Exfiltration von Lösungen zur Prävention von Datenverlusten stoppen, bevor Daten Ihr Netzwerk verlassen. Andernfalls können Angriffe verwendet werden. Dies ist ein komplizierter und dynamischer Angriffsprozess, der in Monaten und Hunderten von kleinen Schritten stattfinden kann. Sobald diese Phase in einer Umgebung identifiziert ist, müssen die Umsetzung vorbereiteter Reaktionspläne eingeleitet werden. Zum meisten eine Cirt -Gruppe. Diese Ressourcen, die im Voraus gut etabliert sind.

MS SQL Server
Was ist MySQL RDBMS ein umfassender Leitfaden
MySQL ist ein Open-Source-Verwaltungssystem für relationale Datenbankverwaltung, mit dem Strukturdat...
Jessica Schimmer
Power Shell
Was ist umbenannte Befehl in PowerShell umbenannt?
Das CMDLET „umbenennen“ in PowerShell benennt einen Artikel um. Es kann mehrere Elemente gleichzeiti...
Stephan Harms
Docker
Wie man einen Docker -Container tötet?
Um einen Docker -Container zu töten, wählen Sie zunächst einen bestimmten Container, der getötet wer...
Stephan Harms
Python
Python rufen Sie eine statische Methode innerhalb der Klasse auf
Arved Riermeier
Python
Entfernen Sie Sonderzeichen von String Python
Lars Daub
Python
Python Count Ereignisse in der Liste
Fr. Chris Frisch
Docker
Was ist der Unterschied zwischen Docker und Podman?
Christopher Lammert
Docker
Wie werden Volumina in Docker definiert??
Jean Dengler
JavaScript
Was macht W Metacharacter in Regexp von JavaScript?
Fr. Chris Frisch
AWS
Was ist der Unterschied zwischen AWS -Batch und Lambda?
Lars Daub
AWS
Was ist der Batch -Prozess und wie man ihn in AWS verwendet??
Arved Riermeier
Oracle -Datenbank
Was ist Oracle SQL*Plus und wofür wird es verwendet??
Ansgar Radtke
Power Shell
Können Sie die Funktionalität des Befehls Get Location von PowerShell erklären??
Stephan Harms