Доки Арута

Cyber attack lifecycle

Apr 12, 20255 min read

Опытные хакерс не действуют случайным образом, а следуют общей и эффективной стратегии выполнения атак.

Стратегия “М-тенденции 2010: передовая постоянная угроза (M-trends)”, разработанная американской фирмой Mandiant’s, известна как жизненный цикл атаки (Attack Life Cycle). В дальнейшем его усовершенствовали и на данный момент он включает в себя 8 пунктов:

  1. Разведка (Reconnaissance)
  2. Начальная эксплуатация (Initial Exploitation)
  3. Установка точки опоры (Establish Foothold)
  4. Повышение привилегий (Escalate Privileges)
  5. Внутренняя разведка (Internal Reconnaissance)
  6. Боковое смещение (Lateral Movement)
  7. Сохранение присутствия (Maintain Presence)
  8. Завершение миссии (Complete Mission)

Разведка

На этапе разведки Mr. хакер определяет адресное пространство и схему целевой сети, используемые технологии, связанные с ними уязвимости, а также получает инфу о юзерах и иерархии целевой организации.

Разведывательную деятельность можно разделить на два вида: пассивную и активную.
При пассивной разведке в окружающую целевую среду не вводятся никакие данные и не изменяется состояние системы. Как правило, не обнаруживается целью. К примерам относятся поиск пакетов в проводной или беспроводной сети, поиск в инете и запросы DNS.
При активной разведке вводятся данные и/или изменяется состояние целевой системы. Она может быть потенциально обнаружена в целевой системе. Примеры: сканирование портов, сканирование уязвимостей и просмотр веб-сайтов.
В конце этапа разведки checkers получит подробное описание целевой сети, некоторые сведения о юзерах сети, сведения о потенциальных уязвимостях и, во многих случаях, о действительных учетных данных для сети.

Начальная эксплуатация

Фаза начальной эксплуатации начинается, когда злоумышленникс предпринимает свое первое действие, чтобы получить доступ к системе. При этом обычно используется найденная уязвимость в системе.

К методам первоначальной эксплуатации относятся использование переполненного буфера, SQL-инъекции, межсайтовый скриптинг (XSS), брутфорс и фишинг.
В конце фазы начальной эксплуатации фуфелшмертц получит некоторый уровень доступа к системе, например, возможность читать / записывать данные или выполнять произвольный код.

Установка точки опоры

После того как evuhl shmunky получит первоначальный доступ к системе, он должен убедиться, что у него есть возможность оставаться в системе в течение длительного времени и по мере необходимости восстанавливать доступ. В частности, evil jerky shmerky не хочет обращаться к системе каждый раз, когда ему необходим доступ, поскольку это увеличивает операционный риск.

К методам, используемым для установки точки опоры, относятся создание новых юзеров системы, использование возможностей удаленного доступа (SSH , Telnet, RDP), установка вредоносного ПО (RAT, например).
Успешное выполнение фазы “Установка точки опоры” позволяет злоумышленниксу постоянно сохранять присутствие в системе и по мере необходимости восстанавливать доступ.
Точка опоры считается постоянной, если она способна выдержать обычные действия по обслуживанию системы (перезагрузка, установка патчей n shi (atp sybau)).

Повышение привилегий

Когда evil nerdie shmerdie получает первоначальный доступ к системе, он может сделать это только на непривилегированном уровне - не имеет возможности сбрасывать пароли, устанавливать ПО, читать файлы других юзеров или изменять нужные настройки. Чтобы решить эту проблему, ему необходимо повысить привилегии до учетной записи root или админа.

К методам достижения этой цели относятся использование уязвимостей, связанных с переполнением буфера локальной системы, кража учетных данных и процесс инъекции.
В конце этапа повышения привилегий evil birdie shmerdie получает доступ к привилегированной учетной записи root или аккаунту админа в локальной системе. Если ему особенно повезет - получит доступ к привилегированной учетной записи домена, которая может использоваться в разных системах сети.

Внутренняя разведка

Когда evilmaxxer установил точку опоры и получил привилегированный доступ к системе, он может начать опрашивать сеть из своей новой точки расположения.

Методы внутренней разведки отличаются от методов прошлого этапа разведки тем, что теперь evil gorilluh shmorilluh (Ineed2stop buhh) имеет опорную точку внутри целевой сети и сможет перечислить сильно больше хостов. + теперь будут видны внутренние сетевые протоколы.
В конце фазы внутренней разведки у хакерс будет более подробная карта целевой сети, хостов и юзеров, которую можно юзать для уточнения общей стратегии и определения действий на следующей фазе жизненного цикла.

Боковое смещение

Из-за особенностей компьютерных сетей маловероятно, что злоумышленник сразу (на этапе первоначального подключения) получит доступ к той системе, которая необходима ему для выполнения поставленной задачи. Поэтому злоумышленнику придется перемещаться в боковом направлении по сети, чтобы найти и получить доступ к нужной системе.

Методы, используемые на этапе бокового смещения, включают в себя кражу учетных данных, передачу хеша и прямое использование выявленных уязвимостей на удаленных хостах.
В конце этого этапа злоумышленник получит доступ к хосту или хостам, требуемым для выполнения необходимой задачи, и, вероятно, доступ к нескольким другим хостам, расположенным между ними. Многие злоумышленники по мере их бокового смещения по сети оставляют постоянные бэкдоры в системах, которые впоследствии помогут восстановить доступ и затруднить полное удаление опорных точек из сети, если будет обнаружена их активность.

Сохранение присутствия

Хакерсы, как правило, не поддерживают постоянное сетевое подключение к вредоносному ПО, внедренным в целевую систему и распространяющим действие по всей целевой сети, поскольку это увеличивает вероятность обнаружения вредоносного ПО.

В качестве альтернативы плохие гайсы могут периодически вызывать внедренные вредоносные программы на свой командно-административный (C&C) сервер, чтобы эти программы могли получать автоматические инструкции или прямые указания от человека. Это действие, происходящее на этапе “Сохранение присутствия”, известное как установка маяка (beaconing), является частью общего обслуживания, которое хакерс должен выполнить, чтобы сохранить свое присутствие в сети.

Завершение миссии

Последняя фаза жизненного цикла атаки, или завершение миссии, позволяет хакеру выполнить свою работу. Эта фаза часто принимает форму сбора и отсылки информации отслеживания из целевой сети.

Чтобы избежать обнаружения, злоумышленниксы пытаются маскировать эксфильтрацию (постепенное просачивание) под обычный трафик, используя для этого стандартные порты и протоколы (HTTP, HTTPS и DNS).

Info

Несмотря на то что не все вторжения завершаются эксфильтрацией данных, этот этап также часто называют заключительной фазой.

Sauce : Книга Bash и кибербезопасность Глава 4. Принципы защиты и нападения Жизненный цикл атаки

Graph View

Backlinks

  • No backlinks found