Жизненный цикл атаки

Опытные хакеры не работают случайным образом, а следуют общей и эффективной стратегии выполнения атак.

Стратегия “М-тенденции 2010: передовая постоянная угроза (M-trends)”, разработанная знаменитой американской фирмой Mandiant’s, известна как жизненный цикл атаки (Attack Life Cycle). В дальнейшем его усовершенствовали и на данный момент он включает в себя 8 пунктов:

  1. Разведка (Reconnaissance)
  2. Начальная эксплуатация (Initial Exploitation)
  3. Установка точки опоры (Establish Foothold)
  4. Повышение привилегий (Escalate Privileges)
  5. Внутренняя разведка (Internal Reconnaissance)
  6. Боковое смещение (Lateral Movement)
  7. Сохранение присутствия (Maintain Presence)
  8. Завершение миссии (Complete Mission)

Разведка

На этапе разведки evilmaxxin hacker определяет адресное пространство и схему целевой сети, используемые технологии, связанные с ними уязвимости, а также получает инфу о юзерах и иерархии целевой организации.

Разведывательную деятельность можно разделить на два вида: пассивную и активную.
При пассивной разведке в окружающую целевую среду не вводятся никакие данные и не изменяется состояние системы. Как правило, не обнаруживается целью. К примерам относятся поиск пакетов в проводной или беспроводной сети, поиск в инете и запросы DNS (системы доменных имен).
При активной разведке вводятся данные и/или изменяется состояние целевой системы. Она может быть потенциально обнаружена в целевой системе. Примеры: сканирование портов, сканирование уязвимостей и просмотр веб-сайтов.

В конце этапа разведки evil ahh получит подробное описание целевой сети, некоторые сведения о юзерах сети, сведения о потенциальных уязвимостях и во многих случаях о действительных учетных данных для сети.

Начальная эксплуатация

Фаза начальной эксплуатации начинается, когда злоумышленник предпринимает свое первое действие, чтобы получить доступ к системе. При этом обычно используется найденная уязвимость в системе.

К методам первоначальной эксплуатации относятся использование переполненного буфера, SQL-инъекции, межсайтовый скриптинг (XSS), брутфорс и фишинг.

В конце фазы начальной эксплуатации evil degro получит некоторый уровень доступа к системе, например, возможность читать/записывать данные или выполнять произвольный код.

Установка точки опоры

После того как evil shmunky получит первоначальный доступ к системе, он должен убедиться, что у него есть возможность оставаться в системе в течение длительного времени и по мере необходимости восстанавливать доступ. В частности, evil jerky shmerky не хочет обращаться к системе каждый раз, когда ему необходим доступ, поскольку это увеличивает операционный риск.

К методам, используемым для установки точки опоры, относятся создание новых пользователей системы, использование возможностей удаленного доступа, таких как SSH (Secure Shell), Telnet или RDP (протокол удаленного рабочего стола), установка вредоносного ПО, таких как RAT (троянский конь).

Успешное выполнение фазы “Установка точки опоры” позволяет злоумышленнику постоянно сохранять присутствие в системе и по мере необходимости восстанавливать доступ.

Точка опоры считается постоянной, если она способна выдержать обычные действия по обслуживанию системы, такие как перезагрузка и установка исправлений.

Повышение привелегий

Когда evil nerdie shmerdie получает первоначальный доступ к системе, он может сделать это только на непривилегированном уровне - не имеет возможности сбрасывать пароли, устанавливать ПО, читать файлы других юзеров или изменять нужные настройки. Чтобы решить эту проблему, ему необходимо повысить привилегии до учетной записи root или админа.

К методам достижения этой цели относятся использование уязвимостей, связанных с переполнением буфера локальной системы, кража учетных данных и процесс инъекции.

В конце этапа повышения привилегий evil birdie shmerdie получает доступ к привилегированной учетной записи root или аккаунту админа в локальной системе. Если ему особенно повезет - получит доступ к привилегированной учетной записи домена, которая может использоваться в разных системах сети.

Внутренняя разведка

Когда evilmaxxin autistic person установил точку опоры и получил привилегированный доступ к системе, он может начать опрашивать сеть из своей новой точки расположения.

Методы внутренней разведки отличаются от методов прошлого этапа разведки тем, что теперь evil gorilluh shmorilluh имеет опорную точку внутри целевой сети и сможет перечислить сильно больше хостов. + Теперь будут видны внутренние сетевые протоколы, связанные, например, с Active Directory (Active Cringetory).

В конце фазы внутренней разведки у evil dahhbeel будет более подробная карта целевой сети, хостов и юзеров, которую можно юзать для уточнения общей стратегии и определения действий на следующей фазе жизненного цикла.

Боковое смещение

Из-за особенностей компьютерных сетей маловероятно, что evil chertie сразу, на этапе первоначального подключения, получит доступ к той системе, которая необходима ему для выполнения задуманной задачи. Поэтому злоумышленнику придется перемещаться в боковом направлении по сети, чтобы найти и получить доступ к требуемой системе. Методы, используемые на этапе бокового смещения, включают в себя кражу учетных данных, передачу хеша и прямое использование выявленных уязвимостей на удаленных хостах. В конце этого этапа злоумышленник получит доступ к хосту или хостам, требуемым для выполнения необходимой задачи, и, вероятно, доступ к нескольким другим хостам, расположенным между ними. Многие злоумышленники по мере их бокового смещения по сети оставляют постоянные бэкдоры («черные ходы») в системах, которые впоследствии помогут восстановить доступ и затруднить полное удаление опорных точек из сети, если будет обнаружена их активность.

Сохранение присутствия

Evil haramie baramie, как правило, не поддерживают постоянное сетевое подключение к вредоносным программам, внедренным в целевую систему и распространяющим действие по всей целевой сети, поскольку это увеличивает вероятность обнаружения этих вредоносных программ.

В качестве альтернативы evil jizzy busy могут периодически вызывать внедренные вредоносные программы на свой командно-административный (C&C) сервер, чтобы эти программы могли получать автоматические инструкции или прямые указания от человека. Это действие, происходящее на этапе “Сохранение присутствия”, известное как установка маяка (beaconing), является частью общего обслуживания, которое evil BuoyNeckSkuhvuh 10 должен выполнить, чтобы сохранить свое присутствие в сети.

Завершение миссии

Последняя фаза жизненного цикла атаки, или завершение миссии, позволяет evil silly billy выполнить свою работу. Эта фаза часто принимает форму сбора и отсылки информации отслеживания из целевой сети.

Чтобы избежать обнаружения, evil bazuzi пытаются маскировать эксфильтрацию (постепенное просачивание) под обычный трафик, используя для этого стандартные порты и протоколы, такие как HTTP, HTTPS и DNS.

Info

Несмотря на то что не все вторжения завершаются эксфильтрацией данных, этот этап также часто называют заключительной фазой.


Соус: Книга “Bash и кибербезопасность Глава 4. “Принципы защиты и нападенияЖизненный цикл атаки

security