מודל התקיפה Cyber Kill Chain מבוסס על מספר שלבי תקיפה עיקריים, ובין היתר על מצב שבו התוקף לומד להבין מהי המטרה, איך מכינים את כלי התקיפה (קמפיין תקיפה), שליחת הקמפיין והוצאת המידע מתוך הארגון.
מסלול התקיפה נחשף לראשונה ע"י חברת Lockheed Martin על סמך ראיה צבאית, והותאם לתחום אבטחת המידע. מסלול התקיפה מציג מודל עם 7 שלבי תקיפה עיקריים שבהם ניתן ללמוד את ראית התוקף ומה ניתן להשיג בכל שלב Lockheed Martin Cyber Kill Chain.
במהלך הזמן, מסלול התקיפה עבר שינויים והתאמות של כל חברת אבטחה והותאם לתצורת העבודה וראיית התקיפה של כל חברה ומוצר אבטחה, אך יחד עם זאת עדיין כל מסלולי התקיפה השונים מתבססים על המודל של Lockheed Martin.
מסלול תקיפה נוסף שמהווה ציון דרך בראיית התוקף היא Unified Kill Chain שפותח על סמך בסיס השלבים של Lockheed Martin ועל סמך המנגנון של Mitre, במטרה להרחיב ולהתאים את מודל התקיפה.
המנגנון של Mitre מציג טקטיקות, טכניקות ופרוצדורות לתקיפה ומוצג בצורה מעט שונה אך שוב על אותו מודל מוכר של 7 שלבי תקיפה עיקריים החולקים לשניים עיקריים שבהם ישנם טכניקות של איסוף מידע, תכנון התקיפה, בחירת מטרות, שליחת התקיפה, ביצוע תנועה רוחבית ונוספים.
מודל התקיפה של Unified Kill Chain מכיל 18 שלבי תקיפה ויורד לפרטים נוספים בכל שלב, התרשים הכללי מתאר את שלבי התקיפה לשלושה שלבים עיקרים ובכל שלב פעולות מסוימות, למשל השלב האחרון של Action on Objective מתמקד בהוצאת המידע, מניפולציות וסיום התקיפה.
גם במודל התקיפה של Unified Kill Chain ניתן לראות כי למרות הירידה לפרטים עדיין מדובר על אותו מודל עם שלבים עיקריים.
מודל התקיפה Cyber Kill Chain נחלק למספר שלבי תקיפה עיקריים בהם התוקף מבצע פעולות מול היעד, וכל שלב הוא שלב חשוב המכיל פעולות תקיפה רבות. מודל התקיפה נחלק לשלבים הבאים:
שלב ראשון בתהליך שבו התוקף אוסף כל פרט של מידע לגבי המטרה, איסוף המידע נעשה על סמך כלים, אינטרנט וכל גורם המסייע באיסוף המידע.
איסוף המידע נחלק לשניים:
• פאסיבי – איסוף מידע אשר נעשה על סמך האינטרנט והמידע הציבורי הקיים עם כלים נגישים כדוגמת Google, אתר חברה, Whois, Shoadn ונוספים.
• אקטיבי – איסוף מידע פרטני וממוקד באמצעות כלים מתקדמים כדוגמת Nmap, Vuln scanning, Nikto, סקריפטים מבוססים (PowerShell, Pyhton) ונוספים.
מכיוון שהמטרה היא לאסוף מידע רב ככל האפשר השלב הראשוני הוא אומנם הפשוט ביותר אך החשוב ביותר מכיוון שעל סמך איסוף המידע נבנה כל התהליך וככל שיהיה יותר מידע כך יתר השלבים יהיו פחות מסובכים.
למשל, איסוף מידע האם תשתית הדואר נמצאת בענן או האם תשתית הדואר מקומית, או האם ישנו שימוש בתשתית שיתוף מבוסס Teams או Slack, או איזה Firewall יש בארגון וכן הלאה.
מטרה – איסוף מידע רב על המטרה ומציאת חולשה
בשלב השני, מתבצעת בחירת הכלים או יצירת התוכן הזדוני ע"י התוקף, על סמך השלב הראשון של איסוף המידע.
בשלב ה-Weaponization, התוקף כבר מצא מספר חולשות ועל סמך אותן חולשות, התוקף מכין את התקיפה, ובמצבים מסוימים מכין את קמפיין התקיפה שמכיל בין היתר בחירת כלים לתקיפה, יצירת כלים לתקיפה, יצירת תוכן זדוני וטקטיקות.
למשל, אם נמצאו חולשות בתחנות ושרתים יהיה שימוש ביצירת קוד המאפשר ניצול של אותה חולשה או במידה ומדובר על פורטים פתוחים כדוגמת RDP מול שרתים אז יהיה ניסיון לבצע Brute Force או Password Spray או כל ניסיון לבצע מתקפות המבוססות על זהויות.
מטרה – בחירת כלים על סמך המידע שנאסף
בשלב השלישי התוקף מתחיל בשליחה של אותו כלי אל המטרה באמצעות ערוצים שונים, בין היתר באמצעות דואר, רשת חברתית, אתר משוכפל ובמקרי קצה מסוימים ישאיר התקן USB בקרבת הארגון.
בשלב השליחה, התוקף ידאג להעביר את הכלי ללא כשלים בדרך, וזאת על מנת שהכלי ינחת אצל המשתמש ללא הפרעה.
מטרה – שליחה או שימוש בכלי שנבחר באמצעות ערוץ מסוים
שלב רביעי בתהליך הוא Exploitation ובשלב זה הכלי שנשלח אל הארגון או המשתמש מופעל באופן מלא או חלקי ומנצל את החולשה (אותה חולשה שנמצאה בשלב איסוף המידע).
בשלב זה נעשית פעולה כלשהיא בתחנה, זהות או משאב של אותה מטרה בכדי שתהיה אפשרות לתוקף להמשיך לשלב הבא.
חשוב להדגיש כי השלב הרביעי והחמישי הם פעולות שלרוב נעשות אחת מיד לאחר השנייה במטרה לנצל את החולשה ולהמשיך בפעולה של אותו כלי בתחנת היעד.
למשל, ניצול החולשה מאפשר להזריק קוד באמצעות Powershell או Python או להפעיל Malware בתחנה, ולכן בשלב זה הוא פעולה לפני פיצוץ של הקוד בתחנה (Actual detonation).
מטרה – ניצול חולשה והפעלת טריגר בסביבת המטרה
בשלב החמישי מתבצעות מספר פעולות שבהן מותקן הקוד הזדוני שגורם לשינויים ברמת שינויים הנעשים ע"י PowerShell, שינויים לערכי Registry, התקנת כלי RAT ונוספים.
למשל, במצב כזה הקוד או הקובל מתפוצץ בתחנה או לחלופין במידה ומדובר על פישינג אז בשלב זה מתרחש פראודינג ברמת המשתמש.
מטרה – להשיג אחיזה אצל המשתמש
שלב השליטה Command and Control
בשלב השישי בתהליך מתבצעות מספר פעולות במערכת, חשבון המשתמש או התחנה אשר נדבקו והם יוצרים קשר עם התוקף באופן אוטומטי, ומתוך המצב הזה התוקף משיג אחיזה.
כאשר ישנה אחיזה התוקף יכול להמשיך לשלב השביעי בתהליך.
המטרה – השגת אחיזה מול היעד
בשלב השביעי בתהליך ועל סמך הצלחה של השלב הקודם, התוקף מתחיל לבצע פעולות שונות כגון ביצוע תנועה רוחבית בסביבה המקומית או ביצוע תנועה רוחבית מול הענן, הוצאת מידע רגיש ופעולות נוספות.
בשלב זה התוקף יכול להמשיך סייקל נוסף אל מול מערכות נוספות בתוך הארגון, או להוציא מידע ולטשטש עקבות.
המטרה – ביצוע פעולות מול היעד
מודל ה-Cyber Kill Chain מול סביבות ענן או סביבות משולבות ענן כגון Hybrid או Multi-Hybrid מאפשר לתוקף לבצע פעולות מעט שונות אך על סמך אותו מודל תקיפה שלעיתים יכול להיות קצר יותר.
למשל, מודל התקיפה יכול להיות מול הענן, ולאחר השגת אחיזה מול חשבון בענן ניתן לבצע תנועה רוחבית אל הסביבה המקומית, או לחלופין מצב של סביבה מרובת עננים שבו ניתן להשיג אחיזה מול ענן ספציפי ואז לבצע תנועה רוחבית בין עננים, וכמובן שישנו המודל תקיפה מול הסביבה המקומית ומשם ניתן לבצע תנועה רוחבית אל הענן.
למשל, במודל התקיפה מול הענן, מסלול התקיפה יהיה מעט שונה ויתבסס על 5 שלבים עיקריים:
• איסוף המידע מול הארגון (פאסיבי ואקטיבי)
• תקיפה, גישה וחשיפה ראשונית
• השגת אחיזה בחשבון המשתמש
• שליטה והתפשטות מול חשבונות נוספים
• ביצוע פעולות נוספות להוצאת מידע
למשל, תרחיש פישינג שבו נאסף מידע על תשתית הדואר בארגון ובהם המשתמשים הרגישים, ומכאן תתבצע בחירת כלים לביצוע קמפיין פישינג ע"י התוקף ובהתאם לכך ישלח קמפיין באמצעות תשתית דואר אמינה.
לאחר מכן ובהתאם לתגובת ופעולות המשתמש, תתבצע חשיפת מידע של זהותו, ולאחר מכן התוקף ישיג אחיזה בחשבון המשתמש, ויסיים בביצוע פעולות נוספות.
אם ניקח את מודל התקיפה מול הענן לפי שלבים עם הכלים השונים, נוכל לחלק אותו לפי השלבים הבאים:
איסוף מידע אקטיבי ע"י כלי DNS, Python, PowerShell, ולמשל הרצת סקריפט לבדיקה מהי שיטת ההזדהות של הדומיין ועד לביצוע Brute Force על משתמשים
מהי הסיבה לכך שמודל Kill Chain בענן הינו קצר יותר? למרות שהענן נגיש יותר, עדיין הסיבה לכך היא בגלל שהענן מצמצם את טווח האפשרויות לביצוע פעולות בתהליך Kill Chain - ולמשל אין אפשרות את שלב ניצות החולשה וביצוע פעולות מתקדמות (Exploit & Installation).
האם בענן פשוט יותר לבצע CKC? כן, בגלל סיבות רבות והעיקרית שבהן היא הנגשת וחשיפת יתר של המידע לכל מקום ולכל דורש ללא אכיפה נדרשת.
מודל Kill Chain מאפשר בניית תהליך הגנה על המידע בארגון ומאפשר לקבל פרספקטיבה לגבי חשיבות המידע בכל שלב בתהליך, ע"י הגישה הנכונה לכל שלב ניתן ומומלץ לבנות את ההגנה הנכונה ולא תמיד בניית מערך הגנה מצריך כלים.
מודל התקיפה Cyber Kill Chain מבוסס על מספר שלבי תקיפה עיקריים, ובין היתר על מצב שבו התוקף לומד להבין מהי המטרה, איך מכינים את כלי התקיפה (קמפיין תקיפה), שליחת הקמפיין והוצאת המידע מתוך הארגון.
מסלול התקיפה נחשף לראשונה ע"י חברת Lockheed Martin על סמך ראיה צבאית, והותאם לתחום אבטחת המידע. מסלול התקיפה מציג מודל עם 7 שלבי תקיפה עיקריים שבהם ניתן ללמוד את ראית התוקף ומה ניתן להשיג בכל שלב Lockheed Martin Cyber Kill Chain.
במהלך הזמן, מסלול התקיפה עבר שינויים והתאמות של כל חברת אבטחה והותאם לתצורת העבודה וראיית התקיפה של כל חברה ומוצר אבטחה, אך יחד עם זאת עדיין כל מסלולי התקיפה השונים מתבססים על המודל של Lockheed Martin.
מסלול תקיפה נוסף שמהווה ציון דרך בראיית התוקף היא Unified Kill Chain שפותח על סמך בסיס השלבים של Lockheed Martin ועל סמך המנגנון של Mitre, במטרה להרחיב ולהתאים את מודל התקיפה.
המנגנון של Mitre מציג טקטיקות, טכניקות ופרוצדורות לתקיפה ומוצג בצורה מעט שונה אך שוב על אותו מודל מוכר של 7 שלבי תקיפה עיקריים החולקים לשניים עיקריים שבהם ישנם טכניקות של איסוף מידע, תכנון התקיפה, בחירת מטרות, שליחת התקיפה, ביצוע תנועה רוחבית ונוספים.
מודל התקיפה של Unified Kill Chain מכיל 18 שלבי תקיפה ויורד לפרטים נוספים בכל שלב, התרשים הכללי מתאר את שלבי התקיפה לשלושה שלבים עיקרים ובכל שלב פעולות מסוימות, למשל השלב האחרון של Action on Objective מתמקד בהוצאת המידע, מניפולציות וסיום התקיפה.
גם במודל התקיפה של Unified Kill Chain ניתן לראות כי למרות הירידה לפרטים עדיין מדובר על אותו מודל עם שלבים עיקריים.
מודל התקיפה Cyber Kill Chain נחלק למספר שלבי תקיפה עיקריים בהם התוקף מבצע פעולות מול היעד, וכל שלב הוא שלב חשוב המכיל פעולות תקיפה רבות. מודל התקיפה נחלק לשלבים הבאים:
שלב ראשון בתהליך שבו התוקף אוסף כל פרט של מידע לגבי המטרה, איסוף המידע נעשה על סמך כלים, אינטרנט וכל גורם המסייע באיסוף המידע.
איסוף המידע נחלק לשניים:
• פאסיבי – איסוף מידע אשר נעשה על סמך האינטרנט והמידע הציבורי הקיים עם כלים נגישים כדוגמת Google, אתר חברה, Whois, Shoadn ונוספים.
• אקטיבי – איסוף מידע פרטני וממוקד באמצעות כלים מתקדמים כדוגמת Nmap, Vuln scanning, Nikto, סקריפטים מבוססים (PowerShell, Pyhton) ונוספים.
מכיוון שהמטרה היא לאסוף מידע רב ככל האפשר השלב הראשוני הוא אומנם הפשוט ביותר אך החשוב ביותר מכיוון שעל סמך איסוף המידע נבנה כל התהליך וככל שיהיה יותר מידע כך יתר השלבים יהיו פחות מסובכים.
למשל, איסוף מידע האם תשתית הדואר נמצאת בענן או האם תשתית הדואר מקומית, או האם ישנו שימוש בתשתית שיתוף מבוסס Teams או Slack, או איזה Firewall יש בארגון וכן הלאה.
מטרה – איסוף מידע רב על המטרה ומציאת חולשה
בשלב השני, מתבצעת בחירת הכלים או יצירת התוכן הזדוני ע"י התוקף, על סמך השלב הראשון של איסוף המידע.
בשלב ה-Weaponization, התוקף כבר מצא מספר חולשות ועל סמך אותן חולשות, התוקף מכין את התקיפה, ובמצבים מסוימים מכין את קמפיין התקיפה שמכיל בין היתר בחירת כלים לתקיפה, יצירת כלים לתקיפה, יצירת תוכן זדוני וטקטיקות.
למשל, אם נמצאו חולשות בתחנות ושרתים יהיה שימוש ביצירת קוד המאפשר ניצול של אותה חולשה או במידה ומדובר על פורטים פתוחים כדוגמת RDP מול שרתים אז יהיה ניסיון לבצע Brute Force או Password Spray או כל ניסיון לבצע מתקפות המבוססות על זהויות.
מטרה – בחירת כלים על סמך המידע שנאסף
בשלב השלישי התוקף מתחיל בשליחה של אותו כלי אל המטרה באמצעות ערוצים שונים, בין היתר באמצעות דואר, רשת חברתית, אתר משוכפל ובמקרי קצה מסוימים ישאיר התקן USB בקרבת הארגון.
בשלב השליחה, התוקף ידאג להעביר את הכלי ללא כשלים בדרך, וזאת על מנת שהכלי ינחת אצל המשתמש ללא הפרעה.
מטרה – שליחה או שימוש בכלי שנבחר באמצעות ערוץ מסוים
שלב רביעי בתהליך הוא Exploitation ובשלב זה הכלי שנשלח אל הארגון או המשתמש מופעל באופן מלא או חלקי ומנצל את החולשה (אותה חולשה שנמצאה בשלב איסוף המידע).
בשלב זה נעשית פעולה כלשהיא בתחנה, זהות או משאב של אותה מטרה בכדי שתהיה אפשרות לתוקף להמשיך לשלב הבא.
חשוב להדגיש כי השלב הרביעי והחמישי הם פעולות שלרוב נעשות אחת מיד לאחר השנייה במטרה לנצל את החולשה ולהמשיך בפעולה של אותו כלי בתחנת היעד.
למשל, ניצול החולשה מאפשר להזריק קוד באמצעות Powershell או Python או להפעיל Malware בתחנה, ולכן בשלב זה הוא פעולה לפני פיצוץ של הקוד בתחנה (Actual detonation).
מטרה – ניצול חולשה והפעלת טריגר בסביבת המטרה
בשלב החמישי מתבצעות מספר פעולות שבהן מותקן הקוד הזדוני שגורם לשינויים ברמת שינויים הנעשים ע"י PowerShell, שינויים לערכי Registry, התקנת כלי RAT ונוספים.
למשל, במצב כזה הקוד או הקובל מתפוצץ בתחנה או לחלופין במידה ומדובר על פישינג אז בשלב זה מתרחש פראודינג ברמת המשתמש.
מטרה – להשיג אחיזה אצל המשתמש
שלב השליטה Command and Control
בשלב השישי בתהליך מתבצעות מספר פעולות במערכת, חשבון המשתמש או התחנה אשר נדבקו והם יוצרים קשר עם התוקף באופן אוטומטי, ומתוך המצב הזה התוקף משיג אחיזה.
כאשר ישנה אחיזה התוקף יכול להמשיך לשלב השביעי בתהליך.
המטרה – השגת אחיזה מול היעד
בשלב השביעי בתהליך ועל סמך הצלחה של השלב הקודם, התוקף מתחיל לבצע פעולות שונות כגון ביצוע תנועה רוחבית בסביבה המקומית או ביצוע תנועה רוחבית מול הענן, הוצאת מידע רגיש ופעולות נוספות.
בשלב זה התוקף יכול להמשיך סייקל נוסף אל מול מערכות נוספות בתוך הארגון, או להוציא מידע ולטשטש עקבות.
המטרה – ביצוע פעולות מול היעד
מודל ה-Cyber Kill Chain מול סביבות ענן או סביבות משולבות ענן כגון Hybrid או Multi-Hybrid מאפשר לתוקף לבצע פעולות מעט שונות אך על סמך אותו מודל תקיפה שלעיתים יכול להיות קצר יותר.
למשל, מודל התקיפה יכול להיות מול הענן, ולאחר השגת אחיזה מול חשבון בענן ניתן לבצע תנועה רוחבית אל הסביבה המקומית, או לחלופין מצב של סביבה מרובת עננים שבו ניתן להשיג אחיזה מול ענן ספציפי ואז לבצע תנועה רוחבית בין עננים, וכמובן שישנו המודל תקיפה מול הסביבה המקומית ומשם ניתן לבצע תנועה רוחבית אל הענן.
למשל, במודל התקיפה מול הענן, מסלול התקיפה יהיה מעט שונה ויתבסס על 5 שלבים עיקריים:
• איסוף המידע מול הארגון (פאסיבי ואקטיבי)
• תקיפה, גישה וחשיפה ראשונית
• השגת אחיזה בחשבון המשתמש
• שליטה והתפשטות מול חשבונות נוספים
• ביצוע פעולות נוספות להוצאת מידע
למשל, תרחיש פישינג שבו נאסף מידע על תשתית הדואר בארגון ובהם המשתמשים הרגישים, ומכאן תתבצע בחירת כלים לביצוע קמפיין פישינג ע"י התוקף ובהתאם לכך ישלח קמפיין באמצעות תשתית דואר אמינה.
לאחר מכן ובהתאם לתגובת ופעולות המשתמש, תתבצע חשיפת מידע של זהותו, ולאחר מכן התוקף ישיג אחיזה בחשבון המשתמש, ויסיים בביצוע פעולות נוספות.
אם ניקח את מודל התקיפה מול הענן לפי שלבים עם הכלים השונים, נוכל לחלק אותו לפי השלבים הבאים:
איסוף מידע אקטיבי ע"י כלי DNS, Python, PowerShell, ולמשל הרצת סקריפט לבדיקה מהי שיטת ההזדהות של הדומיין ועד לביצוע Brute Force על משתמשים
מהי הסיבה לכך שמודל Kill Chain בענן הינו קצר יותר? למרות שהענן נגיש יותר, עדיין הסיבה לכך היא בגלל שהענן מצמצם את טווח האפשרויות לביצוע פעולות בתהליך Kill Chain - ולמשל אין אפשרות את שלב ניצות החולשה וביצוע פעולות מתקדמות (Exploit & Installation).
האם בענן פשוט יותר לבצע CKC? כן, בגלל סיבות רבות והעיקרית שבהן היא הנגשת וחשיפת יתר של המידע לכל מקום ולכל דורש ללא אכיפה נדרשת.
מודל Kill Chain מאפשר בניית תהליך הגנה על המידע בארגון ומאפשר לקבל פרספקטיבה לגבי חשיבות המידע בכל שלב בתהליך, ע"י הגישה הנכונה לכל שלב ניתן ומומלץ לבנות את ההגנה הנכונה ולא תמיד בניית מערך הגנה מצריך כלים.
הודעתך לא התקבלה - נסה שוב מאוחר יותר
Oops! Something went wrong while submitting the form