Сім фаз кібератаки

У галузі кібербезпеки ми спостерігаємо зміну способу здійснення хакерів.

кібератаки

Як щодо тебе?

Як ми можемо допомогти вам із кібербезпекою?

Потрібна пропозиція?

Зловмисники не хотіли красти дані, а намагалися перешкодити роботі служб.

ПОДІЛИТИСЯ:

Зміни в галузі кібербезпеки

Нещодавні напади на критично важливі об'єкти інфраструктури, такі як оператори нафто- і газопроводів, комунальні служби та навіть деякі уряди міст та штатів, виявляють нові мотиви та методи. Зловмисники не хотіли красти дані, а намагалися перешкодити роботі служб. Зловмисники використали новий вектор атаки, якого раніше не бачили. Замість того, щоб безпосередньо атакувати свої основні цілі, вони атакували менш захищених продавців, якими ці цілі користуються. Ми розглянемо, як вони це зробили, а потім, як цього можна запобігти.

Крок перший - Розвідка

Перш ніж розпочати атаку, хакери спочатку визначають вразливу ціль і вивчають найкращі способи її використання. Початковою метою може бути будь-хто в організації. Для початку зловмисникам просто потрібна одна точка входу. Цільові фішинг-листи є загальним явищем на цьому етапі як ефективний метод розповсюдження шкідливого програмного забезпечення.

Вся суть цього етапу полягає у пізнанні цілі.
Запитання, на які хакери відповідають на цьому етапі:

  1. Хто важливі люди в компанії? На це можна відповісти, переглянувши веб-сайт компанії або LinkedIn.
  2. З ким вони ведуть бізнес? Для цього вони можуть скористатися соціальною інженерією, зробивши кілька «дзвінків на продаж» до компанії. Інший спосіб - це старомодне сміттєве дайвінг.
  3. Які публічні дані доступні про компанію? Хакери збирають інформацію про IP-адреси та запускають сканування, щоб визначити, яке обладнання та програмне забезпечення вони використовують. Вони перевіряють базу даних веб-реєстру ICAAN.

Чим більше часу хакери витрачають на отримання інформації про людей та системи у компанії, тим успішнішою буде спроба злому.

Крок другий - Зброю

На цьому етапі хакер використовує інформацію, яку вони зібрали на попередній фазі, для створення речей, які їм знадобляться, щоб потрапити в мережу. Це може створювати правдоподібні електронні листи про фішинг Spear. Це може виглядати як електронні листи, які вони потенційно можуть отримати від відомого постачальника або іншого ділового контакту. Наступним є створення поливальних отворів або підроблених веб-сторінок. Ці веб-сторінки будуть виглядати ідентично веб-сторінці постачальника або навіть веб-сторінці банку. Але єдиною метою є зафіксувати ваше ім’я користувача та пароль або запропонувати вам безкоштовно завантажити документ або щось інше, що цікавить. Останнє, що зробить зловмисник на цьому етапі, - це зібрати інструменти, які вони планують використовувати, як тільки отримають доступ до мережі, щоб вони могли успішно використовувати будь-які виявлені вразливості.

Крок третій - Доставка

Тепер атака починається. Електронні листи з фішингом надсилаються, веб-сторінки Watering Hole розміщуються в Інтернеті, і зловмисник чекає, коли всі дані, які їм потрібні, починають прокручуватися. Якщо електронне повідомлення з фішингом містить озброєний вкладення, то зловмисник чекає, коли хтось відкриється вкладення та для виклику шкідливого програмного забезпечення додому.

Крок четвертий - Експлуатація

Тепер для хакера починається "веселощі". У міру надходження імен користувачів та паролів хакер намагається застосувати їх до веб-систем електронної пошти або VPN-з’єднань із мережею компанії. Якщо було надіслано вкладення зі зловмисним програмним забезпеченням, то зловмисник віддалено отримує доступ до заражених комп’ютерів. Зловмисник досліджує мережу та отримує краще уявлення про потік трафіку в мережі, які системи підключені до мережі та як їх можна використовувати.

Крок п'ятий - Встановлення

На цьому етапі зловмисник гарантує, що вони продовжуватимуть мати доступ до мережі. Вони встановлять стійкий бекдор, створять облікові записи адміністратора в мережі, відключать правила брандмауера і, можливо, навіть активують доступ до віддаленого робочого столу на серверах та інших системах мережі. На даний момент метою є переконатись, що зловмисник може залишатися в системі стільки, скільки їм потрібно.

Крок шостий - Командування та управління

Тепер вони мають доступ до мережі, облікові записи адміністратора, усі необхідні інструменти на місці. Тепер вони мають необмежений доступ до всієї мережі. Вони можуть дивитись на що завгодно, видавати себе за будь-якого користувача мережі та навіть надсилати електронні листи від генерального директора всім співробітникам. На даний момент вони контролюють. Вони можуть заблокувати вас з усієї вашої мережі, якщо захочуть.

Крок сьомий - Дія на мету

Тепер, коли вони мають повний контроль, вони можуть досягти своїх цілей. Це може бути викрадення інформації про співробітників, клієнтів, дизайн продукції тощо, або вони можуть почати возитися з діяльністю компанії. Пам’ятайте, не всі хакери переслідують дані, які можна монетизувати, деякі з них просто заплутують справи. Якщо ви приймаєте замовлення в Інтернеті, вони можуть вимкнути вашу систему прийому замовлень або видалити замовлення з системи. Вони навіть можуть створювати замовлення та передавати їх вашим клієнтам. Якщо у вас є система промислового управління, і вони отримують до неї доступ, вони можуть вимкнути обладнання, ввести нові задані значення та вимкнути сигналізацію. Не всі хакери хочуть вкрасти ваші гроші, продати вашу інформацію або розмістити свої звинувачувальні електронні листи на WikiLeaks, деякі хакери просто хочуть заподіяти вам біль.

Підготуйтеся до нападу

І що тепер? Що ви можете зробити, щоб захистити свою мережу, свою компанію і навіть свою репутацію? Вам потрібно підготуватися до нападу. Погодьмось, рано чи пізно хакери ПІЗНУТЬСЯ за вами. Не дозволяйте собі думати, що у вас немає нічого, що вони хочуть. Повірте мені.

Автор:

Крейг Рідс, CISSP, старший консультант з питань кібербезпеки
DNV GL - Цифрові рішення