← Atpakaļ uz Izglītošanos
EDUCATION · KILL CHAIN · THREAT MODELING

⚔️ Cyber Kill Chain ceļvedis - uzbrukuma anatomija

Sešas sadaļas par uzbrukumu modelēšanu starptautiskajā praksē: Lockheed Martin Kill Chain (Hutchins, Cloppert, Amin 2011), MITRE ATT&CK 14 taktikas, Unified Kill Chain (Paul Pols 2022), Diamond Model, D3FEND aizsardzības matrica un saistība ar NIS2 23. panta incidentu ziņošanu NKDC/CERT.LV. Piemēri ir izdomāti, paredzēti mācībām.

Uzbrukuma modelēšanas pamats

Kill Chain princips - lauz vienu posmu, misija neizdodas

Cyber Kill Chain 7 fāzes ar pārtraukumu punktiem Septiņas uzbrukuma fāzes secīgi savienotas; katrā fāzē aizstāvji var pārtraukt ķēdi. Pārtraucot vienu posmu, viss uzbrukums neizdodas. Lockheed Martin Cyber Kill Chain - 7 fāzes Hutchins, Cloppert, Amin (2011) - "Intelligence-Driven Computer Network Defense" 1. Izlūkošana Reconnaissance OSINT, skenēšana 2. Apbruņošana Weaponization exploit + payload 3. Piegāde Delivery phishing, USB, web 4. Eksplotācija Exploitation CVE, soc.inženierija 5. Instalācija Installation backdoor, noturība 6. C2 kanāls Command & Control attālināta vadība 7. Mērķi Actions on Objectives eksfiltrācija · iznīcin. AIZSTĀVJA IESPĒJAS - lauzt ķēdi jebkurā fāzē 6 darbības veidi (Courses of Action): Detect · Deny · Disrupt · Degrade · Deceive · Destroy Jo agrāk ķēde tiek pārtraukta, jo mazāks bojājums un atjaunošanas izmaksas Uzbrucējam jāizdodas visās 7 fāzēs; aizstāvim pietiek lauzt vienu posmu

Vēsture

Cyber Kill Chain modeli 2011. gadā formalizēja Lockheed Martin pētnieki Hutchins, Cloppert un Amin. Modelis adaptēts no militārā 'F2T2EA' kill chain (Find, Fix, Track, Target, Engage, Assess) ASV gaisa spēkos.

Pamatprincips

Uzbrukums ir secīga ķēde - katrai nākamajai fāzei vajag iepriekšējās rezultātu. Pārtraucot vienu posmu, viss uzbrukums neizdodas. Tas nozīmē, ka aizstāvjiem nav 'jābūt perfektiem' visās fāzēs - pietiek lauzt vienu.

Pielietojums

Threat modeling, draudu izlūkošana (TI), atklāšanas inženierija (detection engineering), incidentu reaģēšanas plāni, drošības spraugu analīze (gap analysis), purple team simulācijas.

Ierobežojumi

Modelis radīts APT/tīkla ielaušanās analīzei. Mazāk piemērots iekšējiem draudiem (insider threats), piegādes ķēdes uzbrukumiem, cloud-native uzbrukumiem un kompromitētām SaaS sesijām, kur 'piegāde' un 'eksplotācija' ir miglainas.

Lockheed Martin 7 fāzes

No izlūkošanas līdz mērķu izpildei - katra fāze ar aizsardzību

LM Kill Chain 7 fāzes ar uzbrucēja darbībām un aizstāvja pretpasākumiem Katra fāze ar piemēriem - kas notiek uzbrucēja pusē un kā aizstāvji to var apturēt. 7 fāzes - uzbrucējs vs aizstāvis Sarkanais - uzbrucēja darbības · Ciānais - aizstāvja pretpasākumi Fāze Uzbrucēja darbība Aizstāvja pretpasākums 1. Izlūkošana Reconnaissance · DNS apzināšana, port scanning (nmap) · OSINT (LinkedIn, GitHub), e-pasta vākšana, sociālā tīkla profilēšana · Attack Surface Management (ASM), domēnu monitors · Web logu analīze, honeypot, draudu izlūkošana (TI feeds) 2. Apbruņošana Weaponization · Exploit + payload savienošana (Metasploit, Cobalt Strike) · Maldnošs PDF, Office makro, kompromitēts driver · Tieša ietekme ierobežota - notiek uzbrucēja pusē · Netiešā aizsardzība: TI par bruņojuma rīkkopām, IoC kopas 3. Piegāde Delivery · Phishing e-pasti, ļaunprātīgi pielikumi, watering hole · USB drop, malvertising, drive-by downloads · E-pasta filtri (SPF/DKIM/DMARC), sandbox attachment scan · Web proxy, URL reputation, USB device control 4. Eksplotācija Exploitation · CVE ekspluatācija (ievainojama lietotne, OS, browser) · Sociālā inženierija - lietotājs aktivizē makro vai instalē · Ielāpu pārvaldība (KEV katalogs), DEP/ASLR, app sandbox · EDR uz endpoint, lietotāju apmācība, MFA pret credential phishing 5. Instalācija Installation · Backdoor, RAT, web shell, scheduled task, registry run keys · Persistence mehānismi (autostart, services, WMI subscriptions) · EDR ar uzvedības analīzi, application allowlisting · File integrity monitoring (FIM), autorun audita ieraksti 6. C2 kanāls Command & Control · Periodiska saziņa ar C2 serveri (HTTP/S, DNS tunelis, Slack) · Beacon - "Hands on Keyboard" attālināta vadība · Egress filtrēšana, DNS analīze (DGA detection), TLS inspekcija · NIDS/NDR, draudu izlūkošanas IoC bloķēšana, JA3/JA4 fingerprint 7. Mērķi Actions on Objectives · Datu eksfiltrācija, šifrēšana (ransomware), iznīcināšana · Privilēģiju paplašināšana, lateral movement uz citiem mērķiem · DLP, datu klasifikācija, šifrēšana miera stāvoklī · Tīkla segmentācija, neizmaināmas dublējumkopijas, IR procedūra

Pielietojums

Šī tabula kalpo kā detection engineering 'kartīte' - katrai fāzei jāzina, kāds artefakts vai signāls liecina par tās noritēšanu, lai SOC varētu izveidot atbilstošu noteikumu.

Atsauce

Lockheed Martin "Cyber Kill Chain" (2011) · Hutchins, Cloppert, Amin - "Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains".

Lakmusa tests

Vai jūsu SOC var atklāt vismaz vienu artefaktu katrā no septiņām fāzēm? Ja kāda fāze ir 'tukša' - tur ir aklā josla, kuru uzbrucējs var izmantot bez ievērošanas.

MITRE ATT&CK - taktikas, tehnikas, procedūras

14 taktikas - detalizēta uzbrucēja uzvedības klasifikācija

MITRE ATT&CK 14 taktikas un mapping uz LM Kill Chain MITRE ATT&CK Enterprise matricā ir 14 taktikas. Augšā - kā tās atbilst LM 7 fāzēm. Apakšā - katra taktika ar piemēriem. MITRE ATT&CK Enterprise - 14 taktikas (2 rindas pa 7 kolonnām) attack.mitre.org - dzīvs zināšanu bāze, atjaunina ik 6 mēneši LM: Recon Weaponization Delivery Exploitation Installation (Persistence + Priv.Esc + Defense Evasion) TA0043 Reconnaissance TA0042 Resource Dev TA0001 Initial Access TA0002 Execution TA0003 Persistence TA0004 Priv. Escalation TA0005 Def. Evasion · Active Scanning · Gather Victim Info · Search Open Sources · Acquire Infra · Compromise Acct · Dev Capabilities · Spearphishing · Drive-by Compr. · Valid Accounts · Cmd Interpreter · PowerShell · User Execution · Scheduled Task · Boot Autostart · Create Account · Bypass UAC · Token Manipul. · Sudo & SetUID · Obfuscation · Indicator Removal · Disable Tools LM: Command & Control (Credential + Discovery + Lateral + C2) Actions on Objectives TA0006 Credential Access TA0007 Discovery TA0008 Lateral Movement TA0011 Command & Control TA0009 Collection TA0010 Exfiltration TA0040 Impact · Brute Force · Credential Dump · Steal Web Token · Account Discovery · Network Sniffing · Process Discovery · Remote Services · Internal Phish · SMB / Win Admin · App Layer Proto · Encrypted Channel · DNS / HTTPS · Email · Audio Capture · Screen Capture · Exfil Over C2 · Exfil to Cloud · Transfer Limit · Data Encrypted · Data Destruction · Service Stop ATT&CK struktūra: hierarhija no abstraktā uz konkrēto Tactic (KĀPĒC) Uzbrucēja mērķis - 14 jumtos Technique (KĀ) ~200 tehnikas - vispārēja metode Sub-technique ~400 specifiskākas variācijas Procedure Konkrēta uzbrukuma realiz. Piemērs: TA0002 Execution → T1059 Cmd Interpreter → T1059.001 PowerShell → procedūra (konkrēta APT komanda) ATT&CK Navigator (mitre-attack.github.io/attack-navigator) - vizuāls rīks taktiku kartēšanai

Atšķirība no LM

LM Kill Chain ir lineāra ķēde (kāpēc → kā). ATT&CK ir granulārs taktiku katalogs (kas → kā → konkrēti). Uzbrucējs var apstāties, atgriezties, atkārtot fāzes - tāpēc 14 taktikas nav obligāti secīgas.

Atsauce

MITRE ATT&CK Enterprise (attack.mitre.org) · Pirmoreiz publicēts 2013, formāli kā ATT&CK Matrix 2015 · Atjaunina ik 6 mēnešus.

Praktiska izmantošana

ATT&CK Navigator - kartējiet, kuras tehnikas jūsu SOC pārklāj ar atklāšanu. Tukšās šūnas = aklās joslas. Purple team simulē procedūras, lai pārbaudītu atklāšanu.

Apjoma slazds

Visu ~400 apakštehniku pārklāšana ir maratona darbs. Sāc no APT grupām, kas mērķē tavu nozari (piem., FIN7 finanšu, Lazarus enerģijai), nevis visu uzreiz.

Unified Kill Chain - Paul Pols 2017/2022

18 fāzes trijos posmos - apvieno LM + ATT&CK

Unified Kill Chain 18 fāzes 3 posmos Trīs posmi - Initial Foothold, Network Propagation, Action on Objectives - katrs ar 6, 6 un 6 fāzēm. Unified Kill Chain (UKC) - 18 fāzes, 3 posmi Paul Pols (2017, atjaunināts 2022) - apvieno LM, ATT&CK un citus modeļus vienā struktūrā A. Sākotnējā piekļuve · Initial Foothold Uzbrucējs iegūst pirmo pieturas punktu mērķa vidē 1. Reconnaissance Izlūkošana OSINT, skenēšana 2. Resource Dev. Resursi infrastruktūra, rīki 3. Delivery Piegāde phishing, USB 4. Soc. Engineering Sociālā inženier. manipulācija 5. Exploitation Eksplotācija CVE, makro 6. Persistence Noturība autorun 7. Def. Evasion Maskēšanās obfuscation B. Tīkla izplatīšanās · Network Propagation Uzbrucējs paplašina pieturas punktu, virzās uz mērķiem tīklā 8. Pivoting Pārvirzīšanās proxy, tunelis 9. Discovery Atklāšana AD, tīkla karte 10. Priv. Escalation Privilēģijas UAC, sudo, token 11. Execution Izpilde PowerShell, WMI 12. Credential Acc. Akreditācijas Mimikatz, LSASS 13. Lateral Movement Sāniska kustība RDP, SMB, Pass-the-Hash C. Mērķu izpilde · Action on Objectives Uzbrucējs sasniedz galveno mērķi (datu zādzība, izspiedējvīrusi, sabotāža) 14. Collection Datu vākšana staging, kompresija, šifrēšana 15. Exfiltration Eksfiltrācija cloud, DNS tunelis, e-pasts 16. Impact Ietekme šifrēšana, iznīcināšana, DoS 17. Command & Ctrl Vadība (caur visu) beacon, tunelis 18. Objectives Mērķu sasniegšana stratēģisks rezultāts Posmi var atkārtoties iteratīvi - 'B' bieži ved atpakaļ uz 'A' (jauna fāze, jauna mērķa pozīcija)

Kāpēc 18 fāzes?

LM 7 fāzes ir pārāk vienkāršotas modernam uzbrukumam - it īpaši 'pēc piekļuves' aktivitātēm (lateral movement, discovery). UKC tās izdala posmā B, kā arī skaidri nodala sociālo inženieriju kā atsevišķu fāzi.

Atsauce

Paul Pols - "Unified Kill Chain" (Maģistra darbs, Cybersec Academy, 2017; atjaunināts 2022) · unifiedkillchain.com.

Pielietojums

Modernu APT/ransomware operāciju analīzei - kur uzbrucējs vairākas reizes 'atgriežas' starp posmiem A un B (piem., izpilda 2., 3., 4. izlūkošanas iterāciju pēc katras lateral movement).

Sarežģītība

18 fāzes ir grūtāk komunicēt vadībai nekā LM 7 fāzes. UKC labāk piemērots tehniskajai analīzei, LM - prezentācijām un riska komunikācijai.

Aizsardzības stratēģija

Courses of Action matrica + Diamond Model + MITRE D3FEND

Courses of Action matrica - 6 darbības × 7 fāzes LM Courses of Action matrica - katrai no 7 fāzēm aizstāvji var piemērot 6 darbību veidus (Detect, Deny, Disrupt, Degrade, Deceive, Destroy). Apakšā - Diamond Model četri stūri. Courses of Action - 6 darbības × 7 fāzes = 42 šūnu matrica LM 2011 - katrai fāzei jāizvēlas, kā tieši aizstāvis to "lauzīs" Recon Weapon Delivery Exploit Install C2 Actions Detect atklāt web logu analīze honeypot YARA noteikumi VT, TI feeds e-pasta sandbox URL reputation EDR uzvedība exploit signāli FIM, autorun audit EDR persistence DNS / DGA detect NIDS, JA3/JA4 DLP, anomāliju aktivitāšu UEBA Deny liegt ACL, robots.txt tīkla maskēšana - ārpus tīkla SPF/DKIM/DMARC USB liegumi ielāpi, DEP/ASLR app sandbox app allowlisting code signing egress filtrēšana IoC bloķēšana DLP bloķē segmentācija Disrupt izjaukt rate limiting CAPTCHA - ārpus tīkla in-line AV attachment scan HIPS, EMET EDR blokē exploit AV karantīna EDR rollback DNS sinkhole proxy bloks tīkla izolācija EDR isolate-host Degrade apgrūtināt tarpit pakešu aizture - ārpus tīkla greylisting SPAM throttling app sandbox resource limit krātuves kvota JIT izpildes lim. bandwidth limits QoS, throttling datu lieluma lim. eksfilt. throttle Deceive maldināt false DNS reci decoy ports honeyfiles canary tokens e-pasta canary honey accounts honey services decoy CVE honey backdoor fake registry fake C2 redirect honeynet honey-files datu lamatas Destroy iznīcināt - juridiski sliegts tikai TI takedown - ārpus tīkla URL takedown CSIRT sadarbība faila dzēšana paroles maiņa image wipe + reimage no backup C2 sinkhole, TI tiesa-aizturēšana tīkla shutdown IR atjaunošana Diamond Model of Intrusion Analysis (Caltagirone, Pendergast, Betz 2013) Katrs incidents - 4 stūri ar attiecībām · papildina Kill Chain ar atribūciju un kampaņas izsekošanu Adversary Pretinieks Capability Rīki, TTP Victim Upuris Infrastructure C2, IP, domēni Atklājot vienu stūri: · No upura → kapacitāti · No kapacitātes → infra · No infra → citus upurus · Viss kopā → atribūcija D3FEND (MITRE 2021): · Harden (sacietēt) · Detect (atklāt) · Isolate (izolēt) · Deceive (maldināt) · Evict (izlikt)

Courses of Action

6 darbības veidi nav izvēles - aizstāvības stratēģijai ideāli pārklāt vairākus katrā fāzē, lai uzbrucējam būtu vairāki potenciāli pārtrauk-punkti.

Diamond Model

Threat intel analīzes ietvars - katrs incidents kā 4 stūru attiecība. Atklājot vienu stūri, var atrast pārējos. Lieliski piemērots kampaņu izsekošanai.

D3FEND

MITRE D3FEND (2021) - aizsardzības darbību katalogs, kas atbilst ATT&CK tehnikām. d3fend.mitre.org - katrai ATT&CK tehnikai parāda, kuras D3FEND darbības to neitralizē.

Juridisks brīdinājums

'Destroy' fāzē uzmanīgi - 'hack back' (uzbrukums atpakaļ) lielākoties ir nelikumīgs. Atļauts: takedown ar tiesībaizsardzību, C2 sinkhole, sadarbība ar CSIRT (Latvijā: CERT.LV).

NIS2 23. pants un Latvijas konteksts

Incidentu ziņošana NKDC - 24h / 72h / 1 mēnesis

NIS2 23. panta ziņošanas termiņi un Latvijas iestādes Trīs ziņošanas termiņi pēc būtiska incidenta atklāšanas - 24h agrīns brīdinājums, 72h paziņojums, 1 mēnesis gala ziņojums. Saņēmējs - NKDC (kompetenta iestāde); CERT.LV - tehniskā reaģēšana. NIS2 23. pants - incidentu ziņošanas termiņi Direktīva (ES) 2022/2555 · Nacionālais kiberdrošības likums (NKDL, 2024) Latvijā T₀ incidenta atklāšana 24 stundas Agrīns brīdinājums Early Warning · Vai prettiesisks / ļaunprātīgs? · Pārrobežu ietekme? 72 stundas Incidenta paziņojums Incident Notification · Sākotnējais novērtējums · IoC, ietekmes apjoms 1 mēnesis Gala ziņojums Final Report · Cēloņi, ietekme · Pretpasākumi nākotnei starpziņojums uz pieprasījumu starpziņojums uz pieprasījumu NKDC - kompetentā iestāde Nacionālais kiberdrošības centrs (Aizsardzības ministrijas pārraudzībā) · Saņem 23. panta ziņojumus no būtiskajiem un nozīmīgajiem subjektiem · Uzrauga NKDL atbilstību, var izsniegt rīkojumus, sodus · Koordinē ar ENISA un citu valstu kompetentajām iestādēm · Vadošā iestāde nacionālajā kiberdrošības stratēģijā CERT.LV - tehniskā reaģēšana Computer Emergency Response Team (NKDC struktūrvienība kopš 2024) · CSIRT funkcijas - tehniskā palīdzība incidentu reaģēšanā · IoC izplatīšana, draudu izlūkošana, brīdinājumi · Brīvprātīga ievainojamību izpaušana (security.txt mehānisms) · cert.lv - publiski brīdinājumi, fishing, paroļu noplūdes

Kuram ziņot?

NKDC - kā kompetentā iestāde - saņem 23. panta ziņojumus. CERT.LV - kā CSIRT - tehniska palīdzība un IoC apmaiņa. Lielākajiem incidentiem jāziņo abām - NKDC formāli, CERT.LV operacionāli.

Atsauce

Direktīva (ES) 2022/2555 23. pants · Nacionālais kiberdrošības likums (LV, 2024) · MK noteikumi (sagatavošanā) par būtisku/nozīmīgu subjektu kategorijām.

Praktiska sasaiste ar Kill Chain

Kad uzbrucējs nokļūst līdz fāzei 6-7 (C2, Actions) - parasti tas ir 'būtisks incidents' pēc NIS2 definīcijas. T₀ = atklāšanas brīdis, nevis sākuma brīdis - tāpēc agrīna atklāšana = vairāk laika reaģēšanai.

Sankcijas

NIS2 paredz administratīvos sodus līdz 10 mil. eiro vai 2% no globālā gada apgrozījuma (būtiskajiem subjektiem) un 7 mil. / 1.4% (nozīmīgajiem). Nepaziņošana ir patstāvīgs pārkāpums - pat ja incidents pats par sevi nav nozieguma rezultāts.

T+24h
Agrīns brīdinājums
Early Warning · NIS2 23(4)(a)

Sākotnējs paziņojums NKDC par būtisku incidentu - vai tas ir prettiesisks/ļaunprātīgs, vai ietekmē pārrobežu pakalpojumus.

Saturs aizdomas par ļaunprātīgu darbību, sākotnējais raksturojums
T+72h
Incidenta paziņojums
Incident Notification · NIS2 23(4)(b)

Detalizētāks ziņojums NKDC ar sākotnējo novērtējumu, ietekmes apjomu, kompromisa indikatoriem (IoC) un veiktajiem pretpasākumiem.

Saturs sākotnējais root cause, ietekme, IoC, statuss
T+1m
Gala ziņojums
Final Report · NIS2 23(4)(c)

Pilns gala ziņojums - detalizēts incidenta apraksts, cēloņi, ietekme, veikti un plānotie pretpasākumi, mācības nākotnei.

Saturs pilna analīze, cēloņu novērtējums, korektīvie pasākumi