מבט בעיני “תוקף”
במאמר זה אנו נסתכל בעיני “תוקף” ונתאר את שלבי תהליך התקיפה.
ההכרות עם שלבי תקיפה מתוחכמת מאפשר לנו לתכנן את ההגנה לפי הצעדים של היריב ולהשיג מידע מודיעיני מתאים על כל שלב.
מודל Cyber Kill Chain הוצג בשנת 2011 ע”י חברת Lockheed Martin האמריקאית.
לפי המודל קיימים 7 שלבי תקיפה מרכזיים שתוקף מבצע בשלבי התקיפה:
1. סיור (Reconnaissance)
בשלב זה התוקף ממפה את אתר היעד על-ידי ביצוע מחקר ואיסוף נתונים.
ניתן לבצע זאת בצורה פסיבית ללא יצירת קשר עם הנתקף כמו השגת כתובות מייל, בניית תרשים ארגוני של הארגון הנתקף, מיפוי של אנשי הארגון ברשתות חברתיות, השגת מידע טכני ממכרזים שפורסמו, מקורות חיים של אנשים שעבדו בו ועוד.
ניתן לבצע Reconnaissance בצורה אקטיבית כמו לטלפן או ללכת לראיון עבודה.
2. בניית אמצעי תקיפה (Weaponization)
לדוגמא: הצמדה של סוס טרויאני לקוד שמנצל חולשה (exploit) ביחד עם אמצעי העברה שמתאימים ליעד הנתקף. לדוגמא, יצירת מסמך PDF שמכיל קוד שיופעל בעת פתיחת המסמך ויאפשר משיכת סוס טרויאני מאתר התוקף.
3. משלוח אמצעי התקיפה ליעד (Delivery)
לדוגמא: שליחת מייל דיוג (phishing) שמכיל את מסמך ה PDF לאחת מכתובות המייל אשר זוהו בשלב הסיור.
4. ניצול החולשה ביעד (Exploitation)
הפעלה של אמצעי התקיפה באופן שמאפשר את הרצת הקוד שאותו תכנן התוקף.
לדוגמא, תוכנה Acrobat Reader אצל הנתקף פותחת את מסמך ה PDF, מריצה את הקוד שתכנן התוקף ומאפשר לתוקף לבצע פעולות המשך.
5. התקנה (Instהכלation)
בשלב זה מותקן הכלי על גבי מחשב בארגון הנתקף ומאפשר לתוקף תקשורת מרחוק למול הכלי המותקן על המחשב. התקנה זו נועדה לאפשר לתוקף נגישות קבועה למחשב הנתקף, וזאת ללא צורך בהרצה מחודשת של אמצעי התקיפה המקורי.
6. שליטה ובקרה (Command & Control)
בשלב זה התוקף מסיג גישה שמאפשרת תקשורת רציפה בין התוקף לבין הכלים שלו שמותקנים במחשב ברשת הנתקף.
תקשורת זו הינה לרוב דו כיוונית ומאפשרת לתוקף מצד אחד להעביר פקודות לכלים שלו, ומצד שני לקבל מהם תשדורות שמכילות מידע.
7. פעולות על גבי היעד (פעולה on Objectives)
לאחר שהושגה נגישות ראשונית לרשת של היעד הנתקף, יכול התוקף לבחור מה ברצונו לעשות: לחקור את רשת היעד בכדי להשיג גישה למקומות נוספים.
לגנוב מידע. לפגוע ברשת היעד ובתהליכים בה היא תומכת.
בהצלחה!!
