Cybersikkerhed overblik

Med indledende adgang sikret er den næste fase Henrettelse, hvor angriberen begynder at køre ondsindet kode på det kompromitterede system. Dette er det punkt, hvor angriberen begynder at interagere aktivt med miljøet med det formål at tage kontrol over det. Forskellige teknikker, der anvendes i udførelsesfasen, omfatter:

‍Scriptsprog som PowerShell, Python eller Bash at køre kommandoer, der udnytter systemet.

‍Udnyttelse af systemsårbarheder at eskalere privilegierne for den ondsindede kode.

‍Indlejring af malware i filer eller processer, der derefter udføres af intetanende brugere.Ved at udføre deres kode med succes lægger angriberne grundlaget for de næste faser af angrebet.

Når de først er inde i systemet, vil angribere sikre, at de kan bevare deres adgang, selvom systemet genstartes eller forsvaret forbedres. Det er her Vedholdenhed kommer i spil. Målet er at skabe et langsigtet fodfæste i systemet, så angriberne kan komme og gå, som de vil. Nogle persistensteknikker inkluderer:

‍Installation af bagdøre i systemet for at tillade genindrejse til enhver tid.

‍Oprettelse af nye, skjulte brugerkonti med administratorrettigheder, så de kan fortsætte med at få adgang til netværket.

‍Indlejring af malware der automatisk genstarter eller udløses hver gang systemet starter op.Persistence sikrer, at angrebet kan fortsætte over en længere periode, selvom indledende infektioner opdages og fjernes.

Når vedholdenheden er etableret, har angribere ofte brug for tilladelser på højere niveau for at udføre deres angrebsmål. Rettighedsforøgelse henviser til de teknikker, der bruges til at få forhøjet adgang til systemet, ofte ved at flytte fra en standardbruger til en administrator. Dette trin er afgørende for at få dybere kontrol over systemet. Metoder omfatter:

‍Udnyttelse af sårbarheder i operativsystemet eller softwaren som gør det muligt for angribere at hæve deres privilegier.

‍Dumping af legitimationsoplysninger, hvor angribere udtrækker hashede adgangskoder eller tokens fra hukommelsen og bruger dem til at efterligne mere privilegerede brugere.

‍Misbrug af fejlkonfigurationer eller fejl i systemtilladelser for at øge adgangen. Når angribere har adgang til administration eller root-niveau, kan de udføre næsten enhver kommando i miljøet, hvilket øger den skade, de kan forårsage betydeligt.

Cybersikkerhedssystemer såsom antivirussoftware, firewalls og indtrængningsdetekteringssystemer er designet til at identificere og blokere ondsindede aktiviteter. Som svar bruger angribere forskellige Forsvarsunddragelse teknikker til at undgå at blive opdaget. Det primære mål med denne fase er at flyve under radaren, mens du udfører angrebet. Nogle almindelige teknikker omfatter:

‍Deaktivering af sikkerhedsværktøjer såsom firewalls, antivirus eller logningstjenester for at forhindre detektion.

‍Tilsløring eller kryptering af ondsindet kode for at få det til at virke godartet eller sværere for sikkerhedsværktøjer at genkende.

‍Rydning af logfiler og ændring af systemfiler at slette beviser for deres aktiviteter.Effektiv forsvarsunddragelse kan gøre det muligt for angribere at forblive i et system uopdaget i måneder eller endda år.

Adgang legitimationsoplysninger er et højt prioriteret mål for angribere, da det giver dem mulighed for at bevæge sig frit inden for et system, efterligne brugere og eskalere deres angreb. Nogle af de mest almindelige teknikker til legitimationsadgang inkluderer:

‍Tastelogning at fange brugernavne og adgangskoder, når de indtastes.

‍Dumping af legitimationsoplysninger fra hukommelse, systemfiler eller browsere, hvor angribere henter gemte loginoplysninger.

‍Brute-force-angreb, hvor angribere systematisk gætter adgangskodekombinationer, indtil de finder den korrekte. Når angribere har legitime legitimationsoplysninger, kan de efterligne brugere, bevæge sig sidelæns gennem netværket og få adgang til følsomme oplysninger uden at give alarm.

I Opdagelse I denne fase begynder angribere at udforske miljøet for at identificere værdifulde aktiver og systemer, der skal målrettes mod. Det primære mål er at indsamle intelligens om det interne netværk, systemer og brugere. Teknikker omfatter:

‍Netværksscanning at kortlægge hele infrastrukturen, herunder tilsluttede enheder og systemer.

‍Tælling af systemkonfigurationer at forstå softwareversioner, programrettelser og sårbarheder, der kan udnyttes.

‍Identificering af nøglebrugere og roller at finde ud af, hvem der har det højeste niveau af adgang, og hvilke systemer der har de mest følsomme data.Opdagelse er afgørende for, at angribere kan forfine deres angrebsstrategi og sikre, at de målretter mod de mest værdifulde systemer med den mest effektive taktik.

Når angribere har kortlagt netværket og samlet legitimationsoplysninger, sigter de mod at bevæge sig dybere ind i målorganisationen gennem Lateral bevægelse. Denne fase giver angribere mulighed for at udvide deres adgang og inficere flere systemer. Almindelige teknikker omfatter:

‍Fjernskrivebordstjenester som RDP eller SSH for at flytte mellem systemer, som om de var legitime brugere.

‍Pass-the-hash- og pass-the-ticket-angreb, hvor angribere udnytter indfangede legitimationshashes eller tokens til at godkende til andre systemer uden at have brug for adgangskoder.

‍Udnyttelse af tillidsforhold mellem forskellige systemer for at bevæge sig på tværs af netværket udetekteret.Lateral bevægelse hjælper angribere med at nå kritiske systemer og data af høj værdi, hvilket gør angrebet mere ødelæggende.

I Kollektion Fase, angriberne indsamler de følsomme oplysninger, de har målrettet mod. Dette kan omfatte finansielle data, forretningshemmeligheder eller personligt identificerbare oplysninger (PII). Teknikker omfatter:

‍Tastelogning eller optage skærmbilleder for at stjæle følsomme oplysninger direkte fra brugerhandlinger.

‍Dataminingsscripts der automatisk indsamler filer, e-mails eller databaseposter.

‍Eksfiltreringsværktøjer der organiserer de indsamlede data for lettere overførsel ud af netværket.Indsamling er det primære mål for de fleste angreb, da det er her angribere får de data, de vil sælge, lække eller bruge til afpresning.

Når de er inde i systemet, skal angribere opretholde en kommunikationskanal for at kontrollere de inficerede enheder og styre angrebet. Kommando og kontrol (C2) er den fase, hvor angribere opretter denne fjernforbindelse, så de kan sende instruktioner, overføre filer og udføre yderligere kommandoer. C2 teknikker omfatter:

‍Krypterede kanaler som HTTPS- eller DNS-tunneling for at skjule ondsindet trafik som legitim.

‍Brug af legitime webtjenester såsom skylagring eller sociale medieplatforme for at maskere deres aktiviteter.

‍Indlejring af instruktioner i normal trafik at blande sig med hverdagens netværkskommunikation.Uden robust C2 ville angribere miste kontrollen over deres kompromitterede systemer, så dette trin er afgørende for løbende styring af angrebet.

I løbet af Ekfiltrering På et tidspunkt begynder angribere at flytte de indsamlede data ud af målnetværket og ind i deres kontrol. Dette sker ofte over en lang periode for at undgå detektion. Nogle eksfiltreringsmetoder omfatter:

‍Komprimering og kryptering af data at skjule det og gøre det sværere at opdage.

‍Afsendelse af data i små bidder for at undgå at udløse sikkerhedsadvarsler.

‍Brug af legitime cloud-tjenester eller e-mail-konti at overføre dataene uden varsel. Ekfiltrerede data kan sælges på det mørke web, bruges til økonomisk gevinst eller udnyttes til yderligere afpresning.

Den sidste fase af angrebet er Virkning, hvor modstanderen når deres endelige mål. Virkningen kan variere afhængigt af angriberens mål. Almindelige teknikker omfatter:

‍Implementering af ransomware at kryptere offerets data og kræve betaling for dekryptering.

‍Ødelæggelse eller sletning af data at forstyrre driften og forårsage økonomisk skade.

‍Offentlig frigivelse af stjålne data at skade målets omdømme eller at afpresse dem.Påvirkningsfasen forårsager ofte den mest synlige skade og repræsenterer kulminationen af angriberens indsats.