Cybersäkerhet översikt

Med den första åtkomsten säkrad är nästa fas Utförande, där angriparen börjar köra skadlig kod på det komprometterade systemet. Detta är den punkt där angriparen börjar aktivt interagera med miljön och syftar till att ta kontroll över den. Olika tekniker som används i exekveringsstadiet inkluderar:

‍Skriptspråk som PowerShell, Python eller Bash för att köra kommandon som utnyttjar systemet.

‍Utnyttja systemsårbarheter för att eskalera privilegierna för den skadliga koden.

‍Bädda in skadlig kod till filer eller processer som sedan körs av intet ont anande användare.Genom att framgångsrikt köra sin kod lägger angriparna grunden för nästa steg i attacken.

Väl inne i systemet vill angripare se till att de kan behålla sin åtkomst även om systemet startas om eller försvaret förbättras. Det är här uthållighet kommer in i spel. Målet är att skapa ett långsiktigt fotfäste i systemet så att angriparna kan komma och gå som de vill. Vissa uthållighetstekniker inkluderar:

‍Installera bakdörrar i systemet för att möjliggöra återinträde när som helst.

‍Skapa nya, dolda användarkonton med administratörsbehörighet så att de kan fortsätta att komma åt nätverket.

‍Bädda in skadlig kod som automatiskt startar om eller utlöses varje gång systemet startar upp.Persistence säkerställer att attacken kan fortsätta under en längre period, även om initiala infektioner upptäcks och tas bort.

Med uthållighet etablerad behöver angripare ofta behörigheter på högre nivå för att utföra sina attackmål. Privilegieeskalering hänvisar till de tekniker som används för att få förhöjd åtkomst till systemet, ofta från en standardanvändare till en administratör. Detta steg är avgörande för att få djupare kontroll över systemet. Metoder inkluderar:

‍Utnyttja sårbarheter i operativsystemet eller programvaran som gör det möjligt för angripare att höja sina privilegier.

‍Identifieringsdumpning, där angripare extraherar hashade lösenord eller tokens från minnet och använder dem för att utge sig för mer privilegierade användare.

‍Missbruk av felkonfigurationer eller fel i systembehörigheter för att höja åtkomst.När angripare har administrativ åtkomst eller root-åtkomst kan de utföra nästan alla kommandon i miljön, vilket avsevärt ökar skadan de kan orsaka.

Cybersäkerhetssystem som antivirusprogram, brandväggar och intrångsdetekteringssystem är utformade för att identifiera och blockera skadliga aktiviteter. Som svar använder angripare olika Försvarsflykt Tekniker för att undvika att upptäckas. Det primära målet med detta steg är att flyga under radaren medan du utför attacken. Några vanliga tekniker inkluderar:

‍Inaktivera säkerhetsverktyg t.ex. brandväggar, antivirus eller loggningstjänster för att förhindra upptäckt.

‍Fördunkla eller kryptera skadlig kod för att få det att verka godartat eller svårare för säkerhetsverktyg att känna igen.

‍Rensa loggar och ändra systemfiler för att radera bevis på deras aktiviteter.Effektivt försvarsundandragande kan tillåta angripare att stanna kvar i ett system oupptäckt i månader eller till och med år.

Åtkomst referenser är ett högt prioriterat mål för angripare, eftersom det tillåter dem att röra sig fritt inom ett system, utge sig för att vara användare och eskalera sin attack. Några av de vanligaste teknikerna för behörighetsåtkomst inkluderar:

‍Tangentloggning för att fånga användarnamn och lösenord när de skrivs.

‍Identifieringsdumpning från minne, systemfiler eller webbläsare, där angripare hämtar lagrad inloggningsinformation.

‍Brute-force-attacker, där angripare systematiskt gissar lösenordskombinationer tills de hittar rätt. När angripare har legitima referenser kan de utge sig för att vara användare, flytta i sidled genom nätverket och komma åt känslig information utan att larma.

I Upptäckts Fasen, börjar angripare utforska miljön för att identifiera värdefulla tillgångar och system att rikta in sig på. Det primära målet är att samla information om det interna nätverket, system och användare. Tekniker inkluderar:

‍Nätverksskanning för att kartlägga hela infrastrukturen, inklusive anslutna enheter och system.

‍Räkna upp systemkonfigurationer för att förstå programvaruversioner, korrigeringar och sårbarheter som kan utnyttjas.

‍Identifiera nyckelanvändare och roller för att ta reda på vem som har den högsta åtkomstnivån och vilka system som har de mest känsliga data.Upptäckten är avgörande för att angripare ska kunna förfina sin attackstrategi och se till att de riktar sig mot de mest värdefulla systemen med den mest effektiva taktiken.

När angriparna har kartlagt nätverket och samlat in referenser syftar de till att gå djupare in i målorganisationen genom Sidorörelse. Detta steg gör det möjligt för angripare att utöka sin åtkomst och infektera flera system. Vanliga tekniker inkluderar:

‍Fjärrskrivbordstjänster som RDP eller SSH för att flytta mellan system som om de var legitima användare.

‍Pass-the-hash- och pass-the-tick-attacker, där angripare utnyttjar fångade autentiseringshashes eller tokens för att autentisera till andra system utan att behöva lösenord.

‍Utnyttja förtroendeförhållanden mellan olika system för att flytta över nätverket oupptäckt.Lateral rörelse hjälper angripare att nå kritiska system och högvärdiga data, vilket gör attacken mer förödande.

I Kollektion Fas, angripare samlar in känslig information som de har riktat in sig på. Detta kan inkludera finansiella uppgifter, affärshemligheter eller personligt identifierbar information (PII). Tekniker inkluderar:

‍Tangentloggning eller fånga skärmdumpar för att stjäla känslig information direkt från användaråtgärder.

‍Data mining skript som automatiskt samlar in filer, e-postmeddelanden eller databasposter.

‍Exfiltreringsverktyg som organiserar den insamlade informationen för enklare överföring från nätverket.Samling är det primära målet för de flesta attacker, eftersom det är här angripare får de data de kommer att sälja, läcka eller använda för utpressning.

Väl inne i systemet måste angripare upprätthålla en kommunikationskanal för att kontrollera de infekterade enheterna och hantera attacken. Kommando och kontroll (C2) är den fas där angripare upprättar denna fjärranslutning, så att de kan skicka instruktioner, överföra filer och utföra ytterligare kommandon. C2 tekniker inkluderar:

‍Krypterade kanaler som HTTPS- eller DNS-tunnling för att dölja skadlig trafik som legitim.

‍Använda legitima webbtjänster till exempel molnlagring eller sociala medieplattformar för att maskera sina aktiviteter.

‍Bädda in instruktioner i normal trafik att smälta in i den dagliga nätverkskommunikationen.Utan robust C2 skulle angripare förlora kontrollen över sina komprometterade system, så detta steg är avgörande för den löpande hanteringen av attacken.

Under Exfiltrering börjar angripare flytta den insamlade informationen från målnätverket och in i deras kontroll. Detta händer ofta under en lång period för att undvika upptäckt. Vissa exfiltreringsmetoder inkluderar:

‍Komprimera och kryptera data för att dölja det och göra det svårare att upptäcka.

‍Skicka data i små bitar för att undvika att utlösa säkerhetsvarningar.

‍Använda legitima molntjänster eller e-postkonton för att överföra data utan förvarning.Exfiltrerad data kan säljas på den mörka webben, användas för ekonomisk vinning eller utnyttjas för ytterligare utpressning.

Den sista fasen av attacken är Påverkan, där motståndaren uppnår sitt slutmål. Effekten kan variera beroende på angriparens mål. Vanliga tekniker inkluderar:

‍Distribuera ransomware att kryptera offrets data och kräva betalning för dekryptering.

‍Förstör eller raderar data att störa verksamheten och orsaka ekonomisk skada.

‍Offentligt offentliggörande av stulna data för att skada målets rykte eller att utpressa dem.Påverkningsstadiet orsakar ofta den mest synliga skadan och representerar kulminationen på angriparens ansträngningar.