Kill Chain to charakterystyczny dla produktów Hillstone mechanizm wieloetapowego śledzenia procesu łamania zabezpieczeń sieciowych.
Jest kluczowym elementem idei „Analizy Forensic” – rozumianej jako analizę detektywistyczną/śledczą włamań.
KillChain Hillstone (powyżej uproszczony schemat) przedstawia kilka etapów procesu włamywania i związanych z nimi konsekwencji:
Initial Exploit
Inicjalizacja oznacza znalezienie przez włamywacza podatności/słabości w systemie i wykorzystanie jej do wysłania/wstrzyknięcia exploita/złośliwego kodu.
Przykład i opis : Initial Exploit (zabezpieczenia.it)
Delivery
Dostarczenie oznacza, że obcy kod programu został pobrany do komputera.
Może to oznaczać, że stacja robocza została zainfekowana lub np. będzie zainfekowana po następnym uruchomieniu (rootkit).
Jeśli tak się stanie, włamywacz przejmie kontrolę nad stacją roboczą.
Przykład i opis: Delivery (zabezpieczenia.it)
C&C
Wskazanie na etap zarządzania i kontroli (ang. „Command and Control”) oznacza, że zainfekowany komputer został przejęty przez hackera i znajduje się pod jego kontrolą.
Wykrycie takiego stanu przez klasyczne firewalle lub antywirusy jest bardzo trudne, a często niemożliwe, ponieważ starannie zaprojektowane malware nie wykonuje podejrzanych operacji, w widoczny sposób nie obciąża systemu i nie generuje ruchu sieciowego, wyglądającego na szkodliwy.
Przykład i opis: C&C (zabezpieczenia.it)
Monetization
Obecność zainfekowanych stacji oznacza, że włamywacz przedostał się do wewnątrz systemu hosta. Jeżeli ma kontrolę nad komputerami, może je wykorzystywać do wcześniej założonych, własnych celów. Taką eksploatację zasobów nazywamy monetyzacją („Monetization”).
W ramach monetyzacji, przechwycony komputer może m. in.:
– rozsyłać niechciane wiadomości, głównie ofertowe/reklamowe (spamować)
– rozpowszechniać lub pośredniczyć w rozpowszechnianiu nielegalnych treści (przenosić ryzyko ewentualnej odpowiedzialności karnej)
– być komputerem-zombie dla sieci typu Bot-Net; zapychać łącze (floodować) pakietami samodzielnie (DoS) lub w koordynacji z innymi zombie (DDoS)
– zajmować się monetyzacją rozumianą dosłownie, tzn. wykorzystywać moc obliczeniową do „kopania” kryptowalut
Przykład i opis: Monetization (zabezpieczenia.it)
Internal Recon
Wewnętrzny rekonesans (zwiad) może mieć miejsce po tym, gdy włamujący dostał się do wnętrza sieci i ma pod kontrolą któryś z hostów.
Oprócz wykorzystywania hosta do własnych celów (patrz: Monetyzacja Monetization (zabezpieczenia.it)), intruz może również pójść w kierunku dalszej eskalacji uprawnień i podjąć próbę rozszerzenia obszaru włamania na kolejne stacje.
Etap rozpoznania wewnętrznego (ang. „Internal Recognition”) podobny jest do etapu pierwszego (inicjacji), z tą różnicą że:
– intruz atakuje z obszaru sieci wewnętrznej i domyślnie jest traktowany, jak jej zaufana część
– sieci nie chroni dotychczasowy firewall (jeśli był, hacker zdołał go „obejść”), a nowo postawiony Hillstone wykrywa i analizuje anomalie już istniejące
– sieci nie chronią tu również inne, opcjonalne zabezpieczenia oferowane przez dostawców usług internetowych
Przykład i opis : Internal Recon (zabezpieczenia.it)
Lateral Movement
Jeśli łańcuch łamania zabezpieczeń dochodzi do sygnalizowania tzw. „ataków bocznych” oznacza to, że włamujący się – zdążył już dalece eskalować swoje uprawnienia wewnątrz sieci.
Cele ataków na tym etapie bywają już inne od pierwotnych (injekcja, kontrola, monetyzacja).
W dalszej kolejności celem włamania są hosty z danymi i usługami bardzo wrażliwymi, opisanymi jako tzw. „aktywa krytyczne”, więcej tutaj: Critical Assets – (zabezpieczenia.it)
Hosty takie, ze względów bezpieczeństwa, nie mają dostępu do Internetu, za to mają do nich dostęp inne stacje z sieci lokalnej, w tym także stacje zainfekowane.
Atak „od środka” może być skierowany na serwer z poufnymi informacjami, świadczący usługi tylko wewnątrz firmy/instytucji lub na macierz dyskową odpowiedzialną za kopie zapasowe (backup). Często cyber-przestępca wykorzystuje techniki cyber-ataków w sieci lokalnej Man in the middle – (atak kryptologiczny polegający na podsłuchu i modyfikacji wiadomości przesyłanych pomiędzy dwiema stronami bez ich wiedzy)
Przykład i opis: Lateral Movement (zabezpieczenia.it)
Exfiltration
Przez eksfiltrację rozumiemy tutaj nieuprawnione wydobycie informacji z infrastruktury komputerowej/sieciowej i przechwycenie ich przez intruza.
Wyciek jest zdarzeniem nieodwracalnym, a dalszy los danych skradzionych może być bardzo rozmaity i/lub nieznany.