Dalam beberapa artikel kami telah menyebutkan apa yang disebut "rantai pembunuhan dunia maya"Tapi jika dilihat lebih dekat kami tidak pernah benar-benar menjelaskan apa itu.
Hari ini, dalam artikel singkat ini kami menelusuri kembali kelahiran model tersebut dan mencoba memahami sesuatu secara lebih bersama-sama.
Konsep Rantai Pembunuh Siber pertama kali diterbitkan oleh Lockheed Martin, industri pertahanan utama Amerika, di buku putih: "Pertahanan Jaringan Komputer Berbasis Intelijen Diinformasikan oleh Analisis Kampanye Musuh dan Intrusion Kill Chains", oleh Eric M. Hutchins, Michael J. Cloppert, dan Rohan M. Amin.
Saya merekomendasikan semua orang untuk membaca dokumen secara keseluruhan karena sangat menarik (tautan di bawah). Dalam kasus kami, kami membatasi diri untuk mengambil apa yang tampaknya paling berguna bagi kami, khususnya dalam pendahuluan kami menemukan definisi pertama rantai pembunuhan dunia maya:
"Frasa" rantai pembunuhan "menjelaskan struktur intrusi, dan analisis panduan model yang sesuai untuk menginformasikan intelijen keamanan yang dapat ditindaklanjuti".
Oleh karena itu, penulis prihatin dengan pengembangan model serangan dunia maya yang akan membantu pembela HAM mengembangkan teknik mitigasi risiko, ini untuk secara efektif menghalangi penyusup hipotetis dalam pekerjaannya. Model itu juga dimaksudkan untuk memfasilitasi "prioritas" investasi dalam teknologi baru.
Bukan kebetulan bahwa industri pertahanan telah memperkenalkan konsep itu Rantai Pembunuh Siber, itu hanyalah sebuah adaptasi terhadap lingkungan dunia maya dari sebuah konsep militer, pada kenyataannya awalnya itu adalah model bertahap yang berguna untuk mengidentifikasi berbagai langkah yang diperlukan untuk pelaksanaan suatu serangan.
Analisis membunuh rantai memungkinkan Anda untuk memahami bagaimana lawan untuk mencapai tujuannya harus dapat maju melalui keseluruhan rantai, menyoroti tindakan mitigasi mana yang efektif untuk mengganggu membunuh rantai diri.
Makalah ini secara khusus ditujukan untuk menganalisis musuh-musuh yang memiliki kapasitas dan sumber daya yang memadai untuk melakukan kampanye APT (Advanced Persistent Threath).
Tapi mari kita lihat terdiri dari apa rantai pembunuhan dunia maya. Ini adalah proses yang terdiri dari tujuh tahap:
Tahap pertama disebut Pengintaian (patroli) dan, seperti yang ditunjukkan dengan jelas dari namanya, terdiri dari melakukan pencarian untuk mengidentifikasi dan memilih target, pencarian internet untuk informasi yang berkaitan dengan target, teknologi yang digunakannya, alamat email dan staf serta hubungan sosial. Fase ini fundamental untuk definisi target awal yang berguna untuk sampai ke final mungkin dengan gerakan lateral, misalnya karyawan di kanan bawah akan dipukul untuk akhirnya mencapai CEO perusahaan.
Fase kedua disebut Senjata (persenjataan) dan terdiri dari membuat atau mengidentifikasi malware yang dapat digunakan untuk menyerang, biasanya pasangan perangkat lunak akses jarak jauh (trojan horse) dan mengeksploitasi (perangkat lunak yang mengeksploitasi kerentanan sistem). Seringkali untuk mendapatkan akses ke sistem, file nol hari dari mana masih belum ada pertahanan karena mereka adalah kerentanan baru yang belum "ditambal" justru karena mereka baru saja ditemukan.
Tahap ketiga disebut Penyampaian (pengiriman) dan terdiri dari transmisi senjata cyber (senjata) ke target. Biasanya email dengan tautan ke situs web palsu atau dokumen terlampir yang berisi malware digunakan untuk didistribusikan kepada korban. Tetapi juga stik USB, inframerah, bluetooth, media optik, keyboard, atau mouse dengan malware "bersarang" di firmware atau metode lain juga dimungkinkan.
Tahap keempat dikenal sebagai Eksploitasi (eksploitasi) dan umumnya terdiri dari eksploitasi satu atau lebih kerentanan oleh perangkat lunak berbahaya yang dimasukkan ke dalam sistem yang diserang. Perlu dicatat bahwa teknik paling maju obfuscation (seringkali bahkan teknik baru) untuk membuat tindakan ini sama sekali tidak terlihat oleh "radar" kami baik itu firewall, IDS, IPS, filter email, antivirus, dan SIEM.
Tahap kelima disebut Instalasi (penginstalan) dan terdiri dari penginstalan dalam sistem target untuk memungkinkan penyerang tetap berada di dalam sistem sesuka hati, yang disebut persistensi. Trojan Malware (RAT Remote Access Trojan), port dibuka di jaringan, atau dibuat pintu belakang. Dalam fase ini sistem diam-diam tetapi banyak dimodifikasi, kunci registri, file sistem dan bahkan partisi boot dapat dimodifikasi). Inilah salah satu alasan mengapa hasil pemulihan "sistem yang dikompromikan" tidak pernah diterima begitu saja.
Fase keenam disebut Komando dan Pengendalian (C2 atau C&C, Command and Control) dan terdiri dari pembentukan rantai komando dan kontrol yang solid yang memungkinkan penyerang memberi perintah dan menerima umpan balik. Fase ini sangat penting dalam APT.
Tahap ketujuh disebut Tindakan atas Tujuan (tindakan pada target) dan terdiri dari serangan aktual terhadap sistem target. Biasanya ini melibatkan exfiltrasi data, yang secara umum berarti menjelajahi sistem, mengumpulkan data, mengenkripsi, dan exfiltrasi. Dalam kasus lain, ini adalah masalah membuat data tidak tersedia, umumnya mengenkripsinya untuk kemudian meminta tebusan (yang terkenal Ransomware). Dalam kasus lain, pertanyaannya adalah memodifikasi data (apa yang akan terjadi jika ukuran suku cadang pesawat diubah beberapa fraksi milimeter?). Penyerang mungkin juga hanya memiliki kepentingan dalam mengumpulkan data untuk menyerang sistem lain yang lebih menguntungkan.
Setiap fase pada gilirannya dapat dibagi menjadi beberapa langkah yang kurang lebih banyak.
Tentu saja, model yang dikembangkan oleh Lockheed Martin untuk tujuan defensif dapat dan juga digunakan untuk tujuan ofensif, terutama dalam kaitannya dengan tahap awal serangan. pengintaian dan persenjataan.
Tentu saja, ada banyak variasi file rantai pembunuhan dunia maya, dikembangkan oleh perusahaan yang berbeda, tetapi tujuannya selalu sama, yaitu untuk membantu memahami modus operandi penyerang agar dapat memahami cara mengalahkannya atau, secara lebih umum, cara memoderasi risiko.
Untuk memperdalam:
- LM-Kertas-Putih-Intel-Driven-Defense.pdf (lockheedmartin.com)
