ואצאפ
כפתור הקפץ למעלה

6.1 שרשרת ההרג בסייבר - Cyber Kill Chain להבנת תהליך התקיפה

בדיון על "מקורות איום", צייננו גורמים מגוונים, מהאקר בודד, דרך כנופיית פשע, וכלה במדינה, על כל משאביה. המכנה המשותף לכל גורמי האיום: הם משתמשים בהאקרים: מומחים להתקיפה ולמודיעין. כאן – נרחיב מעט את נושא "האקרים וטכניקות"

העולם של המחשבים, מערכות המידע, אמצעי האחסון, המידע, התקשורת, הענן ואנשים, הוא עולם רב ממדי. הוא מתאפיין במרחבים אופקיים רבים, ושכבות אנכיות רבות.

אופקית, אנו יכולים לראות את הסגמנטציה של רשתות תקשורת מקומיות ומרוחקות, כמו גם רשת האינטרנט וסניפים שונים של ארגונים. המרחב האופקי של עולם המחשבים מתייחס לחלוקה של המערכות והמשאבים למרחבים שונים. דוגמה לכך היא חלוקת הרשתות למקומיות, מרוחקות והאינטרנט. דוגמה נוספת היא חלוקת המערכות למערכות ארגוניות, מערכות ציבוריות ומערכות פרטיות.

אנכית, המבנה משתקף במודל OSI (מודל היררכי שמתאר את שכבות התקשורת ברשת) ובהשפעה האנושית הנרחבת בכל רמה וממד. השכבה האנכית של עולם המחשבים מתייחסת למבנה של המערכות והמשאבים. גם ההבחנה בין חומרה, תוכנה ונתונים יכולה להיות מיוצגת אנכית (אך בה בעת -  גם אופקית).

האתגר המרכזי בעולם זה הוא הגנה מפני איומים ותוקפים, הדורשת שימוש בטכנולוגיות מתקדמות ובמומחיות אנושית לצורך איתור והתמודדות עם תוקפים. תוקפים יכולים לנסות להשתלט על מערכות, לגנוב מידע או לגרום נזק.

ההגנה על עולם המחשבים הרב ממדי היא משימה מורכבת. היא דורשת התמודדות עם מגוון רחב של איומים, מכל המרחבים והשכבות.

האקר הוא אדם שמשתמש בידע ובמיומנות שלו כדי לפרוץ למערכות מחשב. האקרים יכולים לנצל את המורכבות של עולם זה ולפעול בממדים שונים. האקרים פועלים בכל המרחבים והשכבות של עולם המחשבים. הם משתמשים במגוון רחב של טכניקות, כדי לחדור דרך נקודות תורפה ברשתות, להשתמש בטכניקות מתקדמות כדי לגלות ולנצל פרצות אבטחה, להתחזות לאנשים אחרים, להשתמש בתוכנות זדוניות, לפרוץ דרך הפרצות המתגלות, ולעקוף אמצעים תקניים של הגנה.

ללמוד האקינג, משמעו יכולת הבנה עמוקה של כל אחד מממדי העולם הטכנולוגי והיכולת לחשוב כמו "תוקף", כדי לזהות פרצות ולנצל אותן.

כאשר האקר מנסה לפרוץ למחשב, או מערכת מידע של ארגון, הוא ישתדל לחסוך במאמצים ובזמן במידת האפשר, ולהשתמש בטכניקות פריצה קיימות, תקפות ויעילות במקום להמציא את הגלגל. טכניקות אלו שייכות בדרך-כלל למשפחה של תוכנות זדוניות, או שיטות דיוג , או סקריפטים בין אתרים (XSS).

שרשרת ההרג בסייבר - Cyber Kill Chain להבנת תהליך התקיפה

מסגרת Cyber Kill Chain, פותחה על ידי לוקהיד מרטין (2022), מסבירה כיצד תוקפים פועלים, מתקדמים ועוברים בין רשתות, וכך, מזהים נקודות תורפה שאותן הם יכולים לנצל. תוקפים משתמשים בצעדים דומים למדי, בעת ביצוע פעולות התקפיות נגד המטרות שלהם, והבנת התהליך של מתקפת סייבר עשויה לסייע בהבנה כיצד יש לנהוג בהגנה, ובאיזה אמצעים ניתן לנקוט כדי למנוע או ליירט כל שלב.

מטרתו של המודל, היא לחזק את ההגנה של ארגון מפני APTs, התקפות סייבר מתוחכמות. שרשרת הפעולות כוללת שבעה שלבים, ופרק זה מתאר מה כולל כל אחד מהשלבים הללו, כולל אמצעי המניעה שמגני הרשת יכולים לנקוט בכל שלב.

ביקורת על המודל

המודל הוא עדיין כלי מועיל, אבל מחזור החיים של מתקפות הסייבר הוא הרבה פחות צפוי וברור היום מאשר לפני עשור. אין זה נדיר שתוקפי סייבר מדלגים או משלבים שלבים, במיוחד במחצית הראשונה של מחזור החיים. התופעה מקצרת את הזמן שבו ארגונים יכולים לגלות ולנטרל איומים בשלב מוקדם של מחזור החיים. בנוסף, השכיחות של מודל שרשרת ההרוגים עשויה לתת לתוקפי סייבר אינדיקציה מסוימת לאופן שבו ארגונים מבנים את ההגנה שלהם, מה שעלול לעזור להם בשוגג להימנע מגילוי בנקודות מפתח במחזור החיים של ההתקפה.

אחת הביקורות הנפוצות ביותר על מודל שרשרת הריגת הסייבר היא שהוא מתמקד באבטחה היקפית ומניעת תוכנות זדוניות. הביקורת רצינית עוד יותר בהתחשב בכך שארגונים ממירים רשתות מקומיות לטובת הענן.

גם ההאצה של מגמת "העבודה מרחוק" והריבוי העצום בשימוש במכשירים אישיים, בטכנולוגיית IoT ואפילו ביישומים מתקדמים כמו אוטומציה רובוטית של תהליכים (RPA), הגדילו באופן אקספוננציאלי את משטח ההתקפה עבור ארגונים ארגוניים רבים. המשמעות היא שלפושעי סייבר יש הרבה יותר נקודות גישה לניצול - ולחברות יהיה קשה יותר לאבטח כל נקודת קצה ונקודת קצה.

חסרון פוטנציאלי נוסף של שרשרת ההרוגים הוא שהיא מוגבלת מבחינת סוגי ההתקפות שניתן לזהות. לדוגמה, המסגרת המקורית אינה מסוגלת לזהות איומים פנימיים, אשר נחשבים בין הסיכונים החמורים ביותר לארגון ואחד מסוגי התקיפות שיש להם את שיעורי ההצלחה הגבוהים ביותר. 

גם התקפות הממנפות "הרשאות" שנפגעו על ידי גורמים לא מורשים לא ניתנות לזיהוי במסגרת מודל Cyber Kill Chain המקורי.

התקפות מבוססות רשת עלולות גם לא להתגלות אף הן. דוגמאות להתקפות כאלה כוללות Cross Site Scripting (XSS), SQL Injection, DoS/DDoS וכמה ניצול של Zero Day.

שלבים

1. סיור מקדים - Reconnaissance

מטרה: איסוף מידע על המטרה ואיתור חולשות.

סיור הוא השלב הראשון בשרשרת ה- Cyber Kill וכולל מחקר מטרות פוטנציאליות לפני ביצוע בדיקות חדירה כלשהן. שלב הסיור עשוי לכלול זיהוי מטרות פוטנציאליות, מציאת נקודות התורפה שלהן, גילוי אילו צדדים שלישיים מחוברים אליהם (ולאיזה נתונים הם יכולים לגשת), וחקירת נקודות כניסה קיימות וכן מציאת נקודות חדשות. סיור יכול להתקיים גם באינטרנט וגם במצב לא מקוון.

שלב הסיור מסווג לשני סוגים:

  • זיהוי פסיבי: מהלך זה מושג על ידי איסוף מידע יעד מבלי שהוא/היא מודע לכך.
  • הכרה אקטיבית: שלב זה דורש ניתוח מעמיק של היעד.

התהליך יכול להיות פשוט כמו איסוף כתובות דוא"ל ציבוריות, ועד לפריסה מתקדמת של כלי ריגול וסורקים אוטומטיים כדי לזהות את סוגי מערכות האבטחה או יישומי צד שלישי שבהם נעשה שימוש.

סיור הוא שלב מרכזי בכל מתקפת סייבר מתוחכמת וניתן לבצע אותו גם באופן מקוון וגם לא מקוון. ככל שתוקפי מודיעין צוברים יותר בשלב זה, כך צפויה ההתקפה להצליח יותר.

  • טכניקות תקיפה מוכרות:  זיהוי וטירגוט של עובדים במדיה חברתית, סריקות פורטים מקיפות על מנת למצוא מידע על גרסאות מערכת הפעלה או פורטים פתוחים, גילוי של כתובות מייל (בדרך-כלל על פי קונבנציה קבועה של שם).

  • טכניקות הגנה:  התראות לוגים ממערכות הגנה שונות שיכולות לזהות ולחסום סריקת פורטים, צמצום המידע שמנדבים במדיה חברתית, הגברת ערנות עובדים ומודעות.

2. בחירת כלי הנשק הנכון - Weaponization

מטרה: בחירת כלים על סמך המידע עד כה 

בשלב בחירה ובניית הנשק, כל עבודת ההכנה של התוקף מגיעה לשיאה ביצירת תוכנות זדוניות לשימוש נגד מטרה מזוהה. הפעלת נשק יכולה לכלול יצירת סוגים חדשים של תוכנות זדוניות או שינוי כלים קיימים לשימוש במתקפת סייבר. לדוגמה, תוקפים עשויים לבצע שינויים קלים בגרסה קיימת של תוכנת כופר כדי ליצור כלי תקיפה חדש.

הפעלת נשק כרוכה ביצירה ופיתוח של שני מרכיבים:

  • RAT (Remote Access Trojan): תוכנה המופעלת על המכונה של הקורבן ומאפשרת לפורץ כניסה מרחוק, באופן סמוי ובלתי נצפה. הוא יכול לספק חקירת מערכת, העלאה או הורדה של קבצים, ביצוע קבצים מרחוק, צג הקשה, לכידת מסך, הפעלה/כיבוי של מצלמת אינטרנט או מערכת עם הרשאות מוגבלות או ברמת המשתמש.

  • Exploit: זהו החלק של הנשק שמאפשר ל-RAT לפעול, פועל כספק ל-RAT וממנף פגיעויות של מערכת או תוכנה. המטרה העיקרית של שימוש במנצלים היא להתחמק מזיהוי משתמשים על ידי שימוש ב-RAT כדי לבנות כניסה שקטה בדלת אחורית. יכולים להיות מספר סוגים של מקורות זיהום, כגון קבצי MS Office, קובצי PDF, אודיו/וידאו או דפי אינטרנט. ניתן להשתמש בפגיעויות נוספות כגון ניצול הסלמה של הרשאות על היעד לאחר התקנת RAT כדי לקבל הרשאות מוגברות, ולאחר מכן להפיץ עוד יותר את ה-RAT, להבטיח גישה קבועה או אפילו לשבור את המערכת כולה.

  • טכניקות תקיפה מוכרות:  יצירה או מציאה של דלת אחורית למטרת השגת גישה בלתי מורשית, הטמעת קוד זדוני בתוך מסמך לגיטימי ומזמין, בנייה של כלי אוטומטי שיודע לבצע מתקפות על ידי הזרקת קוד.

  • טכניקות הגנה:  הטמעה של מערכת IDS (כולל עדכון תמידי של חתימות), איסוף ותיעוד לוגים על מנת לזהות התנהגות חשודה בזמן ובצורה האופטימלית ביותר.

3. אספקה - Delivery

מטרה: העברת הנשק בדרך נבחרת אל המטרה

בשלב ה"אספקה" נעשה שימוש בנשק סייבר ובכלי Cyber Kill Chain אחרים כדי לחדור לרשת של היעד ולהגיע למשתמשים. עבור תוקף, אספקה היא משימה בסיכון גבוה מכיוון שהיא משאירה עקבות.  לכן, רבות מההתקפות מבוצעות בעילום שם באמצעות ספקי תשלומים מקוונים, אתרי אינטרנט פרוצים וכתובות דוא"ל שנפגעו. מנגנוני האספקה יכולים להיות:

  • קבצים מצורפים באימייל
  • פישינג
  • הורדות
  • מדיה ב- USB / הסרה
  • הרעלת DNS

אספקה עשויה להיות כרוכה בשליחת דוא"ל דיוג המכילים קבצים מצורפים של תוכנות זדוניות עם שורות נושא שמבקשות מהמשתמשים ללחוץ. אספקה יכולה גם להתבצע בצורה של פריצה לרשת של ארגון וניצול פגיעות חומרה או תוכנה כדי לחדור אליה.

 

  • טכניקות תקיפה מוכרות:  השארת USB ליד מחשבים של עובדים על מנת שיתפתו לחבר אותם ולבדוק מה יש בהם (בדרך-כלל התוקף יתאים את ה USB לאותו הסוג שבו משתמשים בדרך-כלל בארגון, וזאת על ידי עבודת מודיעין קדם איכותית), תקיפת אתר ישירה, מייל זדוני.

  • טכניקות הגנה:  הבנה של הנכסים הפגיעים בארגון (שרתים רגישים ואנשים), התחקות אחר התנהגות תוקפים פוטנציאליים, הגברת ערנות עובדים.

4. ניצול - Exploitation

מטרה: ניצול חולשה והפעלת אמצעי המנצל את החולשה, בחצר הקורבן

ניצול הוא השלב שבו התוקפים מנצלים את פגיעויות שגילו בשלבים קודמים כדי לחדור עמוק יותר לרשת של היעד כדי להשיג את מטרותיהם. הניצול מצליח בדרך-כלל, על מערכות מיושנות שאינן מעודכנות, ומתקשה לחלוף בלי להתגלות על-פני כלי אבטחה מסורתיים, כמו אנטי וירוס או חומות אש.

בתהליך זה, תוקפים נעים לרוב "לרוחב" (Lateral Movement) על פני הרשת כדי להגיע ליעד. ניצול יכול לפעמים להוביל תוקפים למטרותיהם אם האחראים לרשת לא הפעילו אמצעי הטעיה. בשלב זה, תוקפים יכולים ללמוד על נקודות תורפה נוספות שלא היו מודעים אליהן לפני הכניסה. קל יותר לזהות פגיעויות עכשיו אם אין אמצעי הטעיה ברשת.

  • טכניקות תקיפה מוכרות:  רכישה או בנייה עצמית של כלי תקיפה רלוונטי, השמשה של חולשה קיימת או יצירה שלה (יכולה להיות חולשה אנושית, חומרתית או תוכנתית).

  • טכניקות הגנה:  הגברת מודעות עובדים לסיכוני הגנת סייבר וביצוע קמפיינים להגברת ערנות, סריקות פגיעויות תמידיות, מעקב צמוד על כל המערכות בארגון ותיעוד לוגים, הקשחת מערכות ויישום של מערכות הגנה כמו IDS ו- WAF.

5. התקנה - Installation

מטרה: להשיג אחיזה אצל משתמש קרוב למטרה

לאחר ניצול הפגיעויות של היעד שלהם כדי לקבל גישה לרשת, הם מנסים להתקין תוכנות זדוניות וכלי נשק סייבר אחרים ברשת היעד כדי להשתלט על המערכות שלה ולחלץ נתונים יקרי ערך.שלב זה ידוע גם בשם "שלב הסלמה של הרשאות". התוקף מנסה להתקין תוכנות זדוניות ולפרוס נשק סייבר אחרים ברשת היעד על מנת להשיג שליטה נוספת על מערכות, חשבונות ונתונים נוספים. האסטרטגיות כוללות התקנת תוכנות זדוניות באמצעות:

  • סוסים טרויאנים
  • מניפולציה של אסימון גישה (Access token)
  • ממשקי שורת פקודה
  • דלתות אחוריות

הטקטיקה מתחילה להתעצם, כאשר תוקפים חודרים בכוח לרשת היעד, מחפשים אישורי אבטחה לא מוגנים ומשנים הרשאות בחשבונות שנפרצו.

  • טכניקות תקיפה מוכרות:  הסוואת סרוויס זדוני כאחד לגיטימי על מנת שמפעיל המחשב לא יחשוד בפעולה שהוא מבצע או בשם שלו.
  • טכניקות הגנה:  הגדרת הרשאות נכונה לאפליקציות ומשתמשים, ביצוע מעקב רציף לחיפוש אנומאליה בנקודות קצה ברשת.

6. פיקוד ובקרה - Command and Control (C2)

המטרה: השגת אחיזה בחצר המטרה

בשלב זה, תוקפים "יוצרים קשר" עם התוכנה הזדונית שהם התקינו ברשת של היעד, כדי להורות לנשק הסייבר או לכלים שהתקינו, לבצע את מטרותיהם. לדוגמה, תוקפים עשויים להשתמש בערוצי תקשורת כדי להפנות מחשבים נגועים בתוכנת זדונית הבוטנט Mirai להעמיס על אתר אינטרנט בתעבורה או שרתי C2 להורות למחשבים לבצע מטרות של פשעי סייבר.

 

התוקף יכול כעת לעקוב, לנטר ולהנחות את כלי הנשק והכלים הפרוסים שלו מרחוק. ניתן לחלק את השלב הזה לשתי שיטות:

 

  • ערפול הוא התהליך שבו תוקף גורם לזה להיראות כאילו לא קיים איום, ובעצם מכסה את עקבותיו. זאת, באמצעות שיטות כמו מחיקת קבצים, ריפוד בינארי "binary padding" וחתימת קוד.

  • מניעת שירות (DoS) היא כאשר תוקפים גורמים לבעיות במערכות / אזורים אחרים כדי להסיח את דעתם של צוותי האבטחה מלחשוף את מטרות הליבה של המתקפה. לעיתים הדבר כרוך במניעת שירות ברשת או במניעת שירות של נקודות קצה, כמו גם בטכניקות כמו חטיפת משאבים וכיבוי מערכת, וכל זאת, כאמור, לצורך הסחת דעת.

  • טכניקות תקיפה מוכרות:  פתיחת ערוץ תקשורת דו כיווני אל שרת התוקף (בדרך-כלל כתעבורת מייל או DNS).

  • טכניקות הגנה:  התוודעות לשרתי C2C רלוונטיים וחדשים על מנת להכיר את מפת האיומים, בדיקה מעמיקה של תעבורה על מנת לוודא שהיא באמת לגיטימית.

7. ביצוע פעולות על היעדים - Actions on Objectives

המטרה: ביצוע פעולות מול המטרה

לאחר שהתוקפים פיתחו נשק סייבר, התקינו אותם ברשת של מטרה והשתלטו על רשת המטרה שלהם, הם מתחילים את השלב האחרון של שרשרת ההרוגים בסייבר: ביצוע פעולות נדרשות בהתאם למטרות שהביאו להתקפת הסייבר שלהם. המטרות של תוקפים משתנות בהתאם לסוג התקפת הסייבר. 

דוגמאות: הפעלת רשת בוט כדי להפריע לשירותים עם התקפת מניעת שירות מבוזרת (DDoS), הפצת תוכנות זדוניות כדי לגנוב נתונים רגישים מארגון היעד, שימוש בתוכנת כופר ככלי לצורכי סחיטת סייבר. שלב זה יכול להימשך מספר שבועות או חודשים בהתאם להצלחת השלבים הקודמים. 

שימוש במודל לצורך אבטחת הסייבר:

למרות שאינו פתרון בפני עצמו, ה- CKC יכול לספק הצצה מלאת תובנות למוחו של התוקף, ולסייע בגיבוש פעולות נגד. ישנן 6 שכבות של בקרות אבטחה שניתן ליישם בשלבים שונים כדי למנוע או לעצור התקפה:

  • Detect (זהה): נתח ומצא את ניסיונות החדירה.
  • Deny (מנע): עצור את ההתקפות כשהן מתרחשות.
  • Disrupt (שבש): עצור את תקשורת הנתונים.
  • Degrade (צמצם): צמצם והגבלת יעילות ההתקפה.
  • Deceive (הטעה): הובל את התוקפים לכיוון הלא נכון.
  • Contain (הכל והגבל): הסתר והגבל את טווח ההתקפה כך שתשפיע רק על חלק מהארגון.

לסיכום, המודל הינו כלי רב ערך לארגונים על מנת להבין ולהגן מפני מתקפות סייבר על ידי פירוק שלה לשבעה שלבים פשוטים להבנה ויישום.

 

בעזרת מודל זה, ארגונים יכולים לזהות מתקפה בשלב מוקדם יותר, להכין את עצמם לתגובה רלוונטית ומהירה ובכך להישאר בטוחים יותר.

 

עבור למאמר הבא