Cyber Kill Chain

МодСль этапов ΠΊΠΈΠ±Π΅Ρ€Π°Ρ‚Π°ΠΊΠΈ ΠΎΡ‚ Lockheed Martin

1

Reconnaissance (Π Π°Π·Π²Π΅Π΄ΠΊΠ°)

Π—Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊ собираСт ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΡŽ ΠΎ Ρ†Π΅Π»ΠΈ. Π­Ρ‚ΠΎ ΠΌΠΎΠΆΠ΅Ρ‚ Π²ΠΊΠ»ΡŽΡ‡Π°Ρ‚ΡŒ сканированиС ΠΏΡƒΠ±Π»ΠΈΡ‡Π½Ρ‹Ρ… источников, ΡΠΎΡ†ΠΈΠ°Π»ΡŒΠ½Ρ‹Ρ… сСтСй, Π²Π΅Π±-сайтов ΠΊΠΎΠΌΠΏΠ°Π½ΠΈΠΈ, DNS-записСй ΠΈ Π΄Ρ€ΡƒΠ³ΠΈΡ… ΠΎΡ‚ΠΊΡ€Ρ‹Ρ‚Ρ‹Ρ… Π΄Π°Π½Π½Ρ‹Ρ….

OSINT Π‘ΠΎΡ†ΠΈΠ°Π»ΡŒΠ½Π°Ρ инТСнСрия Π‘ΠΊΠ°Π½ΠΈΡ€ΠΎΠ²Π°Π½ΠΈΠ΅ ΠΏΠΎΡ€Ρ‚ΠΎΠ² DNS ΠΏΠ΅Ρ€Π΅Π±ΠΎΡ€
Π—Π°Ρ‰ΠΈΡ‚Π½Ρ‹Π΅ ΠΌΠ΅Ρ€Ρ‹
ΠœΠΎΠ½ΠΈΡ‚ΠΎΡ€ΠΈΠ½Π³ OSINT ΠžΠ³Ρ€Π°Π½ΠΈΡ‡Π΅Π½ΠΈΠ΅ ΠΏΡƒΠ±Π»ΠΈΡ‡Π½ΠΎΠΉ ΠΈΠ½Ρ„ΠΎΡ€ΠΌΠ°Ρ†ΠΈΠΈ Honeypots
2

Weaponization (Π’ΠΎΠΎΡ€ΡƒΠΆΠ΅Π½ΠΈΠ΅)

Π‘ΠΎΠ·Π΄Π°Π½ΠΈΠ΅ врСдоносной Π½Π°Π³Ρ€ΡƒΠ·ΠΊΠΈ. Π—Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊ Π³ΠΎΡ‚ΠΎΠ²ΠΈΡ‚ эксплойт, трояна ΠΈΠ»ΠΈ Π΄Ρ€ΡƒΠ³ΠΎΠ΅ врСдоносноС ПО, часто маскируя Π΅Π³ΠΎ ΠΏΠΎΠ΄ Π»Π΅Π³ΠΈΡ‚ΠΈΠΌΠ½Ρ‹ΠΉ Ρ„Π°ΠΉΠ» ΠΈΠ»ΠΈ Π΄ΠΎΠΊΡƒΠΌΠ΅Π½Ρ‚.

Π‘ΠΎΠ·Π΄Π°Π½ΠΈΠ΅ эксплойтов Π£ΠΏΠ°ΠΊΠΎΠ²ΠΊΠ° ΠΌΠ°Π»Π²Π°Ρ€ΠΈ ΠžΠ±Ρ„ΡƒΡΠΊΠ°Ρ†ΠΈΡ ΠΊΠΎΠ΄Π° Π‘ΠΎΠ·Π΄Π°Π½ΠΈΠ΅ C2 инфраструктуры
Π—Π°Ρ‰ΠΈΡ‚Π½Ρ‹Π΅ ΠΌΠ΅Ρ€Ρ‹
Threat Intelligence Анализ ΠΌΠ°Π»Π²Π°Ρ€ΠΈ ΠœΠΎΠ½ΠΈΡ‚ΠΎΡ€ΠΈΠ½Π³ Dark Web
3

Delivery (Доставка)

ΠŸΠ΅Ρ€Π΅Π΄Π°Ρ‡Π° врСдоносной Π½Π°Π³Ρ€ΡƒΠ·ΠΊΠΈ ΠΆΠ΅Ρ€Ρ‚Π²Π΅. ΠœΠΎΠΆΠ΅Ρ‚ ΠΎΡΡƒΡ‰Π΅ΡΡ‚Π²Π»ΡΡ‚ΡŒΡΡ Ρ‡Π΅Ρ€Π΅Π· email-влоТСния, Π·Π°Ρ€Π°ΠΆΠ΅Π½Π½Ρ‹Π΅ Π²Π΅Π±-сайты, USB-устройства ΠΈΠ»ΠΈ Π΄Ρ€ΡƒΠ³ΠΈΠ΅ Π²Π΅ΠΊΡ‚ΠΎΡ€Ρ‹ Π°Ρ‚Π°ΠΊΠΈ.

Ѐишинг Watering hole USB-Π΄Ρ€ΠΎΠΏΠΈΠ½Π³ Supply chain Π°Ρ‚Π°ΠΊΠΈ
Π—Π°Ρ‰ΠΈΡ‚Π½Ρ‹Π΅ ΠΌΠ΅Ρ€Ρ‹
Email Security Gateway Web Ρ„ΠΈΠ»ΡŒΡ‚Ρ€Π°Ρ†ΠΈΡ ΠžΠ±ΡƒΡ‡Π΅Π½ΠΈΠ΅ ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Π΅ΠΉ USB Π±Π»ΠΎΠΊΠΈΡ€ΠΎΠ²ΠΊΠ°
4

Exploitation (Эксплуатация)

Запуск врСдоносного ΠΊΠΎΠ΄Π°. ПослС доставки происходит эксплуатация уязвимости Π² систСмС, ΠΏΡ€ΠΈΠ»ΠΎΠΆΠ΅Π½ΠΈΠΈ ΠΈΠ»ΠΈ Ρ‡Π΅Ρ€Π΅Π· дСйствия ΠΏΠΎΠ»ΡŒΠ·ΠΎΠ²Π°Ρ‚Π΅Π»Ρ (Π½Π°ΠΏΡ€ΠΈΠΌΠ΅Ρ€, ΠΎΡ‚ΠΊΡ€Ρ‹Ρ‚ΠΈΠ΅ влоТСния).

Buffer overflow SQL injection ΠœΠ°ΠΊΡ€ΠΎΡΡ‹ Π² Π΄ΠΎΠΊΡƒΠΌΠ΅Π½Ρ‚Π°Ρ… Zero-day эксплойты
Π—Π°Ρ‰ΠΈΡ‚Π½Ρ‹Π΅ ΠΌΠ΅Ρ€Ρ‹
ΠŸΠ°Ρ‚Ρ‡-ΠΌΠ΅Π½Π΅Π΄ΠΆΠΌΠ΅Π½Ρ‚ EDR/XDR Application whitelisting Exploit prevention
5

Installation (Установка)

Установка бэкдора ΠΈΠ»ΠΈ RAT (Remote Access Trojan) для постоянного доступа. ΠœΠ°Π»Π²Π°Ρ€ΡŒ закрСпляСтся Π² систСмС, обСспСчивая persistence ΠΌΠ΅Ρ…Π°Π½ΠΈΠ·ΠΌΡ‹.

Registry persistence Scheduled tasks Service installation Rootkit установка
Π—Π°Ρ‰ΠΈΡ‚Π½Ρ‹Π΅ ΠΌΠ΅Ρ€Ρ‹
HIPS ΠœΠΎΠ½ΠΈΡ‚ΠΎΡ€ΠΈΠ½Π³ рССстра File Integrity Monitoring Behavioral analysis
6

Command & Control (C2)

УстановлСниС ΠΊΠ°Π½Π°Π»Π° связи с ΠΊΠΎΠΌΠ°Π½Π΄Π½Ρ‹ΠΌ сСрвСром. Π—Π»ΠΎΡƒΠΌΡ‹ΡˆΠ»Π΅Π½Π½ΠΈΠΊ ΠΏΠΎΠ»ΡƒΡ‡Π°Π΅Ρ‚ ΡƒΠ΄Π°Π»Π΅Π½Π½Ρ‹ΠΉ ΠΊΠΎΠ½Ρ‚Ρ€ΠΎΠ»ΡŒ Π½Π°Π΄ скомпромСтированной систСмой для ΠΏΠ΅Ρ€Π΅Π΄Π°Ρ‡ΠΈ ΠΊΠΎΠΌΠ°Π½Π΄ ΠΈ ΠΊΡ€Π°ΠΆΠΈ Π΄Π°Π½Π½Ρ‹Ρ….

HTTP/HTTPS beaconing DNS tunneling Tor/прокси Ρ†Π΅ΠΏΠΎΡ‡ΠΊΠΈ Π‘ΠΎΡ†ΠΈΠ°Π»ΡŒΠ½Ρ‹Π΅ сСти ΠΊΠ°ΠΊ C2
Π—Π°Ρ‰ΠΈΡ‚Π½Ρ‹Π΅ ΠΌΠ΅Ρ€Ρ‹
Network monitoring DNS Ρ„ΠΈΠ»ΡŒΡ‚Ρ€Π°Ρ†ΠΈΡ Proxy inspection IDS/IPS
7

Actions on Objectives

ДостиТСниС ΠΊΠΎΠ½Π΅Ρ‡Π½Ρ‹Ρ… Ρ†Π΅Π»Π΅ΠΉ Π°Ρ‚Π°ΠΊΠΈ. Π­Ρ‚ΠΎ ΠΌΠΎΠΆΠ΅Ρ‚ Π±Ρ‹Ρ‚ΡŒ ΠΊΡ€Π°ΠΆΠ° Π΄Π°Π½Π½Ρ‹Ρ…, ΡˆΠΈΡ„Ρ€ΠΎΠ²Π°Π½ΠΈΠ΅ Ρ„Π°ΠΉΠ»ΠΎΠ² для Π²Ρ‹ΠΊΡƒΠΏΠ°, Ρ€Π°Π·Ρ€ΡƒΡˆΠ΅Π½ΠΈΠ΅ систСм ΠΈΠ»ΠΈ использованиС рСсурсов для Π΄Π°Π»ΡŒΠ½Π΅ΠΉΡˆΠΈΡ… Π°Ρ‚Π°ΠΊ.

Data exfiltration Ransomware Lateral movement Π Π°Π·Ρ€ΡƒΡˆΠ΅Π½ΠΈΠ΅ Π΄Π°Π½Π½Ρ‹Ρ…
Π—Π°Ρ‰ΠΈΡ‚Π½Ρ‹Π΅ ΠΌΠ΅Ρ€Ρ‹
DLP Backup систСмы Network segmentation Incident Response

ΠšΠ»ΡŽΡ‡Π΅Π²Ρ‹Π΅ ΠΏΡ€ΠΈΠ½Ρ†ΠΈΠΏΡ‹ Kill Chain

Π§Π΅ΠΌ Ρ€Π°Π½ΡŒΡˆΠ΅ ΠΏΡ€Π΅Ρ€Π²Π°Ρ‚ΡŒ Ρ†Π΅ΠΏΠΎΡ‡ΠΊΡƒ, Ρ‚Π΅ΠΌ мСньшС ΡƒΡ‰Π΅Ρ€Π±
Π—Π°Ρ‰ΠΈΡ‚Π° Π΄ΠΎΠ»ΠΆΠ½Π° Π±Ρ‹Ρ‚ΡŒ Π½Π° ΠΊΠ°ΠΆΠ΄ΠΎΠΌ этапС (Defense in Depth)
ΠΡ‚Π°ΠΊΡƒΡŽΡ‰Π΅ΠΌΡƒ Π½ΡƒΠΆΠ½ΠΎ ΠΏΡ€ΠΎΠΉΡ‚ΠΈ всС этапы для успСха
Π—Π°Ρ‰ΠΈΡ‚Π½ΠΈΠΊΡƒ достаточно ΠΎΡΡ‚Π°Π½ΠΎΠ²ΠΈΡ‚ΡŒ Π°Ρ‚Π°ΠΊΡƒ Π½Π° любом этапС