Försvar Offensivt Underrättelser

Modell för Cyberangrepp: Cyber Kill Chain - Från Spaning till Intrång

Thursday, June 15, 2017

OffensivtFörsvarAnalysIntroduktion

Christoffer Strömblad

Entusiastisk Jedi inom Cybersäkerhet
 cstromblad @nopatience blog@x90.se

Inledning

Den här artikeln handlar om cyberattacker och hur dessa strukturellt kan beskrivas med hjälp av något som heter cyber kill chain. Modellen består av sju separata steg som hjälper oss att visualisera och analysera ett i huvudsak riktat cyberangrepp. Modellen är ett verktyg som vi kan använda för att utvärdera existerande eller planerade säkerhetsåtgärder utifrån förståelsen för hur ett cyberangrepp genomförs.

Artikeln riktar sig i huvudsak till informations- och it-säkerhetschefer samt it-säkerhetsspecialister.

Kort historik om “kill chain”

Kill chain är ett begrepp som troligtvis kan härledas till amerikanska militärens användande av drönare och den process som används för att godkänna ett angrepp. Militären agerar utifrån en kill list där valet av ett mål behöver gå igenom en kedja av godkännanden, chain of command, som slutligen når presidenten. Dessa två begrepp har således länkats samman för att bilda begreppet kill chain1.

Kill chain anpassas till cyberområdet

Cyber kill chain är en anpassning av kill chain och gjordes av Lockheed Martin.2 I modellen beskriver Lockheed Martin sju sekventiella steg som en angripare behöver gå igenom för att lyckas med ett angrepp.

Från angriparens perspektiv

Angriparens arbete går att modellera som en stegvis process. Samtliga steg i processen är nödvändiga för att angriparen ska lyckas med angreppet. Modellen består av sju steg: spaning- och insamlingsfas, attackförberedelser, distribution, utnyttja sårbarhet, installation, command and control och agerande utifrån målsättning[note]Ibid.[/note].

1. Spaning- och insamlingsfas

Angriparen behöver först och främst samla in information om målet för att kunna göra en bedömning om vilka verktyg, metoder som kan vara lämpliga att använda. Information och data samlas in från publika källor som beskriver företagets organisation, personal och intressen, nätverkstopologi osv. Information kan inhämtas dels passivt utan att “röra” din organisation (öppna källor) och dels genom aktiv inhämtning från exempelvis er hemsida.

2. Attackförberedelser (eng. weaponization)

E-postadresser och hemsidor förbereds med riktade texter, dokument och länkar skapas med skadlig kod. Allt i intresse av att locka en eller flera anställda att besöka, öppna eller på annat sätt interagera med information som angriparen tillhandahåller. Angriparen försöker på alla sätt och vis vilseleda användaren för att uppnå sina mål.

3. Distribution

Efter initiala förberedelser är det dags för angriparen att påbörja intrånget. Angriparen kan distribuera den skadliga koden genom att exempelvis skicka e-post till utvalda anställda eller angripa en hemsida som de anställda sannolikt kommer besöka.

4. Utnyttja sårbarhet

Hemsidan med skadlig kod, eller dokumentet med skadlig kod behöver på något sätt exekveras och vanligtvis är det nödvändigt med användarens interaktion. I detta steg är det särskilt viktigt för angriparen att på ett trovärdigt sätt lyckas vilseleda användaren om att den verklighet som angriparen presenterar är den riktiga. Detta lyckas nästan alltid[note]Aldert Vrij, 2011, Detecting Lies and Deceit: Pitfalls and Opportunities (Wiley Series in Psychology of Crime, Policing and Law) 2nd ed., Wiley[/note]. Det är t.o.m så illa att det nästan är slump (57%) om huruvida vi identifierar något som en vilseledning eller inte.

5. Installation

I det här skedet installerar angriparen någon form av bakdörr för att kunna återvända och fortsättningsvis använda det angripna systemet. Detta kan vidare innebära att fler sårbarheter utnyttjas för att erhålla exempelvis administrativa rättigheter.

6. Central styrning

När ett system komprometterats kommer den installerade bakdörren vanligtvis behöva kommunicera med en central styrnod genom vilken angriparen kan instruera bakdörren om vad som ska göras. Det kan handla om att ladda ner nya moduler för att exfiltrera information, angripa andra system osv.

7. Agera utifrån målsättning

Detta är det slutgiltiga steget i angreppet och vad som sker här beror helt på angriparens målsättning. Kanske handlar det om att exfiltrera information, angripa andra system, manipulera information.

Bryt kedjan för att hindra angriparen

Genom att studera och analysera varje steg individuellt kan vi får en bättre förståelse för vilka typer av åtgärder som kan vara nödvändiga att införa. Lyckas vi bryta, eller på annat sätt fördröja, ett av stegen i kedjan har vi hindrat angriparen från att fortsätta intrånget.

Vilka åtgärder vi väljer avgörs utifrån angriparens motivation, metoder, tekniker och verktyg. Modellen kan inte besvara den frågan utan ger oss endast verktygen för att analysera och bättre förstå vilka åtgärder som kan vara effektiva i vilka sammanhang.

Övergripande försvarsinriktningar

Vid ett eventuellt intrång kan vi använda oss utav sex försvarsmålsättningar som avser: upptäcka, neka, störa, degradera, vilseleda eller begränsa.

  • Upptäckt betyder helt enkelt att vi upptäcker att en angripare tassar runt i vår omgivning.
  • Neka en angripare från att erhålla information. Exempelvis neka anslutning till vårt nätverk.
  • Störa en angripares kommunikation genom att stoppa eller ändra utgående trafik.
  • Degradera genom att angripa angriparens command and control infrastruktur.
  • Vilseleda genom att tillhandahålla en alternativ verklighet till angriparen. Tänk honeypots, honeynets etc.
  • Begränsa angriparen genom att segmentera berörda system/slutmål.

Sammanfattning

Detta var en övergripande beskrivning av modellen cyber kill chain. Modellen är ett av många redskap vi som försvarare har till vårt förfogande för att kunna analysera olika aspekter av ett cyberangrepp. I framtida artiklar får vi lov att utforska de olika stegen i mer detalj och exempelvis utforska hur vi:

  • På bästa sätt kan planera och införa säkerhetsåtgärder utifrån de olika stegens inriktningar,
  • Välja försvarsinriktning utifrån vår övergripande strategi för cyberförsvar.

Om det är något särskilt område som tilltalar hör av dig!

Referenser

  1. The Intercept, 2015, The Drone Papers, Online: https://theintercept.com/drone-papers/the-kill-chain/ Hämtat: 2017-06-15 ↩︎

  2. Lockheed Martin, 2010, Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains, Online: http://www.lockheedmartin.com/content/dam/lockheed/data/corporate/documents/LM-White-Paper-Intel-Driven-Defense.pdf , Hämtad: 2017-06-13 ↩︎

OffensivtFörsvarAnalysIntroduktion

Christoffer Strömblad

Entusiastisk Jedi inom Cybersäkerhet
 cstromblad @nopatience blog@x90.se

Har du läst dom här?

Från hypotes till underrättelse

Risker i Sveriges finansiella infrastruktur, Riksbanken pekar åt alla håll