برای دفاع از هر سامانه ای در برابر حملات سایبری، درک فرآیند کلی که مهاجم برای دستیابی به اهداف خود انجام می دهد از اهمیت بالایی برخوردار است. اصطلاح «زنجیره کشتار[۱]» از اصطلاحات نظامی است که توسط شرکت لاکهید مارتین در سال ۲۰۱۰  بوجود آمد. منتخصصان این شرکت(Hutchins و همکاران) در سال ۲۰۱۱ به صورت رسمی با انتشار مقاله ای در ششمین کنفرانس بین المللی جنگ و امنیت اطلاعات(ICIW 11)، زنجیره کشتار مهاجم سایبری را بر سر زبان ها انداختند.

برای نگاشت فعالیت های مهاجم نویسندگان مقاله عنصری را برای جمع آوری هوشمند اطلاعات بنام نشانگر(Indicator)  معرفی کردند. نشانگر به سه نوع تقسیم می شود:

  • اتمیک(atomic): اطلاعاتی پیرامون نفوذ یا مهاجم هستند که به واحد کوچکتر قابل تقسیم نیستند. نمونه ای از این نشانگرها آدرس های IP، ایمیل و نام های DNS هستند.
  • محاسبه شده(Computed): نشانگرهای محاسبه شده نمایش دیجیتالی از داده مرتبط با نفوذ یا الگوهای شناسایی شده با عبارات منظم(IR) هستند. نمونه هایی از این نشانگرها عبارتند از فایل های هش، عبارات منظم استفاده شده روی سامانه تشخیص نفوذ(IDS)
  • رفتاری(Behavioral): نشانگرهای رفتاری ترکیبی از نشانگرهای محاسبه شده و اتمیک هستند که با استفاده از نوعی منطق، خلاصه ای از ابزارها و شیوه های مورد استفاده توسط مهاجم را بیان می کنند. مثالی از این نشانگر می تواند گزارشی با این عبارت باشد: «فرد بزهکاری قصد دارد از آدرس های IP شرکت x برای ارسال ایمیل و هدف قراردادن تامین کنندگان و نمایندگان فروش شرکت، با استفاده از اسناد word آلوده به تروجان، استفاده نماید. وی در اهداف درب پشتی هایی قرار می دهد که امکان ارتباط با یک مرکز کنترل و فرماندهی در آدرس A.B.C.D را میدهد». در این مثال ترکیبی از نشانگرهای محاسبه(موقعیت جغرافیایی آدرس IP، کد هش سند Word ضمیمه شده در ایمیل)، رفتاری(تامین کنندگان و نمایندگان فروش) و اتمیک(آدرس سرور A.B.C.D) دیده می شود.

این شیوه نگاشت گام های فعالیت مهاجم، بر اساس دکترین اطلاعات عملیات وزرات دفاع ایالات متحده امریکا بوجود آمده است. این فرآیند روشمند سال ها در استراتژی نیروی دریایی این کشور مورد استفاده بوده است. زنجیره کشتار در حوزه نظامی به صورت زیر تعریف می شود:

یک فرآیند سیستماتیک برای رهگیری و به دام انداختن مهاجم جهت دستیابی به نتایج مطلوب

براساس دکترین نظامی گام ها یا مراحل زنجیره کشتار را یافتن(Find)، ثابت کردن/تعیین موقعیت(Fix)، رهگیری(Track)، هدف گیری(Target)، درگیری (Engage) و ارزیابی(Assess) تعریف می کند(F2T2EA)

علت انتخاب نام زنجیره آن است که این عمل یک فرآیند انتها-به-انتها است و شکست در هر نقطه از زنجیره موجب قطع فرآیند می شود.

نویسندگان مقاله یک مدل زنجیره کشتار ۷ مرحله ای برای تشریح روش شناسی مهاجمان سایبری معرفی کردند. این هفت گام عبارتند از:

  • شناسایی-Reconnaissance
  • مسلح سازی- Weaponisation
  • انتقال-Delivery
  • اکسپلویت کردن-Exploitation
  • نصب-Installation
  • فرماندهی و کنترل-Command and control
  • اجرای اهداف- Actions on objectives

تصویر زیر هر یک از این مراحل به همراه فعالیت های مهاجم در هر فاز را تشریح می کند.

  • شناسایی: این فاز شامل تحقیق، شناسایی و انتخاب اهداف است. مهاجم اغلب فعالیت هایی نظیر جستجوی وب سایت های اینترنتی، بررسی رویدادها و کنفرانس های عملی و تجاری، جمع آوری فهرست ایمیل ها، شناسایی ارتباطات اجتماعی یا گردآوری اطلاعات مرتبط با فناوری های خاص را انجام می دهد.
  • مسلح سازی: در این مرحه مهاجم اغلب به کمک ابزارخودکار(weaponizer)، یک تروجان دسترسی راه دور به یک کد مخرب(Exploit) الحاق نموده و یک پیلود قابل انتقال به هدف آماده می کند. فایل های برنامه های کاربردی کاربر مانند اسناد مایکروسافت word و pdf گزینه های مناسبی برای ایجاد این فایل های مخرب قابل انتقال هستند.
  • انتقال/تحویل: انتقال سلاح(کد مخرب) به محیط هدف با استفاده از بردارهای حمله ای نظیر ضمیمه ایمیل، وب سایت ها، و رسانه های قابل حمل USB صورت می پذیرد.
  • اکسپلویت: پس از تحویل کد مخرب به میزبان قربانی، اسکپلویت بر روی هدف اجرا و کد مهاجم بر روی قربانی فعال می شود. در اغلب موارد یک آسیب پذری موجود در یک برنامه کاربردی یا سیستم عامل، مورد سوء استفاده و اکسپلویت قرار می گیرد، اما در برخی موارد به سادگی خود کاربر مورد نفوذ قرار گرفته یا از یک ویژگی درون سیستم عامل برای اجرای کد مهاجم استفاده می شود.
  • نصب: در این گام مهاجم با نصب تروجان کنترل دسترسی راه دور یا درب پشتی بر روی سیستم قربانی، امکان نگهداری دسترسی به هدف را فراهم می کند.
  • فرماندهی و کنترل: اغلب میزبان های موردنفوذ قرار گرفته اقدام به برقراری ارتباط با یک سرورکنترل کننده خارجی برای برقراری ارتباط با مرکز فرماندهی و کنترل راه اندازی شده توسط مهاجم می کنند.
  • اجرای اهداف: پس از طی شدن شش مرحله قبل، مهاجم قادر به انجام اقدامات بر روی هدف برای دستیابی به اهداف دلخواه خود خواهد بود. برخی از اهداف مهاجم در این مرحله بیرون کشیدن اطلاعات، استفاده از سیستم تسخیر شده برای نفوذ به دیگر سیستم ها و شناسایی شبکه ها و اهداف آینده برای توسعه حملات بعدی است.

در مقابل گام های نفوذ مهاجم در زنجیره کشتار، مدافعان امنیتی نیز گزینه هایی برای اقدام متقابل در اختیار دارند، این اقدامات دفاعی در قالب  ماتریس اقدامات متقابل(Course of action) بیان می شوند. این ماتریس شیوه های دفاع در برابر گام های مهاجمان را در مراحلی بنام شناسایی(detect)، انکار/انسداد(Deny)، اختلال(disrupt)، تضعیف(degrade)، فریب(deceive) و تخریب(destroy) نگاشت می کند(این گام ها نیز از حوزه اطلاعات-عملیات نظامی آمده اند). هدف این ماتریس ایجاد طرحی برای کاهش قابلیت های مهاجم در انجام مراحل حمله یا به عبارت دیگر اختلال/شکستن زنجیره نفوذ مهاجم است. تصویر زیر ماتریس اقدامات متقابل را نشان می دهد. در این جدول فناوری ها و ابزارهایی که در هر گام حمله مهاجم برای دفاع از شبکه وجود دارد، آورده شده است.

مدل زنجیره کشتار شیوه ای جدید برای مقابله با مهاجمان است. در این مدل به جای استفاده از شیوه های سنتی پس کنشانه(reactive)، بر روی سامانه های پیش کنشانه(proactive) و هوشمندی اطلاعاتی بدست آمده از نشانگرهای تهدید در حین اجرای فعالیت های مهاجم، تمرکز می شود. به صورت عادی فرآیند پاسخگویی به حوادث پس از فاز اکسپلویت شروع می شود. این باعث نا کارآمد شدن دفاع می شود. با این روش مدافعان قادرند اقدامات و تحلیل خود را بر روی زنجیر کشتار متمرکز کرده و در فعالیت های مهاجم اختلال ایجاد کنند. همچنین این مدل به جای تمرکز بر روی مولفه آسیب پذیری در کاهش ریسک، بر روی تهدید تمرکز می کند.

 

[۱] kill chain


مهدی صیاد

دانش آموخته کارشناسی ارشد کامپیوتر هستم. بیش از 7 سال در حوزه های مختلف امنیت سایبری ازجمله ارزیابی امنیت، آزمون نفوذ، کشف تهدیدات سایبری و امنیت سامانه های کنترل صنعتی فعالیت دارم. در اینجا از شکار تهدیدات سایبری و تحلیل امنیتی براتون خواهم نوشت.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *