איך לבצע מתקפה (הקדמה)

דצמבר 16, 2017

תגיות: , ,
אין תגובות

כמה זמן לוקח לתוקף לחדור למערכת, לגנוב זהויות ולשוטט ברשת הארגונית עד שאחת המערכות תזהה אותו ואת המתקפה? ימים, שעות, דקות…
לפי הדוחות השונים של חברות אבטחת המידע לשנת 2016 לקח לארגונים לפחות 197 יום בכדי לזהות מתקפה כלשהיא ובמקרה קיצון מדובר על כמה חודשים.
קמפיין של מתקפת סייבר בין אם מושקע או לא כולל מאפיינים דומים של מיפוי הארגון, חדירה לארגון, שיטוט ברשת והוצאת המידעץ במקרים מוצלחים של מתקפה התוקף יוכל לטשטש את עקבותיו ולא נוכל לדעת מה התרחש בדיוק ולעיתים התוקף לא יטשטש את עקבותיו ונוכל לדעת מה תרחש בארגון אבל בשני המקרים לא נוכל לדעת מי היה ומהיכן הגיע בדיוק.

שלב ראשון של גישה אל משתמשים בעלי הרשאות גבוהות (Recon, Infilitration,Dominance)

  • מיפוי חיצוני של הסביבה (מי הארגון, שרתים שעמם עובדים, דרכי התחברות, תשתית דואר ועוד)

  • פריצה אל הארגון באמצעות מתקפה כלשהיא ועל סמך המיפוי החיצוני, למשל באמצעות פישינג

  • מיפוי פנימי של הארגון (מי שרתי AD, איך בנויה הרשת הארגונית, חברים קבוצות וכן הלאה)

  • לאחר מכן תתבצע גניבת זהויות מקומית ומול משתמשים נוספים ברשת

  • בשלב מתקדם של התהליך התוקף יוכל לקחת פרטי זהות של משתמש בכיר עד להשתלטות מול משתמש בעל הרשאות גבוהות כדוגמת Domain Admin

בסיום השלב הנוכחי בתהליך לתוקף יהיו הרשאות גבוהות ועל מנת שקמפיין יהיה מוצלח ככל הנאה התוקף ידאג לא להסתמך רק על פרטי הזדהות בודדים בכדי שלא יהיה מצב שבהחלפת סיסמא התוקף יצטרך לבצע את כל התהליך שוב מהתחלה.

Image result for attack kill chain

שלב שני – מיפוי נכסים חשובים ושליחת המידע מחוץ לארגון
בשלב שני של התהליך ולאחר שלתוקף יש את כל הפרטים החשובים יתבצע תהליך של חיפוש הנכסים החשובים בארגון ושליחת כל אותו מידע רגיש אל מחוץ לארגון (Asset, exfilitration)

  • מיפוי נכסים חשובים של הארגון ותלוי בהתאם לאופי הארגון (לרוב התוקף יידע מי הארגון ויחפש מידע בעל ערך)

  • גישה וחדירה אל הנכסים חשובים בארגון

  • שליחת כל אותו מידע רגיש אל שרתי התוקף
    *לצורך הענין מידע רגיש יכול להיות כרטיסי אשראי שנמכרים כל אחד ב15 דולר או פטנט של תאגידיםץ

בשלב זה הקמפיין התסיים והתוקף הצליח בקמפיין והציא מידע רגיש מתוך הארגון.

Related image

חשוב מאד להבין את מודל Attack Kill Chain שכן הוא מסביר איך מתרחשת מתקפה ואי עובד קמפיין מאחורי הקלעים, בפועל לאחר infilitration לארגון מתבצע שלב גניבת הזהויות של משתמשים לצורך גישה אל משתמש בעל הרשאות.
בחלק הבא נראה איך תוקף שכבר נמצא בארגון יכול להתחקות אחר פעולות משתמשים ובצורה מאד שקטה מגיע אל משתמש בעל הרשאות.
*חשוב להדגיש כי תקיפה בתוך הארגון יכולה להיות עם כלים מובנים או כלים צד שלישי, בסנריו הבא נעבוד עם מספר כלים כאשר חלקם כלים חיצוניים. הסנריו מתאר תקיפה אשר משלבת Pass-The-Ticket, Laterl Movement, Domain Dominance.
התקיפה המתוארת כאן באה להמחיש איך ניתן לתקוף בתוך הארגון וישנם סוגי מתקפות נוספים שניתן לבצע.

איך לבצע מתקפה וטיפים נוספים במאמר הבא

מידע נוסף במאמר הבא מתקפות, סימולציות ודרכי הגנה (מאמר 1/5)

הוסף תגובה
facebook linkedin twitter email

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *