[CEH Tiếng Việt] Module 1 – Phần 2: Giới thiệu về Cyber Kill Chain

Bài viết này nằm trong chuỗi series CEH Tiếng Việt. Các bạn có thể xem toàn bộ tại đây.

Bài trước chúng ta đã tìm hiểu về những yếu tố của an toàn thông tin và giới thiệu một số loại tấn công phổ biến. Bài hôm nay để tiếp nối Module 1: Introduction to Ethical Hacking, mình sẽ trình bày về khái niệm Cyber Kill Chain Methodology.

Cyber Kill Chain – CEH Tiếng Việt

Vậy Cyber Kill Chain là gì? Cyber Kill Chain là một chuỗi các bước theo dõi những giai đoạn của một cuộc tấn công mạng, tính từ giai đoạn thu thập thông tin cho đến khi thực hiện đánh cắp dữ liệu. Nó cung cấp cái nhìn sâu sắc hơn về các giai đoạn tấn công, giúp các chuyên gia bảo mật hiểu trước các chiến thuật, kỹ thuật và quy trình của đối thủ.

Reconnaissance (Trinh sát)

Attacker thực hiện trinh sát để thu thập càng nhiều thông tin về mục tiêu càng tốt để thăm dò các điểm yếu trước khi tấn công. Họ tìm kiếm thông tin công khai trên Internet, thông tin về mạng, thông tin hệ thống và thông tin tổ chức của mục tiêu. Bằng cách tiến hành trinh sát trên các cấp độ mạng khác nhau, attacker có thể thu được thông tin như các lớp mạng, IP, thông tin về nhân sự, …

Attacker có thể sử dụng các công cụ tự động để dò quét các cổng và dịch vụ đang mở, các lỗ hổng trong ứng dụng và thông tin đăng nhập, để lấy thông tin. Thông tin như vậy có thể giúp attacker trong việc truy cập backdoor vào mạng mục tiêu.

Các hoạt động của attacker bao gồm:

• Thu thập thông tin về tổ chức mục tiêu bằng cách tìm kiếm trên Internet hoặc thông qua các mạng xã hội các phương tiện truyền thông.
• Thực hiện phân tích các hoạt động trực tuyến, các thông tin công khai.
• Thu thập thông tin từ các trang mạng xã hội, dịch vụ web.
• Lấy thông tin về các trang web đã truy cập.
• Giám sát và phân tích trang web.
• Thực hiện Whois, DNS và theo vết (footprinting) mạng.
• Thực hiện quét để xác định các cổng và dịch vụ đang mở.

Weaponization (Vũ khí hoá)

Attacker phân tích dữ liệu thu thập được trong giai đoạn trước để xác định các lỗ hổng và kỹ thuật có thể khai thác và tiến hành truy cập trái phép vào hệ thống.

Dựa trên các lỗ hổng được xác định trong quá trình phân tích, attacker có thể nhắm mục tiêu vào các thiết bị mạng, hệ điều hành, thiết bị đầu cuối hoặc thậm chí các thành viên trong tổ chức để thực hiện tấn công. Ví dụ attacker có thể gửi email lừa đảo đến nhân viên, email đó bao gồm mã độc. Khi được tải xuống, attacker sẽ cài đặt một backdoor trên máy tính để cho phép truy cập từ xa.

Các hoạt động của attacker:

• Xác định phần mềm độc hại thích hợp dựa trên phân tích.
• Tạo mã độc hoặc payload độc hại dựa trên lỗ hổng đã xác định.
• Gửi email lừa đảo
• Tận dụng bộ công cụ khai thác và mạng lưới botnet.

Delivery

Delivery là một giai đoạn quan trọng đo lường hiệu quả của các chiến lược phòng thủ để xem attacker có bị chặn lại khi thực hiện tấn công hay không.

• Gửi email lừa đảo đến nhân viên.
• Phát tán USB có chứa dữ liệu độc hại cho nhân viên.
• Triển khai các công cụ tấn công khác nhau chống lại hệ điều hành, ứng dụng và server của tổ chức mục tiêu.

Exploitation (Khai thác)

Ở giai đoạn này, tổ chức bị tấn công có thể chịu các cuộc tấn công xác thực, ủy quyền, thực thi mã (code execution), các mối đe dọa bảo mật vật lý, …

Trong giai đoạn này hacker khai thác lỗ hổng phần mềm hoặc phần cứng để truy cập từ xa vào hệ thống đích.

Installation (Cài đặt)

Attacker lúc này sẽ cài thêm phần mềm độc hại trên hệ thống để duy trì quyền truy cập trong thời gian dài (hay gọi là backdoor). Sau khi inject mã độc, attacker có thể lây lan sang các hệ thống đầu cuối khác trong mạng. Ngoài ra, attacker còn che giấu các mã độc đó bằng các kĩ thuật như mã hoá để tránh các giải pháp bảo mật của hệ thống.

Những hoạt động của attacker:

• Tải xuống và cài phần mềm độc hại chẳng hạn như backdoor.
• Có được quyền truy cập từ xa vào hệ thống.
• Tận dụng các phương pháp khác nhau để giữ cho backdoor ẩn và hoạt động.
• Duy trì quyền truy cập vào hệ thống mục tiêu.

Command and Control (Thực thi lệnh và kiểm soát)

Attacker tạo ra một kênh điều khiển, kênh này thiết lập giao tiếp hai chiều giữa hệ thống của nạn nhân và server do attacker soát để giao tiếp và truyền dữ liệu qua lại.

Attacker thực hiện các kỹ thuật như mã hóa để che giấu các kênh như vậy. Khi sử dụng kênh này, attacker sẽ khai thác từ xa trên hệ thống hoặc mạng của mục tiêu.

Những hoạt động của attacker:

• Thiết lập kênh giao tiếp hai chiều giữa hệ thống của nạn nhân và server do attacker soát.
• Tận dụng các kênh như truy cập web, email và DNS.
• Áp dụng các kỹ thuật leo thang đặc quyền.
• Che giấu bằng cách sử dụng các kỹ thuật như mã hóa.

Actions on objectives (Hành động lên mục tiêu)

Attacker điều khiển hệ thống của nạn nhân theo kết nối từ xa, giành được quyền truy cập vào dữ liệu, làm gián đoạn dịch vụ bằng cách truy cập vào mạng và xâm nhập nhiều hệ thống hơn.

TTPs (Tactics, Techniques and Procedures)

Thuật ngữ TTPs đề cập đến các mô hình hoạt động và phương pháp liên quan đến các tác nhân hoặc nhóm tác nhân đe dọa cụ thể.

TTP rất hữu ích trong việc phân tích các mối đe dọa, thống kê các tác nhân đe dọa. Từ “tactics” (chiến thuật) được định nghĩa như một kim chỉ nam mô tả cách kẻ tấn công thực hiện cuộc tấn công từ đầu đến cuối. Từ “techniques” (kỹ thuật) được định nghĩa là các phương pháp kỹ thuật được kẻ tấn công sử dụng để đạt được kết quả. Cuối cùng, từ “procedures” (thủ tục) là cách tiếp cận tổ chức theo sau các tác nhân đe dọa để khởi động cuộc tấn công.

Để hiểu và phòng thủ trước các tác nhân đe dọa, điều quan trọng là phải hiểu các TTP mà attacker sử dụng. Hiểu được các chiến thuật của attacker giúp dự đoán và phát hiện các mối đe dọa đang phát triển trong giai đoạn đầu. Hiểu được các kỹ thuật giúp xác định các lỗ hổng và thực hiện các biện pháp phòng thủ trước. Cuối cùng, phân tích các thủ tục giúp xác định được attacker đang tìm gì trong cơ sở hạ tầng của mục tiêu.

Các tổ chức cần hiểu các TTP để bảo vệ hạ tầng trước các tác nhân đe dọa và các cuộc tấn công có thể sắp diễn ra. TTP cho phép các tổ chức ngăn chặn các cuộc tấn công ở giai đoạn đầu, do đó bảo vệ mạng khỏi những thiệt hại lớn.

Nhận dạng hành vi của attacker

Nhận dạng hành vi của attacker liên quan đến việc xác định các phương pháp hoặc kỹ thuật phổ biến thực hiện bởi chúng để tấn công nhằm xâm nhập vào mạng của tổ chức. Nó cung cấp cho các chuyên gia bảo mật cái nhìn sâu sắc về các mối đe dọa và khai thác có thể sắp diễn ra. Nó giúp lập kế hoạch cho cơ sở hạ tầng an ninh mạng và điều chỉnh các quy trình bảo mật.

Dưới đây là một số hành vi của attacker có thể được sử dụng:

• Dò quét nội bộ – Internal Reconnaissance: một khi attacker đã ở bên trong mạng lưới mục tiêu, chúng sẽ thực hiện dò quét nội bộ. Ta có thể giám sát các hoạt động của attacker bằng cách kiểm tra các lệnh bất thường được thực thi trong terminal và bằng cách sử dụng các công cụ bắt gói tin.
• Sử dụng PowerShell: powerShell có thể được sử dụng để tự động hóa quá trình filter dữ liệu và khởi động tấn công khác. Ta cần kiểm tra lịch sử của PowerShell các event Windows.
• Sử dụng CLI
• HTTP User Agent: trong giao tiếp web, server xác định client được kết nối bằng cách sử dụng User Agent. Attacker sửa đổi nội dung của User Agent để giao tiếp với hệ thống bị xâm nhập. Do đó, ta có thể xác định cuộc tấn công này ở giai đoạn đầu bằng cách kiểm tra nội dung của trường User Agent.
• Command and Control Server: cần xác định, theo dõi lưu lượng mạng để tìm các kết nối ra ngoài, các cổng mở không mong muốn và các điểm bất thường khác.
• Sử dụng DNS Tunneling: attacker sử dụng DNS tunneling để làm xáo trộn lưu lượng độc hại trong các giao thức phổ biến được sử dụng trong mạng. Sử dụng DNS tunneling, attacker cũng có thể giao tiếp với máy chủ C&C, vượt qua các kiểm soát bảo mật và thực hiện lọc dữ liệu. Các chuyên gia bảo mật có thể xác định đường hầm DNS bằng cách phân tích các yêu cầu DNS độc hại, DNS payload, các domain không xác định và đích của các DNS request.
• Sử dụng Web Shell: sử dụng web shell để thao túng web server bằng cách tạo shell trong một trang web; từ đó attacker truy cập từ xa vào server. Attacker còn thực hiện nhiều tác vụ khác nhau như data filter, upload và download file. Ta có thể phát hiện bằng cách phân tích quyền truy cập trên server, log error, các chuỗi lạ, User-Agent và thông qua các phương pháp khác.
• Data Staging: sau khi xâm nhập thành công vào mạng của mục tiêu, attacker thu thập và kết nối càng nhiều dữ liệu càng tốt. Các loại dữ liệu mà attacker thu thập bao gồm dữ liệu về nhân viên, khách hàng, chiến thuật kinh doanh, cơ sở hạ tầng mạng. Cần giám sát lưu lượng mạng để tránh truyền nhận file trái phép, giám sát tính toàn vẹn của file và giám sát log thường xuyên.

IoCs (Indicators of Compromise)

Các mối đe dọa mạng liên tục phát triển với các TTPs mới hơn trên các lỗ hổng của tổ chức mục tiêu. Các chuyên gia bảo mật phải thực hiện giám sát liên tục để phát hiện và ứng phó một cách hiệu quả và hiệu quả với các mối đe dọa mạng đang phát triển.

IoCs là manh mối, hiện vật và các mẫu dữ liệu pháp y được tìm thấy trên mạng hoặc hệ điều hành của một tổ chức cho thấy có khả năng xâm nhập hoặc hoạt động độc hại trong cơ sở hạ tầng của tổ chức đó. Các loC hoạt động như một nguồn thông tin tốt về các mối đe dọa đóng vai trò quan trọng trong quy trình tình báo.

Thông tin tình báo về mối đe dọa có thể thực hiện được trích xuất từ ​​các loC giúp các tổ chức nâng cao các chiến lược xử lý sự cố. Các chuyên gia an ninh mạng sử dụng các công cụ tự động khác nhau để giám sát các loC nhằm phát hiện và ngăn chặn các vi phạm bảo mật khác nhau đối với tổ chức.

Giám sát các loC cũng giúp các nhóm bảo mật tăng cường các chính sách và kiểm soát bảo mật của tổ chức để phát hiện và chặn traffic đáng ngờ nhằm ngăn chặn các cuộc tấn công tiếp theo có thể xảy ra.

Để khắc phục các mối đe dọa liên quan đến loC, một số tổ chức như STIX và TAXII đã phát triển các report chứa dữ liệu cô đọng liên quan đến các cuộc tấn công và chia sẻ để cùng nhau ứng phó sự cố.

Phân loại IoCs:

• Email Indicators
• Network Indicators
• Host-Based Indicators
• Behavior Indicators

Vậy là trong bài viết này mình đã giới thiệu cho các bạn rất nhiều khái niệm liên quan đến Cyber Kill Chain Concepts. Bài viết sau chúng ta sẽ tìm hiểu tiếp về Hacking Concepts cũng là một phần kiến thức trong Module 1: Introduction to Ethical Hacking.