A hackerek elleni küzdelemhez tudnia kell, hogyan működnek. Mit csinálnak valójában?
A legtöbb hack a Lockheed Martin Cyber Kill Chain-t követi, egy olyan intelligencia keretrendszert, amelyet a kibertámadások azonosítására és megelőzésére fejlesztettek ki. A folyamat a potenciális célpontról való információszerzéssel kezdődik, és értékes adatok ellopásával ér véget. Tehát milyen szakaszokon mennek keresztül a kiberbűnözők egy rendszer feltörése során?
A Lockheed Martin Cyber Kill Chain
Bár a folyamatnak vannak változatai, a hackerek általában követik a Lockheed Martin Cyber Kill Chain abban a küldetésben, hogy megtalálják, kit kell feltörni és támadást végrehajtani. A Kill Chain hét lépésből áll.
1. Hacker-kutatási és betakarítási információk
A kibertámadás első lépése a felderítés – vagy a célpont felderítése. Ez általában azt jelenti, hogy nyilvánosan elérhető információkat gyűjtenek egy lehetséges célpontról, beleértve az e-mail címeket, a közösségi média felhasználóneveket és a nyilvános nyilvántartásokat.
Ezt az információt adatszivárogtatásból vagy a morzsolásból szerezhetik meg, ha érdeklődnek egy adott személy iránt. Ez utóbbi esetben kifinomultabb módszerekhez folyamodhatnak, mint a Bluetooth támadás vagy a hálózat elfogása, más néven a Man-in-the-Middle (MITM) támadás. Míg az előbbi megköveteli, hogy a hacker közel legyen a célponthoz, az utóbbi megtehető távolról szoftverrel vagy a helyszínen az áldozat Wi-Fi-jének lehallgatásával.
A végső cél, hogy minél többet megtudjunk többek között a célpontokról, az általuk használt eszközökről, az eszközök operációs rendszeréről és az általuk használt szolgáltatásokról. Az itt szerzett információk segíthetnek nekik megtalálni a sebezhetőséget.
Ezt a szakaszt "fegyverezésnek" nevezik a Cyber Kill Chainben. A potenciális célpontjaikkal kapcsolatos információkkal felvértezve a hackerek összeállítják a kibertámadáshoz szükséges eszközöket. Például rosszindulatú programokat hozhatnak létre és rejthetnek el olyan fájlokban, amelyeket célpontjuk valószínűleg letölt.
Ezt a szakaszt úgy gondolhatja, mint horgászatot. Az édesvízi tóban való horgászathoz szükséges felszerelés különbözik az óceáni horgászathoz szükséges felszereléstől. Valószínűleg te is egy másik hajóval mennél.
3. A hackerek kidobják hálójukat vagy csalijukat
Ezt a szakaszt "szállításnak" nevezik a Kill Chainben. Ez a lépés magában foglalja a célpont becsapását a rosszindulatú program letöltésére – lényegében a rosszfiúk meghívását az erődbe.
Ennek egyik gyakori módja a hackerek, hogy rosszindulatú fájlokat tartalmazó e-maileket küldenek. A szállítási mód a rosszindulatú programot tároló képek is lehetnek, amint azt a hackerek kihasználták James Webb teleszkóp képei rosszindulatú programok terjesztésére. Az SQL injekció egy másik gyakori módja a hackerek rosszindulatú programok szállításának.
A cél mindenesetre az, hogy a célszemély letöltse a rosszindulatú programokat az eszközére. A rosszindulatú program innen veszi át az irányítást: automatikusan kivonja magát és beinjektálja a rendszerbe.
4. A rosszindulatú program kihasználja a rendszer biztonsági rését
A rosszindulatú program átveszi az irányítást, amint a célpont számítógépére került. Bizonyos háttérműveletek, mint pl USB vagy Media Autoplay, kiválthatja a rosszindulatú program automatikus kibontását és futtatását az áldozat eszközén. Ezt a szakaszt "kizsákmányolásnak" nevezik.
5. A rosszindulatú programok azt teszik, amire programozták
A Kill Chain ezen fázisát "telepítésnek" nevezik. Amint a kártevő bekerül a rendszerbe (vagy számítógépes hálózatba), csendben telepíti a háttérben, általában az áldozat tudta nélkül. Aztán elkezdődik keressen sebezhetőséget abban a rendszerben, amely magasabb rendszergazdai jogosultságokat biztosít a hacker számára.
A rosszindulatú program egy parancs- és vezérlőrendszert is létrehoz a hackerrel. Ez a rendszer lehetővé teszi a hacker számára, hogy rendszeres állapotfrissítéseket kapjon a feltörés előrehaladásáról. Hogy a perspektívába helyezzük, képzelje el a parancsnoki és irányítási rendszert magas rangú katonatisztként, aki valójában kém. A kém pozíciója olyan helyre teszi őket, ahol hozzáférhetnek kényes katonai titkokhoz. Ez az állapot felkészíti őket arra is, hogy gyanú nélkül gyűjtsenek és küldjenek el lopott hírszerzési információkat.
6. A hackerek kémrendszere átveszi az irányítást és bővül
A rosszindulatú program ebben a szakaszban számos dolgot megtesz annak érdekében, hogy létrehozza parancsnoki és vezérlőrendszerét, amely szintén a Kill Chain hatodik szakaszának névadója. Általában továbbra is keresi a rendszert a sebezhetőségekért. Létrehozni is tud hátsó ajtók, amelyeket a hackerek használhatnak belépni a rendszerbe, ha az áldozat felfedezi a belépési pontot.
Emellett a rendszer a feltört eszközökhöz csatlakoztatott egyéb eszközöket is megkeresi, és azokat is megfertőzi. Olyan ez, mint amikor az irodában mindenki megfázik. Ha eltelik elég idő, senki sem emlékszik, hogy pontosan ki kezdte.
7. Kifosztani, elpusztítani, kijutni
A tényleges hackelési folyamat utolsó szakaszában a kiberbűnözők fokozott ellenőrzést gyakorolnak a az áldozat eszköze érzékeny adatok, például bejelentkezési adatok, hitelkártyaadatok vagy üzleti adatokat tartalmazó fájlok ellopására titkok. A hacker megsemmisítheti a rendszeren lévő fájlokat is, ami különösen veszélyes, ha az áldozatnak nincs biztonsági másolata az ellopott és megsemmisült adatokról.
Mi történik általában egy hack után?
Azokban az esetekben, amikor egy hacker ellopta a támadást, előfordulhat, hogy az áldozat nem veszi észre, így a hacker folyamatosan anyagot kap. Másrészt, ha az áldozat rájön, hogy feltörték, eltávolíthatja a rosszindulatú programot, és bezárhatja a megtalált hátsó ajtókat.
Egyes szervezetek a biztonság kedvéért megsemmisítik a feltört eszközöket. Elkezdik semlegesíteni a hack hatását is. Például, ha egy hacker feltöri egy bank hálózatát, és ellopja a hitelkártyaadatokat, a bank azonnal deaktiválja az összes feltört kártyát.
Eközben a hackerek számára a sikeres hack fizetésnapot jelent. Váltságdíjat követelhetnek az áldozattól, amelyet általában követhetetlen fizetési módokon fizetnek ki. Egy másik lehetőség az ellopott adatok eladása más kiberbűnözőknek, akik esetleg felhasználást találnak rájuk; mondani, ellopni valaki személyazonosságát, lemásolják üzleti modelljüket, vagy kalóztulajdonos szoftvereket.
Megakadályozhatja a hackelési kísérleteket
A hackerek számos módszert alkalmaznak a potenciális áldozatok megtalálására. Ezek egy része passzív és egyszerű, míg mások aktívak és kifinomultak. De ne ess pánikba. A biztonságos online gyakorlatok és az online megosztott információk korlátozása megakadályozhatja, hogy célponttá váljon. Ezenkívül a bevált kiberbiztonsági gyakorlatok és eszközök, például a VPN-ek és a rosszindulatú programok elleni védelem megvédhetik Önt a támadásoktól.