KTƏM – Cyber Kill Chain modeli

1.2.3.1 Cyber Kill Chain

“Kill Chain” və ya Ölüm Zənciri, əslində hərbi termin olaraq meydana çıxıbdır və hərbi sistem tərəfindən hədəfli hücumun mərhələlərini müəyyənləşdirmək üçün istifadə edilir. Lockheed Martin firması, Cyber Kill Chain modelini, hədəfli hücumları (və ya APT-ləri) analiz etmək məqsədilə uyğunlaşdıraraq sonradan yaratmışdır. Son illərdə sıx olaraq istifadə olunan bu modeldə hədəfli kiber hücumların Kəşf, Silahlanma, Ötürmə, İstismar etmə, Əmr Nəzarət və Hərəkətə Keçmə olaraq izah edilən 7 addımda həyata keçdiyi görünməkdədir.

Şəkil 6. Cyber Kill Chain, www.lockheedmartin.com

Bu addımların hər biri digərilə əlaqəlidir, bir addım həyata keçməmiş digərinə keçilməz, bu səbəblə zəncir olaraq xarakterizə edilmişdir. Zəncir, ən zəif halqası qədər güclüdür deyimi bu nöqtədə müdafiə edən tərəf üçün deyil, hücum edən tərəf üçün istifadə edilməkdədir. Modelin əsas fikrini “Hücum addımlarının hər hansı birinin uğursuz olması, hücumu uğursuz qılacaqdır” düşüncəsi əmələ gətirməkdədir. Cyber Kill Chain addımları qısaca aşağıda izah edilmişdir:

1. Kəşf (Reconnaisance): Kəşfin ilkin məqsədi sistemlərə giriş ediləcək nöqtələrin müəyyənləşdirilməsidir. Hədəf (qurum/təşkilat) və hücumun məqsədi müəyyən edildikdən sonra, hücumun təkmilləşdirilməsi üçün lazımi məlumatlar yığılar. Bu məlumatlar hədəfə aid IP adresləri, xaricə açıq servislər, şəxsi heyət məlumatları, qurum/təşkilatın iş üsulları və s. məlumatlardır. Kəşf əməliyyatlarında sosial mühəndislik, sosial media araşdırmaları, yeraltı forumları, aktiv/passiv axtarış alətləri və metodları istifadə edilir.
2. Silahlanma (Weaponization): Kəşf ərəfəsində hədəfə aid hücum səviyyəsi və hücum nöqtələri aşkar edildikdən sonra hücum vektorları müəyyən edilir. Silahlanma mərhələsi, istifadə ediləcək silahın müəyyən edildiyi, zərərli proqramların yaradıldığı və paketləndiyi mərhələdir. Zərərli proqram veb səhifəsinə, PDF, Microsoft Office və ya rəsm/fotoşəkil faylı içərisinə yerləşdirilə bilinər.
3. Ötürmə (Delivery): Ötürmə mərhələsində zərərli proqramın qurum/təşkilat şəbəkəsinə necə nüfuz etdiriləcəyinə qərar verilir. Paketlənən zərərli proqram URL vasitəsilə təqdim edilə də bilinər, eyni zamanda e-mail əlavəsində və ya USB və s. media ilə də ötürülə bilinər. Ötürmə mərhələsində ən çox istifadə edilən üsul phishing üsuludur. Faktura, kredit kartı bəyanatı, təşkilati elan, xəbərdarlıq kimi göstərilən e-maillər içərisində əlavə olaraq və ya bir URL vasitəsilə zərərli proqram ehtiva edən faylın istifadəçi komputerlərinə ötürülməsi təmin edilir.
4. İstismar etmə (Exploitation): İstismar etmə mərhələsi adətən hədəf sistemlərdəki boşluqdan fayda əldə etmə mərhələsidir. Hədəfin ələ keçirilə bilməsi və nəzarət altına alına bilməsi üçün zərərli proqramın sistemə qurulması və istifadəçi hiss etmədən uzaqdan əlaqənin yaradılması lazım gələcəkdir. Bunun ola bilməsi üçün əlaqədar istifadəçi maşınındaki əməliyyat sistemində və ya tətbiqlərdə bir boşluq olması şərtdir. Ötürmə mərhələsi ilə komputerə endirilən fayl işə salındıqda, sistemdəki boşluq istismar edilərək yükləmə mərhələsinə yol açılacaqdır.
5. Yükləmə (İnstallation): Yükləmə mərhələsi cinayətkarın sistemlərə uzaqdan qoşula bilməsi üçün lazımi tətbiqlərin qurulmasının aparıldığı mərhələdir. İstifadəçi sistemindəki boşluqları istismar edən zərərli proqram, əməliyyat sistemlərindəki səlahiyyət nəzarətlərini və/və ya təhlükəsizlik proqramlarını atlayaraq bu proqramların qurulmasını təmin edər. Bu proqramlar ya zərərli proqram içərisində paket halında saxlanılır, ya da internet vasitəsilə cinayətkarların əvvəlcədən yerləşdirdiyi bir yerdən endirilir.
6. Əmr və nəzarət (Command and Control): Uzaq əlaqə üçün yol açılan hədəf və ya hədəflər internet üzərindəki əmr və nəzarət serverilə (adətən şifrəli protokol vasitəsilə) əlaqə qurar. Bu addımdan etibarən hədəf sistem tamamilə və ya qismən də olsa ələ keçirilmişdir.
7. Hərəkata başlama (Actions on Objectives): Bu mərhələ cinayətkarın hərəkətə keçmə mərhələsidir. İstifadəçi sistemləri ələ keçirikdikdən sonra cinayətkarların məqsədinə görə, ya bu sistemlər başqa bir sistemə hücum etmək üçün (botnet və ya cinayətkarın öz kimliyini gizlətməsi üçün) istifadə olunar, ya komputer daxilindəki şəxsi informasiyaları silmək, dəyişmək və ya oğurlamaq (ransomware) üçün, ya da içəridəki dəyərli məlumatların saxlanıldığı sistemlərə çıxış əldə etmək üçün dayaq nöqtə olaraq istifadə edilir.