Attack model - korpisoturi/cyber_tactics GitHub Wiki

3.11.2023 päivitetty erik23 kokemusten perusteella

  • Malliin on lisättävä toiminnot ja prosessit: tilannekuva, maalittaminen, suunnittelu, käskeminen

22.11.2021 päivitetty keskustelujen (HK) sekä kyberkäsikirjan havaintojen perusteella. Malli soveltuu taktisenlle tasolle ja edellyttää suorituskyvyltä korkeaa maturiteettia. Päivitetty 19.12.2021 PaHa's attack manualin havaintojen perusteella.

  • Hyökkäyksessa kaksi kriittistä vaihetta (pullonkaulaa). 1 maalijärjestelmään kytkeytyminen ja 2 RCE.
  • Valmistautuminen - lähtökohtana on, että tehtävä on käsketty taktiselle yksikölle.
    • Olemassa olevan tiedustelutiedon analysointi, tehtävän erittely
    • Maalialueen alustava tiedustelu mahdollisuuksien tunnistamikseksi
      • OSINT ja muu passiivinen tiedustelu
    • Taktisen yksikön kiinnittäminen: tarvittava osaaminen ja välineistö, harjoittelu sekä testaaminen
    • Päätös toteutuksesta
  • Ryhmittyminen
    • Tarvittavan infrastruktuurin käyttöönotto
      • kohdetta simuloiva testiympäristö
      • hyökkäyskoneet ja ohjelmistot
    • Tunnistettujen hyökkäysvektoreiden tiedustelu, palveluiden tunnistaminen ja luettelointi
    • passiivisen tiedustelun jatkaminen
    • aktiivinen tiedustelu
  • Tunkeuma maalisysteemiin (kohdeverkkoon tai järjestelmään)
    • Tunnistettujen palveluiden tiedustelu, haavoittuvuuksien tunnistaminen ja luettelointi
      • haavoittuvuus/exploit
      • käyttäjätunnusten ja käyttöoikeuden hankkiminen
      • yhteyden rakentaminen
      • järjestelmän toiminnallisuuden ja heikkouksien hyväksikäyttö
  • Jalansijan varmistaminen maalisysteemissä
    • Persistenssi eli pysyvä komentokanava (jatkuva tai säännöllinen)
    • Reserviyhteys
  • Eteneminen maaliin
    • sivuttainen tai syvyyssuuntainen
      • oikeuksien laajentaminen tarvittaessa
      • verkossa eteneminen tarvittaessa
  • Vaikuttaminen maaliin (lyhytkestoinen tai pitkäkestoinen)
    • kohteena maalijärjestelmän komponentin tiedostot, prosessit tai tietoliikenne
    • Luottamuksellisuus, eheys, saatavuus
    • Vaikutuksen toteaminen
  • V1: Vetäytyminen
    • Jälkien peittäminen ja mahdollisesti harhaanjohtaminen
  • V2: "Uinuminen"
    • Persistenssin säilyttäminen
    • Jatkotiedustelu
  • V3: Kohteen haltuunotto
    • Kohteen koventaminen ja puolustajan ulossulkeminen
  • V4: Rintamavastuun vaihto
    • Eli esimerkiksi haltuunotettu drone luovutetaan pilotille ohjattavaksi
  • Raportointia
    • Raportointi
    • Kokemuksista oppiminen

11.11.2021 tarkennettu eri menetelmiä jalansijan saamiseksi. Havainnot työelämän uhkatyöpajoista.

16.5.2021 päivitetty HTB ideoilla sekä vaihtoehtoisella tavoitteella, jossa ei haluta pysyä salassa vaan pitää saavutettu palvelin. Lisäksi myös eteneminen "alaspäin" eli pakoon virtualisointiympäristöstä kohti alustaa.

6-7.2.2021 muokatut vaiheet, päivitetty ilmentymismuodoilla 14.2.2021

Operaatio käynnistyy, kun kyberyksikölle on osoitettu maali ja haluttu vaikutus. HUOM!. Mikäli maalista löytyy tunnistettu haavoittuvuus tai jalansija on hankittu aikaisemmin, voidaan koko operaatio suorittaa muutamasta tunnista muutamaan vuorokauteen.

Vaikka itse maaliin etenemisessä kyberhyökkäys on varsin opportunistinen eli hyväksikäytetään tunnistettuja mahdollisuuksia, lopullinen maali on operaatiolle käsketty. Kyberoperaatiolle kannattanee kuitenkin käskeä mahdollisuuksien mukaan myös toissijaisia maaleja kohdeverkosta.

  • Valmistautuminen (viikkoja)
    • Maalialueen tiedustelu OSINT, mahdollisuuksien (hyökkäysvektorien) tunnistaminen ja luettelointi
      • tietojen etsiminen google, dnsdumpster, shodan, hankintailmoitukset
    • Toteutetaan passiivisen kyberin keinoin, voidaan tukea "ei-kyber" tiedustelulla
      • social engineering
    • Perustetaan operaatioyksikkö: tarvittava osaaminen ja välineet, rekryäminen ja hankinnat
  • Siirtyminen kohdealueelle, operaation perustaminen (viikkoja, kuukausia)
    • Tarvittavan infrastruktuurin rakentaminen
      • kohdetta simuloiva testiympäristö
      • hyökkäyskoneiden asentaminen, hyökkäysverkon laatiminen, hyppypalvelimien hankinta
      • asejärjestelmän rakentaminen
    • Tunnistettujen hyökkäysvektoreiden tiedustelu, palveluiden tunnistaminen ja luettelointi
      • skannaukset, nmap
  • Tunkeuma maalisysteemiin, kohdeverkkoon (viikkoja - kriittinen vaihe)
    • Tunnistettujen palveluiden tiedustelu, haavoittuvuuksien tunnistaminen ja luettelointi
      • nmap skriptit, www haavoittuvuusskannaukset, erilaiset enumerointityökalut
    • Haavoittuvuuksien hyväksikäyttö, exploit ohjelmointi ja/tai konfigurointi
      • metasploitable, edb, omat ohjelmistotuotanto
    • haittaohjelman lähettäminen esimerkiksi sähköpostitiedostolla
    • "ei-kyber" tuki tarvittaessa esimerkiksi fyysisen yhteyden rakentaminen maaliverkkoon
    • käyttäjätunnusten saaminen esimerkiksi phishing avulla
    • hyökkäys toimitusketjun kautta esimerkiksi tarjoamalla open source koodia kriittiselle infrastruktuurille luotettavasti vuosikausia (voidaan käyttää myös kiristämiseen.
    • sisäisen käyttäjän suostuttelu tai kiristäminen
  • Jalansija maalisysteemissä, kohdeverkossa (päiviä)
    • Persistenssi eli pysyvä komentokanava
      • ajastukset & käynnitykset, erillinen komentokanavaohjelma
    • Piiloutuminen suojaajalta
      • kotiinsoitto kerran vuorokaudessa tai harvemmin
  • Eteneminen maaliin (päiviä, viikkoja)
    • Privesc, oikeuksien laajentaminen tarpeen mukaan
    • Lateraali sekä horisontaali (ylös ja alas) verkossa eteneminen tarpeen mukaan
  • Vaikuttaminen maaliin (alle sekunti tai pitkäkestoinen vaikuttaminen)
    • kohteena maalijärjestelmän komponentin tiedostot, prosessit tai tietoliikenne
    • Vaikutuksen toteaminen, voidaan suorittaa myös kyberin ulkopuolelta eli esimerkiksi todetaan sähköjen katkenneen
    • Rintamavastuun vaihto, mikäli kyseessä on tukeva operaatio eli esimerkiksi haltuunotettu drone luovutetaan pilotille ohjattavaksi
  • V1: Vetäytyminen (tunteja)
    • Jälkien peittäminen ja mahdollisesti harhaanjohtaminen
      • lokien, tiedostojen poistaminen ja muuntelu
  • "Uinuminen"
    • Persistenssin säilyttäminen
    • Jatkotiedustelu
  • V2: Kohteen haltuunotto
    • Kohteen koventaminen takaisinoton estämiseksi 3.2.2021 Kyberjoukkkoja ei voida käyttää tavanomaisten joukkojen tapaan. Keskustelu ohjaajan kanssa.

20.12.2020 Kyberhyökkäyksen iteroivat vaiheet:

  1. Tunkeuma kohteeseen
  • Tiedustelu
  • Jalansija, RCE
  • Persistenssi
  • Privesc
  1. Lateraali liikkuminen kohteeseen (toistuu tarvittaessa)
  • Tiedustelu
  • Jalansija, RCE
  • Persistenssi
  1. Vaikuttaminen
  2. Vetäytyminen
  • Jälkien poistaminen
  • Väärien jälkien jättäminen
  • Mahdollinen persistenssi tulevaisuuden operaatioita varten

18.1.2020 Hyökkäysmallin tavoite on kuvata riittävän tarkasti kyberhyökkäystä. Mallin rakentamisessa tulee laatio pohjalle operaatiomalli.

Hyökkäyksen vaiheiden mallintamiseen soveltuu hyvin prosessimalli ja vaiheiden sanalliset kuvaukset sisältäen tavoitteet.

Mallin rakentaminen on syytä tehdä siten, että ensin manuaaleista ja erikoisjoukko-operaatiosta rakennetaan esimerkkimalli tavanomaisten erikoisjoukkojen hyökkäyksestä. Kill Chain ja Mitre Att&ck mallien avulla laaditaan kyberhyökkäysmalli. Nykyisten APT hyökkäysten mallintamisen heikkous on siinä, että ne on tehty liiaksi hyökkyksen jälkiä analysoimalla, jolloin niistä puuttuu sellainen toiminnallisuus, jota tehdään ennen hyökkäystä, kuten esimerkiksi hankinnat ja maalittaminen.

Operaation lisäksi mallin tulee kattaa:

  • tilannekuva
  • maalittaminen
  • kyberasejärjestelmä

joulukuu 2019 Hyökkäysmalli yhdistettynä tunkeumatestauksen malliin puolestaan paljastui soveltumattomaksi käytännön hakkeroinnin yhteydessä. Tavanomaisen hyökkäyksen, tunkeumatestauksen ja teknisen hyökkäysten mallit paljastuivat ristiriitaisiksi ja vaativat enemmän jatkokehitystä. Oma havainto on, että olemassa olevat tekniset mallit (kill chain ja sen muunnokset) ovat lähteneet liikaa suojaamisen ja tehtyjen hyökkäysten analysoinnin näkökulmasta, eikä niihin näin ollen sisälly kaikkia hyökkääjän tarvitsemia vaiheita.