#ماهو نموذج ال Cyber kill chain :

عبارة عن سلسلة من الخطوات التي تتعقب مراحل الهجوم السيبراني من مراحل الاستطلاع المبكرة الى تهريب المعلومات .

#مراحل Cyber kill chain و كيف يتم الهجوم وطريقة الدفاع أيضاً:

🔺الدفاع(Defence):

حينما نقول الدفاع نقصد به التقنيات او الادوات او المنهجيات التي يجب عملها قبل وقوع الهجوم او حين وقوعه.

1-الإستطلاع (Reconnaissance)

🔺الهجوم (Attack) :

whois, Google, shodan, port scan , nmap, Banner Grabber , Vulnerability Scanning.

-whois:

يحدد المهاجم هنا الجهة او الكيان المستهدف ويبحث عن اي معلومات عن طريق Google وغيرها .

-shodan: 

محرك shodan هو البحث عن الأجهزة المتصلة بالانترنت واختبار قوة الحماية الموجودة ومحاولة الوصول إلى كافة الأجهزة المتصلة بالإنترنت من أجل الوصول إلى الأجهزة أو أنظمة التشغيل التي لديها مستوى حماية متدنِ، حيث يقوم بجمع معلومات عن هذه الأجهزة والأنظمة بالإضافة إلى الثغرات الموجودة بها ثم يقوم بأرشفة هذه المعلومات وعرضها بشكل عام على زوار المحرك، حيث يمكن لهم الاطلاع عليها بكل سهولة.[1]

-اداة nmap:

هي أداة مفتوحة المصدر لتصفح الشبكة واكتشاف الأمان, يمكن لـ Nmap اكتشاف ما إذا كان الجهاز الهدف متصلاً أم لا ، وفحص المنافذ(port)المفتوحة

( -فحص المنافذ (port scan): عملية فحص جميع المنافذ المفتوحة والمغلق على عدة أجهزة موجودة على شبكة ما. والمنفذ يمكن أن يقوم بنقل البيانات بإحدى بروتوكولين من بروتوكولات نقل البيانات عبر  الشبكة وهما TCP اوUDP. ) والكشف عن نوع الخدمة ومعلومات الإصدار ، واكتشاف نظام التشغيل وأنواع الأجهزة.[2]

-Banner Grabber: يرجى مراجعة المصدر رقم [3].

🔺الدفاع(Defence):

limit public info, Disable unused ports / services , Honeypots , IPS, FireWall.

-limit public info:

تقليل المعلومات المتاحة على الانترنت عن الشركة وعن الادوات او الخدمات او الحلول المستخدمة في الشركة (مثل انظمة الحماية المستخدمة وغيرها ).

-Disable unused ports / services:

من اهم الخطوات الامنية وهي اغلاق المنافذ او الخدمات التي لايوجد لها احتياج.

-Honeypots :

عبارة عن برامج يتم من خلالها اصطياد مخترقي الشبكات او من يحاولون اختراقها, بحيث برمجت و صممت ليتم استغلالها من قبل المخترقين.

-IPS:

الـ IPS أو Intrusion Prevention Systems وهو نسخة مطورة من النظام IDS فهو يقوم بعملية الكشف Detection أولا وبعدها يقوم بتنفيذ ردة فعل معينة Prevention  مثل عمل Drop للباكيت الضارة لذا يتوجب وضعه على ممر الترافيك مباشرة وهذه صورة توضيحية[4].

2-التسليح (Weaponization)

🔺الهجوم (Attack) :

Social engineering, Metaspliot, Exploit-DB, Burpsuit,Sqlmap, cain and abel

-الهندسة الإجتماعية(Social engineering):

 التلاعب بالبشر وخداعهم بهدف الحصول على بيانات أو معلومات أو أموال كانت ستظل خاصة وآمنة ولا يُمكن الوصول إليها.

-اداة Metaspliot:

هي اداة يمكن من خلالها البحث عن الثغرات الأمنية الموجودة في السيرفرات و الأجهزة.

-موقع Exploit-DB:

هو عبارة عن قاعدة بيانات لثغرات الموجودة و التي يتم اكتشافها،حيث يحتوي الموقع على الآلاف الثغرات، و مرتبة و منظمة.[5]

-اداة Sqlmap:

هي عبارة عن اداة لمحاولة حقن قواعد البيانات لاظهار بيانات ( غير مصرح باظهارها وغيرها ) للتوسع يرجى مراجعة [6].

🔺الدفاع(Defence):

patch management, Disable office macro& javascript& browser plugins, AntiVirus, IPS , email security, Audit log

3-التوصيل او التسليم (Delivery):

🔺الهجوم (Attack) :

mail , USB , Website , Social media

🔺الدفاع(Defence):

phishing campaign, IPS, User awareness, DKIM&SPF, DMARC , Device control, web & DNS filtering

-phishing campaign:

ارسال ايميلات تصيدية من داخل الشركة على الموظفين لقياس الوعي لدى موظفين.

-User awareness:

زيادة الوعي للموظفين عن طريق الحملات الاعلانية داخل الشركة او عن طريق الاختبارات القصيرة او عن طريق المحاضرات التفاعليه.

- DKIM&SPF:

SPF أو Sender Policy Framework هو نظام للتحقق من سلامة الإيميل المرسل حيث يقوم بالكشف عن مصدر الإيميل ويطابقه حتي يعرف إذا كان الإيميل يخرج من مصدر الدومين أم هو مجرد إسم خادع .. مثلما يمكن لأي شخص أن يرسل إيميل microsoft.com@ أو facebook.com@ .. وهنا تأتي فائدة الـSPF في مطابقة الإيميل المرسل ومصدره.

DKIM أو DomainKeys Identified Mail هي ميكانيكية مصادقة أو تحقق (عن طريق استخدام توقيع مشفر لتحقق من الايميل المرسل والتأكد ما ان كان المرسل هو ام شخص منتحل لشخصية المرسل) والتي تقوم بحماية الراسل والمرسل في آن واحد لتقليل احتمالية الإيميلات الخادعة أو التي تحاول الإحتيال Phishing.

-DMARC:

هي عملية مقارنة بين DKIM&SPF(المذكورة في الخطوة السابقة) واذا كانت كلها صحيحة ام لا . في حال كانت صحيحة يتم تمرير الرسالة او البريد .

4-الإستغلال (Exploitation):

🔺الهجوم (Attack) :

Buffer overflow, SQLi , Malware

-ثغرة Buffer overflow:

هي ثغرة تحدث عندما يتم كتابة بيانات اكثر من سعة المخزن - Buffer - ولا يتم التحقق من حجم البيانات المدخله. قد تسبب ايضا ثغرة Remote Code Execution - RCE - اي تحكم كامل بالجهاز. وقد تسبب ايضا Denial Of Service - DOS - وهي هجمات حجب الخدمة.

-ثغرة  SQLi:

sql injection هو ببساطة هجوم يتم فيه حقن كود sql بتطبيق الويب حتى يتم استخراج البيانات من قاعدة االبيانات التي يعتمد عليها الموقع.

🔺الدفاع(Defence):

Data Execution Prevention, Anti-exploit, Sandbox

5-التثبيت او التنزيل(Installation):

🔺الهجوم (Attack):

DLL hijack , Meterpreter, RAT, Registry change, powershell commands

-DLL hijack:

هي طريقة لادخال تعليمات برمجية ضارة في احد التطبيقات عن طريق استغلال الطريقة التي تبحث بها بعض تطبيقات Windows وتحميل مكتبات االارتباط DLL .

ملاحظة : هذه الثغرة يمكن ان تطبق على تطبيقات انظمة ال Windows فقط .يرجى مراجعة المرفق رقم[7].

🔺الدفاع(Defence):

CHROOT, disable powershell, UBA, EDR, conduct Incident response plan 

يجب الاتصال على الهيئة الوطنية للأمن السيبراني.

6-التحكم (Command and Control):

🔺الهجوم (Attack):

-أنت مخترق.

🔺الدفاع(Defence):

Network segmentation , NGFW :Command and Control blocking, DNS redirect, Block telnet & RDP & SSH, netcat, powershell , Traffic deep inspection

7-Actions on Objective :

🔺الهجوم (Attack):

-أنت مخترق.

🔺الدفاع(Defence):

Data Loss Prevention(DLP), User Behavior Analytics(UBA), Network segmentation

مصادر(للتوسع و للاطلاع اكثر على المواضيع التي في الاعلى):

[1]

[2]

[3]

[4]

[5]

[6]