Cyber Kill Chain: It-angreb består af syv trin - og det er muligt at forsvare sig mod dem alle

Vanja Svajcer er teknisk chef i Cisco Talos. Illustration: Harald Brombach
Det fortæller Vanja Svajcer, teknisk chef hos Cisco Talos.

Tidligere på sommeren besøgte Vanja Svajcer Norge. Han er teknisk chef i Cisco-ejede Talos. Denne afdeling har primært til opgave at beskytte de kunder, der bruger Ciscos sikkerhedsprodukter. Før Svajcers foredrag ved arrangementet Cisco Connect fik Digi.no en snak med ham.

Cyber Kill Chain

Vanja Svajcers hovedbudskab handlede om begrebet ‘Cyber Kill Chain’, et begreb, som ifølge Svajcer nok er hentet fra militæret i USA, men som også er blevet taget i brug i it-sikkerhedsverdenen.

»Tanken bag er, at angriberen, for at have succes med at påvirke en virksomhed med et organiseret angreb, normalt skal gennem syv trin eller faser,« fortalte Vanja Svajcer.

»Dette er nyttigt som en stor højniveau-abstraktion for, hvordan angriberen tænker. Set fra detektionssiden er det nyttigt at vide, hvad angriberen skal igennem. Så bliver du også klar over, i hvilke faser af angrebet du kan forhindre angrebet,« fortsatte han.

Med ‘organiseret angreb’ mener han angreb, hvor en opportunistisk aktør udfører et angreb, og hvor der er en eller anden form for kontekst, som er kendt for angriberen. Dette i modsætning til de fleste angreb, hvor der benyttes ransomware, som normalt ikke er rettet mod nogen specifikt. Disse angreb er inden for det, Vanja Svajcer kalder for ‘a game of big numbers’.

Trin 1: Rekognoscering

»Den første fase er, at angriberen har behov for at vide mere om målet. Hvordan får vi mere at vide om målet? For eksempel gennem LinkedIn for at finde ud af, hvem der er de centrale personer, ved hjælp af scanning af målets netværksinfrastruktur for at finde ud af, hvilke systemer som er eksponeret på internettet, hvilken slags software de bruger. Det handler om at indsamle information,« sagde Vanja Svajcer.

»Dette kaldes for rekognosceringsfasen. Fra dit ståsted som forsvarer handler dette mest om, hvilken information du eksponerer på internettet. Du skal være temmelig opmærksom på, at du ikke lækker for meget information om, hvad du gør, og hvilken slags software og hardware du bruger, så angriberen får mindst muligt at vide om dig.«

Trin 2: Iscenesættelse

Så snart angriberen ved nok om målet og har konteksten, er vi ovre i næste fase, hvor det bestemmes, hvordan den indledende del af angrebet skal udføres. Det kan for eksempel være, at angriberne opdager og bestemmer sig for at angribe en software med en kendt sårbarhed. Derefter bliver infrastrukturen og angrebsværktøjerne bygget.

Ofte benytter angribere de samme internetleverandører i flere angreb. Hvis disse er kendte, kan man forsvare sig, allerede før angrebet starter, ved at blokere IP-områder og domæner, som har et dårlig rygte.

Trin 3: Igangsættelse

I den videre beskrivelse af de syv trin brugte Vanja Svajcer malwaregruppen SamSam som eksempel.

»Dette er en afpresningsmalware, som bruges i målrettede angreb. Gruppen bag har været aktiv i de seneste 3-4 år. Den blev først kendt for at angribe sundhedssektoren i USA. Den ene strategi, de benytter, er at angribe sårbarheder i webframes, inklusive JBoss,« sagde Svajcer.

»Den anden strategi til at få et indledende fodfæste inden for organisationen, som er målet, er at udnytte svage passwords på Remote Desk-tjenester. Det virker, som om mange selskaber benytter sig af Remote Desktop Protocol, som tillader opkobling mod denne port. Så det, angriberne gør, er, at de tager udgangspunkt i en ordliste og forsøger at udføre et ordlisteangreb med de mest almindelige passwords,« fortsatte han.

Generelt kan angreb også sættes i gang ved for eksempel at sende en ondsindet e-mail eller et ondsindet dokument for at oprette den første kontakt med én eller flere brugere hos målet.

Trin 4: Udnyttelse

De ondsindede downloads bruges til at udnytte én eller flere sårbarheder. Disse kan for eksempel skyldes programmeringsfejl, konfigurationsfejl eller manglende årvågenhed hos ansatte ved målet.

Så snart angriberne har fået fodfæste, scanner angriberne det interne netværk.

»Dette for at identificere den efter deres mening mest værdifulde vært. Dette kan typisk være databaseservere, applikationsservere eller Active Directory-controllere. Dette er sandsynligvis også de vigtigste serverne i en virksomhed.«

Trin 5: Installation

»Angriberne vil derefter forsøge at sætte nogle værktøjer i gang, som kan stjæle passwords på det første system, de har formået at inficere, i håb om at administratorpasswordet vil blive afsløret og er det samme på alle de andre systemer også. Bliver passwordet genbrugt, har de adgang, og spillet er slut,« sagde Vanja Svajcer.

Det er i denne fase, at afpresningsmalwaren i SamSam-kampagnen bliver kørt. Vanja Svajcer mener, at gruppen indtil nu har haft stor succes og er i stand til at udnytte nye sårbarheder, efterhånden som de dukker op.

»De lærer konteksten at kende og benytter sig af muligheden for at udnytte den information, de får adgang til. De er blandt de mere seriøse aktører derude,« sagde Vanja Svajcer.

Trin 6: Kommunikation

»Så snart malwaren er installeret på flere systemer, skal angriberen på en eller anden måde have kommunikeret fra systemet tilbage til sig selv, hvilket – igen med et begreb hentet fra militæret – kaldes for kommando- og kontrol-tjenester,« fortsatte Vanja Svajcer.

Trin 7: Opretholdelse

Mens for eksempel afpresnings-malware ofte sættes i gang, så snart angriberen har adgang til tilstrækkeligt mange systemer, er det i andre tilfælde vigtigt for angriberen at kunne opretholde adgangen over længere tid.

»Angriberne ønsker at være til stede i din virksomhed så længe som muligt, for eksempel for at stjæle information eller gøre skade,« sagde Vanja Svajcer.

Modforanstaltninger

»Som forsvarer kan du se på de syv trin og tænke over, hvilke systemer der potentielt kan være berørt af hvert af disse trin, samt hvilke sikkerhedsforanstaltninger du kan sætte ind over for hvert af disse,« sagde Vanja Svajcer.

»I virkeligheden er du kun bekymret for, at du ikke når til det sidste trin. Det er det trin, der er det vigtigste, men ved hvert trin, hvis du altså er i stand til at afbryde angrebet, er det dig, der tager sejren. Derfor bør du have en beskyttelsesmekanisme, der adresserer hvert enkelt af disse trin,« mener Vanja Svajcer.

Stopper milliarder

Cisco opgiver i visse sammenhænge, at selskabets it-sikkerhedstjenester stopper 19,7 milliarder potentielle angreb og trusler mod kunder hver dag. Dette inkluderer alt fra besøg på upålidelige websites, falske DNS-opkald og rigtig mange e-mails.

Ifølge Vanja Svajcer er Cisco ved at gå bort fra at bruge dette tal, idet det egentlig bare er et stort tal, som ikke fortæller så meget.

Talos, som har omkring 300 ansatte fordelt på flere lokationer i verden, kommer ifølge Vanja Svajcer i berøring med i gennemsnit 1,5 millioner nye, ondsindede filer hver dag. De allerfleste af disse behandles af automatiserede systemer, men enkelte skal der tages hånd om manuelt.

»Filen tages med ind i et kontrolleret miljø og testes. Det tager mindst 30 minutter at gøre manuelt. Denne andel er heldigvis lav. Ellers ville vi skulle have hundredtusindvis af ansatte. Og sådan er det nok for alle sikkerhedsselskaberne. Manglen på it-sikkerhedspersonale gør, at stadigt flere er begyndt at tilbyde SOC’er (Security Operation Center) som en tjeneste, således at du ikke behøver at ansætte sikkerhedsfolk selv. Det er kun de store og rige selskaber, som har råd til at have sit eget SOC,« sagde Vanja Svajcer.

Bedre software

På spørgsmål om, i hvilken retning den generelle sårbarhedssituationen bevæger sig, sagde Vanja Svajcer, at software generelt er blevet meget bedre, hvad angår sikkerhed og sårbarheder, end det var tidligere.

Han nævner blandt andet Conficker som et eksempel på, at der skete langt værre angreb tidligere, end det nu er tilfældet. En anden forskel er måske, at malware og it-angreb nu får mere plads i medierne, end de gjorde, dengang ormen Conficker begyndte sin hærgen for godt ti år siden.

»Der er færre sårbarheder, som kan udnyttes af orme, altså selvspredende malware,« fortalte han.

Men selvfølgelig findes der undtagelser, inklusive den relativt nye BlueKeep-sårbarhed i ældre Windows-udgaver, som kan udnyttes af orme - men indtil nu er sådan en orm ikke dukket op.

»Alle sikkerhedsleverandørerne garderer sig mod BlueKeep. Men vi holder vejret,« sagde Vanja Svajcer.

»Heldigvis flytter folk over til Windows 10, som ikke er ramt.«

Han tilføjede dog, at han er sikker på, at alle virksomheder med dygtige sikkerhedsfolk har installeret sikkerhedsopdateringerne.

På spørgsmålet om, hvorvidt BlueKeep kan ende som en ny WannaCry-episode, svarede Vanja Svajcer, at der nok var flere maskiner, som kunne påvirkes af WannaCry.

»Udnyttelse af BlueKeep indebærer en unormal brug af Remote Desktop-protokollen, hvilket kan opdages af sikkerhedsværktøjer,« sagde han.

Og flere sårbarheder

Vanja Svajcer mener ikke, at der er nogen modsætning mellem det, at software bliver stadigt bedre, og så de nye rapporter om, at der opdages stadigt flere sårbarheder.

»Dette kan skyldes for eksempel mere IoT, hvor funktionalitet fortsat ofte prioriteres frem for sikkerhed. Men de fleste bliver bedre. Tallene kan også hænge sammen med, hvordan de afslørede sårbarheder optælles. For et par år siden ændrede man på, hvordan CVE’ene (Common Vulnerabilities and Exposures, red.) blev nummereret,« sagde Svajcer.

Artiklen er fra digi.no.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Hans Nielsen

Hvordan hjælper det mod den upatche orm, der bare breder sig til alle ?

Er det fordi man håber på, at det kun er en selv der har adgang til alle sikkerhedshuller, og de bagdøre man lægger i produktet.

Hvis vi tager Mærsk som eksemple, hvad mange af de punkter, i dette indlæg, og ville det have hjulpet ?

Men manden har da ret i, at software er blevet sikker. Men når en producent som Microsoft standigt tænker nemhed og bagud kompabilitetOg giver adgang for blotware Så hjælper det meget lidt, at software er mere stabil.

Tænk hvis de første orme, som virkelig angreb alt og alle på nettet, ikke bare genstartet PC eller kørte CD/DVD skufen ud. Mens de i i stedet have flash hardware og ødelagt alle data. Så var vi i dag nok bedre sikkere. For det kan starte i morgen ?

Nå tester stadig Linux MX, istedet for MINT det ser fornuftigt ud, især til bærbar.

Og i stedet for at bruge mere end en halv time på at installere en Label printer, så kørte den på under 5 minuter. Skulle bare hente pakken glabel til udskrivning.

Også er det ikke nødvedigt at lægge en plan, for forsvar mod virus. Backup er den bedste ting for private og mindre brug.

  • 0
  • 1
Povl H. Pedersen

Det er vel 2-5 der ramte mærsk. Malwaren var destruktiv, der var ingen 1+6+7 i forbindelse med den, ihvertfald ikke for Mærsk som var colatteral damage.

Der var ikke meget der kunne have stoppet NotPetya. Den kom ind med en automatisk opdatering af et stykke lovpligtigt software fra en troværdig leverandør.

Hvor mange vil rammes hvis der kommer en malware med en Windows 10 opdatering, som ligger død i 14 dage inden den starter på sine onde gerninger ? Evt ved at checke tiden på en internetserver som ekstra beskyttelse mod at blive detectet i en Virtuel maskine hvor uret skrues frem ?

Spredningen skete angiveligt ved hjælp af en SMB sårbarhed, samt WMI kald med høstede/chached credentials. Kan ikke huske om SMB sårbarheden var 0-day.

Reelt var der kun få ting der kunne have forhindret problemet. Segmentering af servere. Interne firewallregler. Dvs ingen WMI udover fra management serverne. Og ligeledes luk ned for SMB til alt hvor det ikke skal bruges.

I dag bør NLA på RDP også være et krav. Og kun RDP fra jumpservere.

Man kan netværksmæssigt segmentere og reducere potentielle spedningsvektorer. Det er reelt det eneste der kan gøres.

Man kan ikke udelukke at malware kommer i et stykke signeret troværdigt software, og ligger dødt i en periode indtil det er sikker på at der er en passende stor installed base, inden det slår til. Og så er der som sagt kun blokering af det skadelige trafik der vil virker.

Cisco mandens snak om en loader, der henter større payload, og taler med C&C serveren fanger kun et udvalg af malware, typisk dem med økonomisk vinding for øje. Cyber terrorister bruger ikke alle 7 led.

  • 2
  • 0
Hans Nielsen

Der var ikke meget der kunne have stoppet NotPetya.


Tror også det var det som jeg mente. Man kan gøre nok så meget, og bruge nok så mange resurser. Hvad hjælper det.

Det eneste som reder en er backup, og strategi for hurtigt recovery.

Ud over selvfølgelighed , som dog ikke altid reder en.

Opsplitet og segmentere net.

Opdateret software.

Flere OS, så man måske har noget som virker. Det gælder også netværk, et extra net lavet udviklet i et andet land, som et af de segmenteret net.

Udprintet kontakt lister, med mobil nummer, og en plan A. Hvem der bestemmer osv.


Men hvis man vil være sikkert, så skal man ikke vælge det meste brugte og ramte OS på marked. Som aldrig har været bygget med hensyn til sikkerhed, eller stabilitet, og hvor normale bruger har været ufriviligt Beta tester.
Selv hvis man ikke bliver ramt af virus, så bryder det ned eller bliver ustabilt/langtsomt på grund af fejl, opdateringer som hænger, mallware,opdaterings programmer,,,,,,

Mens en Linux/bsd først dør, når boot mediet fejler katestrofal,

Hvorfor har Windows besværligt gjort boot til sikkert start, hvis ikke det har fået sig selv glat i halsen, så virker et gendanelse tidspunkt ganske godt nu om dage.

  • 0
  • 1
Bjarne Nielsen

Hvordan hjælper det mod den upatche orm, der bare breder sig til alle ?

Der afgrænses til målrettede angreb.

Fra artiklen:

Med ‘organiseret angreb’ mener han angreb, hvor en opportunistisk aktør udfører et angreb, og hvor der er en eller anden form for kontekst, som er kendt for angriberen. Dette i modsætning til de fleste angreb, hvor der benyttes ransomware, som normalt ikke er rettet mod nogen specifikt.

Det skal ikke forhindre os i at diskutere andre typer også, men så er forståelsesmodellen fra artiklen nok mindre anvendelig.

  • 0
  • 0
Log ind eller Opret konto for at kommentere