Открыть сервис

Киберубийственная цепочка

Киберубийственная цепочка (также известная как «цепочка киберубийства», от англ. Cyber Kill Chain) — это концептуальная модель, описывающая последовательность этапов, которые проходит злоумышленник при реализации целенаправленной компьютерной атаки. Модель была разработана компанией Lockheed Martin в 2011 году на основе военной доктрины «цепочка убийства» (kill chain) и адаптирована для киберпространства. Она используется для анализа, обнаружения и предотвращения атак на информационные системы, а также для построения стратегий защиты.

История возникновения

Концепция «цепочки убийства» изначально применялась в военной сфере для описания последовательности действий от обнаружения цели до её уничтожения. В 2011 году аналитики Lockheed Martin адаптировали эту модель для кибербезопасности, опубликовав статью «Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains». Авторы выделили семь последовательных фаз, которые злоумышленник должен пройти для успешной атаки. Модель быстро стала стандартом в отрасли, хотя впоследствии подвергалась критике и дополнялась.

Этапы киберубийственной цепочки

Модель Lockheed Martin включает семь этапов, каждый из которых представляет собой определённый шаг атакующего. Для успешной атаки злоумышленник должен завершить все этапы; прерывание цепочки на любом из них предотвращает или нейтрализует угрозу.

Разведка (Reconnaissance)

На этом этапе злоумышленник собирает информацию о цели: определяет IP-адреса, доменные имена, структуру сети, используемое программное обеспечение, сотрудников и их контактные данные. Методы включают пассивную разведку (анализ открытых источников, OSINT) и активное сканирование (например, с помощью утилит Nmap). Цель — выявить уязвимости и векторы атаки.

Вооружение (Weaponization)

Злоумышленник создаёт или адаптирует вредоносное программное обеспечение, нацеленное на конкретную уязвимость. Это может быть троян, эксплойт, вирус или макрос, встроенный в документ. На данном этапе атакующий комбинирует полезную нагрузку (payload) с механизмом доставки (например, PDF-файл с вредоносным кодом).

Доставка (Delivery)

Вредоносный код передаётся цели. Наиболее распространённые каналы: электронная почта (фишинговые письма с вложениями или ссылками), заражённые веб-сайты, USB-носители, уязвимости в сетевых протоколах. Успешная доставка требует, чтобы цель открыла файл, перешла по ссылке или иным образом взаимодействовала с вредоносным контентом.

Эксплуатация (Exploitation)

После доставки вредоносный код активируется, используя уязвимость в программном обеспечении или конфигурации системы. Это может быть эксплуатация ошибок в браузере, операционной системе, приложении или человеческого фактора (например, доверчивость пользователя). Результат — выполнение кода на устройстве жертвы.

Установка (Installation)

Злоумышленник закрепляется в системе, устанавливая постоянный доступ. Это может включать установку бэкдора, руткита, трояна удалённого доступа (RAT) или модификацию легитимного ПО. Цель — обеспечить возможность повторного входа даже после перезагрузки системы или обновления.

Управление и контроль (Command and Control, C2)

Атакующий устанавливает канал связи с заражённой системой, чтобы удалённо управлять ей. Обычно используется внешний сервер (C2-сервер), к которому вредоносное ПО подключается через зашифрованный канал (HTTP, HTTPS, DNS, или нестандартные протоколы). На этом этапе злоумышленник может получать команды, передавать украденные данные или загружать дополнительное вредоносное ПО.

Действия по достижению целей (Actions on Objectives)

Финальный этап, на котором злоумышленник реализует свои намерения: кража данных (экфильтрация), шифрование файлов (атака с использованием программ-вымогателей), уничтожение информации, нарушение работы сервисов (DDoS) или получение несанкционированного доступа к другим системам. Конкретные действия зависят от мотивации атакующего (финансовая выгода, шпионаж, саботаж).

Классификация и модификации

Оригинальная модель Lockheed Martin подвергалась критике за линейность и неучёт современных реалий, таких как атаки с использованием сложных цепочек поставок или облачных сервисов. В ответ были разработаны альтернативные и дополненные модели:

Модель MITRE ATT&CK

Это более детальная и динамичная таксономия, включающая множество тактик, техник и процедур (TTP). В отличие от Kill Chain, ATT&CK не является линейной последовательностью, а представляет собой матрицу, где атакующий может пропускать или повторять этапы. Модель активно используется для анализа поведения злоумышленников и построения защитных мер.

Расширенная киберубийственная цепочка

Некоторые исследователи добавляют дополнительные этапы, такие как «монетизация» (для атак с целью выкупа) или «заметание следов» (удаление логов и артефактов). В контексте APT-атак (advanced persistent threat) цепочка может включать этап «подготовка» (создание инфраструктуры) и «долгосрочное присутствие».

Модель «Унифицированная киберубийственная цепочка»

Предложена в 2018 году и объединяет элементы Lockheed Martin и MITRE ATT&CK, добавляя фазы «Планирование» и «Завершение». Она лучше описывает современные атаки, включая использование легитимных инструментов (living off the land) и многоэтапные вторжения.

Применение в кибербезопасности

Модель киберубийственной цепочки используется для:

  • Обнаружения атак: Системы мониторинга (SIEM, IDS/IPS) настраиваются на выявление признаков каждого этапа. Например, аномальный трафик на C2-сервер может указывать на этап управления и контроля.
  • Профилактики: Организации укрепляют защиту на ранних этапах (разведка, доставка) с помощью фильтрации трафика, обучения сотрудников, использования антивирусов и брандмауэров.
  • Реагирования на инциденты: При обнаружении атаки специалисты анализируют, на каком этапе произошло прерывание, и принимают меры для блокировки дальнейших действий.
  • Моделирования угроз: Цепочка помогает оценить уязвимости и разработать сценарии защиты, исходя из возможных действий злоумышленника.

Критика и ограничения

Основные недостатки модели:

  • Линейность: Реальные атаки часто не следуют строгой последовательности. Злоумышленник может повторять этапы, использовать несколько цепочек одновременно или действовать асинхронно.
  • Неучёт внутренних угроз: Модель ориентирована на внешних атакующих. Инсайдерские атаки (от сотрудников или партнёров) могут пропускать этапы разведки и доставки, так как злоумышленник уже имеет доступ.
  • Сложность обнаружения на ранних этапах: Разведка и вооружение часто остаются незамеченными, особенно если используются пассивные методы или легитимные инструменты.
  • Игнорирование облачных и мобильных сред: Модель Lockheed Martin была разработана для традиционных корпоративных сетей. В облачных средах этапы доставки и установки могут быть иными из-за виртуализации и API-интерфейсов.

Примеры атак в контексте цепочки

  • Атака с использованием программы-вымогателя WannaCry (2017): Разведка (сканирование уязвимых систем), вооружение (эксплойт EternalBlue), доставка (через SMB-протокол), эксплуатация (уязвимость в Windows), установка (шифровальщик), C2 (связь с серверами), действия (шифрование файлов и требование выкупа).
  • Целевая атака на SolarWinds (2020): Злоумышленники скомпрометировали цепочку поставок (доставка через легитимное обновление ПО), установили бэкдор, затем использовали C2 для кражи данных. В данной атаке этап разведки был частично пропущен, так как атакующие действовали через доверенный канал.

Интересные факты

  • Модель Lockheed Martin легла в основу многих коммерческих решений по кибербезопасности, включая продукты компаний FireEye, CrowdStrike и Palo Alto Networks.
  • В 2016 году Министерство обороны США адаптировало концепцию для защиты своих сетей, добавив этап «анализ угроз» (threat intelligence).
  • Некоторые исследователи предлагают использовать «обратную киберубийственную цепочку» для анализа уже произошедших инцидентов, двигаясь от действий атакующего к разведке.

Источники

  • Lockheed Martin. «Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains» (2011).
  • MITRE Corporation. «MITRE ATT&CK Framework» (2013–2024).
  • Hutchins, E. M., Cloppert, M. J., & Amin, R. M. «Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains» (2011).
  • Документация по кибербезопасности Национального института стандартов и технологий США (NIST SP 800-61).
  • Аналитические отчёты компаний CrowdStrike и FireEye (2017–2023).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →