Cyber Kill Chain (CKC) เป็นส่วนหนึ่งของโมเดล Intelligence Driven Defense® เพื่อระบุและป้องกันการบุกรุก ซึ่งแสดงแต่ละขั้นตอนในการโจมตี โดย Lockheed Martin เป็นบริษัทด้านความปลอดภัยและการบินและอวกาศระดับโลกที่มีพนักงานประมาณ 114,000 คนทั่วโลก และดำเนินธุรกิจหลักในการวิจัย ออกแบบ พัฒนา ผลิตและให้บริการเทคโนโลยีขั้นสูง มีสำนักงานใหญ่อยู่ที่เมืองเบเทสดา รัฐแมริแลนด์ ปัจจุบันวงการ IT Security ใช้ CKC เพื่อบรรยายถึงขั้นตอนของการเจาะระบบเพื่อโจมตีไซเบอร์ ซึ่งประกอบด้วย 7 ขั้นตอน 3 เฟส (ไม่ใช่คนละครึ่งนะ)

เฟสที่ 1 = เตรียมโจมตี

1. Reconnaissance: การดูลาดเลา คือ แฮ็คเกอร์จะเริ่มต้นวางแผนเก็บรวบรวมข้อมูลของเป้าหมายก่อนเริ่มการโจมตี อาจจะดูช่องโหว่ที่พอจะโจมตีได้ เช่น Port ที่เปิด, ใช้ Web Server อะไร, ใช้ภาษาอะไรเขียน และ database ใช้อะไร

2. Weaponization: ในขั้นตอนนี้ ผู้บุกรุกจะสร้างอาวุธมัลแวร์ เช่น ไวรัส เวิร์ม หรืออื่นๆ เพื่อใช้ประโยชน์จากช่องโหว่ของเป้าหมาย ขึ้นอยู่กับวัตถุประสงค์ของผู้โจมตีละ ว่าอยากจะ Hack ข้อมูล, อยากจะดูดข้อมูล, อยากจะทำให้ Server ล่ม,อยากจะเรียกค่าไถ่ และอื่นๆ เป็นต้น

เฟสที่ 2 = เข้าโจมตี

3. Delivery: ผู้บุกรุก ส่งอาวุธที่สร้างไว้ในข้อ2 ไปยังเหยื่อผ่านทาง ที่ได้หาไว้ในข้อ 1
อีเมลลิ้งดาวโหลด มัลแวร์, ดาวโหลดไฟล์พวก Crack, ข้อความหลอกลวงเพื่อนำไปต่อยอด
เว็บไซต์ลิงค์ต่างๆ ให้กรอกข้อมูลรหัสผ่าน เอาไปทำการทดสอบยิงกลับมาที่ Server
– USB/CD – อาจจะมีมัลแวร์ในนั้น แล้วแกล้งทำเป็นหล่นทิ้งไว้ที่พื้น พอคนเก็บได้เอาไปต่อเครื่อง Auto Run ทำงานตามที่ผู้บุกรุกเขียนไว้

4. Exploitation: ผู้บุกรุกทำการเจาะระบบของเหยื่อด้วยวิธีต่างๆ เพื่อจะใช้งาน Payload

5. Installation: ติดตั้งมัลแวร์เช่น RAT, VPN, หรือ Tools ที่สามารถ Backdoor เข้าออกได้บนเครื่องของเหยื่อ เพื่อให้คอยรับคำสั่งหรือเข้าถึงข้อมูลได้ตามที่ผู้บุกรุกต้องการ

เฟสที่ 3 – ใช้ประโยชน์ที่ได้จากการโจมตี

6. Command & Control: ผู้บุกรุกได้สร้างช่องทางในการรับส่งคำสั่งหรือการเข้าถึงเหยื่อ หลังจากที่ทำการ Installation ไว้

7. Action on Objectives: ผู้บุกรุกใช้ในการ Hack ต่อระยะยาวเช่น เข้าไปต่อยอดโดย APT อาศัยอยู่ในเครือข่ายเพื่อหาข้อมูลเช่นบัตรเครดิต หรือข้อมูลสำคัญๆ และแอบนำออกไป หรืออาจจะทำให้เหยื่อเป็น Zombie ชักใยเบื้องหลังแอบส่ง packet เอาไว้ยิง DDOS หรืออื่นๆ ตามวัตถุประสงค์

มาตรการตอบโต้ ตาม Solution:

ที่มา:

https://www.lockheedmartin.com/en-us/capabilities/cyber/intelligence-driven-defense.html

https://www.lockheedmartin.com/content/dam/lockheed-martin/rms/documents/cyber/Gaining_the_Advantage_Cyber_Kill_Chain.pdf

https://www.darkreading.com/attacks-breaches/deconstructing-the-cyber-kill-chain
https://www.logsign.com/blog/7-steps-of-cyber-kill-chain/

Leave a Reply

Your email address will not be published.