Czym jest Cyber Kill Chain®?

Przede wszystkim jest to model analizy zagrożeń zaprezentowany przez firmę Lockheed Martin. Genezą tego rozwiązania jest wojskowa koncepcja zwana łańcuchem ataku (ang. kill chain), która pokazuje poszczególne etapy ataku prowadzące do zniszczenia celu wojskowego. Struktura tego modelu to łańcuch składający się z 7 kroków, które po kolei podejmuje adwersarz, aby osiągnąć swój cel. Każdy z tych etapów jest ze sobą ściśle powiązany, dlatego przerwanie któregokolwiek z nich skutkuje przerwaniem ataku.

Etapy ataku

Tak jak to widać powyżej mamy 7 faz. Każda z nich odpowiada za konkretny etap ataku, któremu przyporządkowane są określone działania atakującego.

PLANOWANIE (ang. reconnaisance) – to na tym etapie adwersarz wyszukuje słabe strony u potencjalnej ofiary. Pisząc kolokwialnie, szuka drzwi wejściowych do domu ofiary.

UZBROJENIE (ang. weaponization) – to właśnie w tym momencie wybierane i konfigurowane są narzędzia (przykładowo malware), którymi atakujący będą się posługiwać przy ataku.

DOSTARCZENIE (ang. delivery) – dosłownie, tak jak nazwa wskazuje, jest to dostarczenie zainfekowanych plików, narzędzi do ofiary, przykładowo przez e-mail lub interakcje na social media.

PRZEŁAMANIE (ang. exploitation) – na tym etapie następuje bezpośrednia interakcja ofiary z zastawioną pułapką, np. poprzez otworzenie załącznika lub kliknięcie w link.

INSTALACJA (ang. installation) –  już po wejściu do środowiska ofiary, adwersarz dodaje usługi albo klucze rejestru dla autostartu tak, aby spokojnie móc zainstalować swoje narzędzia, bez obawy o restart systemu czy też urządzenia.

ZARZĄDZANIE I KONTROLA (ang. command & control, C2) – zainstalowane złośliwe oprogramowanie otwiera kanał dla atakującego do wydawania komend, aby zdalnie zarządzać systemem ofiary.

DZIAŁANIA (ang. action on objectives) – finalna faza, w której to adwersarz dzięki uzyskanemu dostępowi może przystąpić do głównego celu swojej misji, czyli np. do zebrania poświadczeń użytkowników, którymi logują się do systemów albo do eskalacji uprawnień lub po prostu do zniszczenia systemu.

Podsumowanie

Dzięki temu, że Cyber Kill Chain® ma podział na konkretne fazy czy też etapy ataku, analitycy bezpieczeństwa IT (niebieska strony mocy, tzw. blue team czyli obrońcy) mają możliwość identyfikacji wzorca, który posłuży do odpowiedzi na kluczowe pytanie, czyli czego szuka adwersarz i dlaczego akurat u tej konkretnej ofiary. To automatycznie umożliwia dobranie efektywnej obrony przed kolejnym atakiem. Dlatego tak ważnym jest przeprowadzenie pełnej analizy ataku wraz z kolejnymi etapami kampanii tak, aby w pełni zrozumieć motyw działania atakującego oraz przede wszystkim to jakie kolejne kroki podejmował, aby osiągnąć zamierzony cel. Więc mimo zwiastowanego końca modelu Cyber Kill Chain®, jego użyteczność przy analizie ataku czy też całych ofensywnych kampanii jest nadal bardzo wysoka.

Źródła

Sekurak, Wprowadzenie do bezpieczeństwa IT Tom 1, Securitum Wydawnictwo Sp. z o.o., Kraków 2023

Maciej Kofel, Security Analyst krok pierwszy, Szkoła Security, https://szkolasecurity.pl/

https://www.lockheedmartin.com/content/dam/lockheed-martin/rms/documents/cyber/Gaining_the_Advantage_Cyber_Kill_Chain.pdf

Ustawienia aplikacji w Windows 10/Windows11

Naciskając klawisz z logo Windows lub klikając „lupę” na pasku zadań

zyskujemy możliwość wyszukania dowolnego elementu w systemie Windows. Wpisujemy „aplikacje autostartu” potwierdzając enterem na klawiaturze. Ukazuje się nam widok taki jak poniżej:

W tym momencie dzięki „suwakowi” włączamy lub wyłączamy autostart aplikacji. To tyle jeżeli chodzi o możliwości ustawień aplikacji jakie proponuje nam Windows 10/11 w przypadku autostartu.

Folder Autostart w Windows 10/Windows11

Innym sposobem jest wrzucenie skrótu aplikacji do folderu autostart. Za przykład posłuży Nam tutaj przeglądarka Firefox, która domyślnie zostawia po instalacji skrót na pulpicie. Zaczynamy od wciśnięcia na klawiaturze kombinacji klawisz z logo Windows + R i dostajemy okno dialogowe „Uruchamianie”. Następnie wpisujemy tam „shell:startup” i klikamy ok.

Otwiera nam się folder Autostart w lokalizacji:

C:\Users\Test\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

To do niego kopiujemy skrót aplikacji Firefox (do samej akcji kopiowania w tym wypadku są potrzebne jednorazowo poświadczenia konta z uprawnieniami administratora).

Co ciekawe po skopiowaniu skrótu aplikacji do folderu, wpis automatycznie pojawił się też w aplikacjach autostartu.

No dobrze, to byłoby na tyle jeżeli chodzi o polecenie „shell:startup” i folder Autostart. Czas na moim zdaniem najbardziej zaawansowany z trzech sposobów manipulacji zachowaniem aplikacji przy starcie systemu Windows.

Rejestr systemowy a autostart aplikacji w Windows 10/Windows 11

Myślę, że nie przesadzę pisząc, że rejestr systemowy prawdę Ci powie. To potężna, hierarchiczna baza danych, w której to system przechowuje informacje nt. swojej konfiguracji. Podsumowując, jeden z niezbędnych komponentów systemów z rodziny Windows. No dobrze, ale w jaki sposób rejestr systemowy wiąże się z autostartem aplikacji? Już pokazuje. Naciskamy klawisz z logo Windows albo klikamy w „Wyszukaj” na pasku zadań i wpisujemy „regedit”. Następnie klikamy „Otwórz” (w przypadku dodawania/usuwania wpisów autostartu w kluczu „Run” potrzebne będzie nadanie uprawnień administratora dla naszego konta).

UWAGA: Każde działanie w rejestrze zaczynamy od zrobienia kopii bieżących ustawień, klikając plik–>eksportuj.

Zacznijmy od wklejenia ścieżki tej co poniżej do paska adresu:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Od razu nadmienię, że ta część lokalizacji–>HKEY_CURRENT_USER–>odpowiada za wszystkie ustawienia, które tyczą się konta obecnie zalogowanego użytkownika. Toteż wszystkie zmiany jakie naniesiemy w gałęzi tego klucza najwyższego poziomu tyczą się tylko i wyłącznie obecnie zalogowanego użytkownika.

Będąc w kluczu „Run”, żeby dodać aplikacje do autostartu, klikamy prawym przyciskiem myszy w wolne pole i wybieramy Nowy–>Wartość ciągu a następnie nazywamy nowy wpis wedle uznania (najlepiej podobnie jak docelowa aplikacja). Następnie klikamy prawym przyciskiem myszy na nowy wpis i wybieramy „Modyfikuj”. W polu „Dane wartości” wklejamy skopiowaną wcześniej ścieżkę elementu docelowego aplikacji i klikamy „Ok”, dokładnie tak jak widać to poniżej:

To w zasadzie tyle. Tak już wspominałem wcześniej, aplikacja powinna już uruchamiać się razem z pełnym załadowaniem się systemu, ale tylko na koncie użytkownika gdzie zalogowaliśmy się przed rozpoczęciem działania. Teraz, abyśmy mogli zrobić to samo, ale dla wszystkich kont na danym komputerze musimy przejść do gałęzi HKEY_LOCAL_MACHINE, czyli:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Procedura działania jest dokładnie taka sama jak w przypadku gałęzi HKEY_CURRENT_USER (z tym że wystarczy tutaj jednorazowo podać uprawnienia administratora klikając „Uruchom jako administrator” gdy mówimy o odpaleniu regedit).

Myślę, że na koniec warto jeszcze wspomnieć o Menadżerze zadań (i jego wzajemności z rejestrem systemowym w kontekście autostartu). W nim mamy zakładkę „Aplikacje autostartu”. Gdy klikniemy prawym przyciskiem myszy na nazwę którejkolwiek z kolumn, rozwinie nam się pasek z wybranymi kolumnami widoku. Wybieramy „wiersz polecenia”. Dzięki temu w oknie Aplikacje autostartu, doszła nam jeszcze jedna kolumna, dokładnie tak jak na poniższym obrazku. Swoją drogą gdy klikniemy prawym przyciskiem myszy na którykolwiek z wpisów, mamy możliwość włączenia lub wyłączenia autostartu.

Gdy widzimy kolumnę „Wiersz polecenia”, mamy możliwość podejrzenia np. ścieżki z której uruchamia się dany program. Teraz załóżmy, że jest aplikacja, która jest niepożądana  i uruchamia się wraz ze startem systemu, ale niestety nie możemy jej namierzyć, samo kliknięcie „wyłącz” nic nie daje. Wtedy z pomocą przychodzi rejestr, gdzie będąc w jednej z gałęzi – 

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

albo

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

mamy możliwość porównania ścieżki z kolumny „Wiersz polecenia” oraz wartości ciągu w danym kluczu i na tej podstawie, usuwając namierzony wpis w rejestrze, pozbywamy się nieproszonego intruza.

Myślę, że udało mi się nieco przybliżyć obraz samego autostartu w systemach z rodziny Windows. Przy okazji pojawił się temat rejestru systemowego i myślę, że jeszcze wielokrotnie będzie miało to miejsce. To istotny oraz bardzo funkcjonalny element systemów potentata z Redmond. Także do następnego wpisu, do zobaczenia!