Koncepcja Killchain wywodzi się z terminologii wojskowej i opisuje taktykę złożonego, planowanego ataku. Jest opisem modelu opartego na poszczególnych fazach całego procesu, który pomaga w informowaniu, a także zapobieganiu atakom ze strony nieprzyjaciela. Im bliżej początku łańcucha atak jest wykryty, tym lepiej. Atakujący posiada wtedy mniej informacji i z pewnością wyrządził dużo mniej szkód. Cyber Killchain, wykorzystywany w cyberbezpieczeństwie, opisuje typowy schemat działania atakujących mających na celu infiltrację sieci wewnętrznej organizacji. Obrazuje fazy ataku oraz najczęściej wykorzystywane techniki i taktyki hakerskie. Przykładowy killchain używany w środowiskach Active Directory  przedstawiono obok.

Przemyślany atak hakerski poprzedzony jest zawsze szczegółowym zdobyciem informacji na temat celu. Obejmuje to informacje o zakresie adresów IP, ilości użytkowników i urządzeń w sieci, działaniach biznesowych firmy, łańcuchu dostaw i klientów, wykorzystywanej technologii itd. Etap ten zwany jest rozpoznaniem zewnętrznym, nazywany również fazą zerową ataku. Atakujący nie robi wtedy jeszcze nic niezgodnego z prawem, po prostu rozgląda się i zbiera powszechnie dostępne informacje. Celem tej fazy killchain’u jest przed wszystkim znalezienie słabych punktów organizacji, które umożliwią dostęp do sieci wewnętrznej.

Dalszym krokiem atakującego jest kompromitacja maszyny w środowisku organizacji, co jest równoznaczne ze zdobyciem dostępu do podstawowych, najmniej chronionych zasobów. Na tym etapie, hakerzy cały czas chętnie korzystają z metod socjotechniki, czyli używają starego dobrego phishingu. Specjalnie spreparowana wiadomość e-mail zawierać będzie szkodliwy załącznik lub link. Po kliknięciu przez użytkownika, na komputerze ofiary zostanie zainstalowane złośliwe oprogramowanie, które pozwoli atakującemu na zdalne sterowanie komputerem lub zdobycie hasła do konta w Active Directory.

Gdy atakujący zdobędzie już przyczółek w sieci organizacji, zacznie gromadzić informacje, które wcześniej nie były dostępne z zewnątrz. Obejmuje to wyszukiwanie loginów użytkowników, nazw hostów, mapowanie podsieci i systemów, listowanie uprawnień. Ten etap zwany jest rozpoznaniem wewnętrznym, a jego celem jest utworzenie ścieżki ataku, która pozwoli w jak najprostszy i skuteczny sposób zdobyć uprawnienia administratora domeny Active Directory.

Kolejny etap cyber-killchain to lateral movement. W tej fazie atakujący wykorzystuje narzędzia, takie jak Mimikatz, w celu zdobycia poświadczeń przechowywanych lokalnie na początkowo zainfekowanym komputerze. Za ich pomocą dokonuje ,,przeskoku” na inne konto oraz na innego hosta. Celem tej fazy jest zdobycie poświadczeń konta z jak największymi uprawnieniami w domenie oraz dostanie się do najcenniejszych serwerów.

Jeśli przechwycone uprawnienia są wystraczające do wykorzystania znanych exploitów w strukturze Active Directory, atakujący spróbuje różnych technik do włamania się na kontroler domeny i przejęcia konta z uprawnieniami Domain Admin.

Posiadanie uprawnień administratora domeny przez osobę z zewnątrz wiąże się z całkowitą kompromitacją środowiska AD w organizacji. Jeśli więc, haker przeszedł przez cały killchain, może bez żadnych problemów pobrać wrażliwe dane lub namieszać w strukturze firmy.

W poniższych artykułach pokazaliśmy najgroźniejsze ataki hakerskie wykorzystywane w poszczególnych etapach killchain. Omówione zostały techniczne aspekty ataków oraz możliwości ich wykrywania i zapobiegania. Więcej szczegółów w postach poniżej.

Pass-the-Cookie – atak pozwalający obejść MFA

Uwierzytelnianie wieloskładnikowe (ang. MFA) to świetny sposób na zwiększenie bezpieczeństwa aplikacji internetowych, sesji pulpitu zdalnego, VPN i praktycznie każdej innej … Czytaj dalej

Jak haker przechwytuje Twoje hasło, jeśli je zmieniasz w Windows.

Na Kapitanie Hack’u dużo piszemy o bezpieczeństwie haseł użytkowników. Poznanie haseł jest jednym z priorytetów cyberprzestępców. W dzisiejszym, nowym artykule … Czytaj dalej

Jak poznać hasło administratora lub użytkowników logujących się do Twojego komputera?

Jeśli masz odrobinę szczęścia lub „odpowiednie umiejętności” i potrafisz zdobyć lokalne uprawnienia administracyjne na Twoim komputerze w firmie lub zaliczasz … Czytaj dalej

Ocena zabezpieczeń w środowisku IT wykorzystująca metodę ruchu bocznego i eskalację uprawnień w AD

W tym artykule dowiesz się jak szybko i w niezauważony sposób można sprawdzić zabezpieczenia środowiska Active Directory w kontekście zdobycia … Czytaj dalej

Atak na użytkowników w sieci lokalnej poprzez sfałszowanie komunikacji LLMNR i NBT-NS. Przykład i porady.

W tym artykule przedstawimy ciekawy atak Man-in-the-middle (atak pośredniczący) służący do przejmowania poświadczeń użytkowników. Wciąż popularny i wykonywany w niezabezpieczonej … Czytaj dalej

Metody na zrzut pamięci z procesu lsass.exe oraz wyciąganie z niego haseł użytkowników

W dzisiejszym artykule opiszemy różne metody pozwalające wykonać zrzut z pamięci procesu lsass.exe, który na końcu posłuży nam do dekodowania … Czytaj dalej

Ciekawa metoda na wykonanie ruchu bocznego i atakowanie komputerów w sieci – na przykładzie bezplikowego narzędzia SCShell i DNS-Shell

W dzisiejszym artykule opiszemy nową, ciekawą metodę, za pomocą której można wykonać ruch boczny w środowisku Windows i odpalić na … Czytaj dalej

Kradzież haseł użytkowników poprzez DPAPI

Na Kapitanie Hack’u dużo piszemy o bezpieczeństwie, zwłaszcza jeśli dotyczy ono haseł użytkowników. Poznanie haseł jest jednym z największych priorytetów … Czytaj dalej

Przejęcie kontroli nad domeną Active Directory za pomocą usługi serwera wydruku

W tym artykule zademonstrujemy ciekawy sposób na przejęcie kontroli nad Active Directory, wykorzystując do tego tylko jeden serwer z włączoną … Czytaj dalej

Przejęcie domeny Active Directory za pomocą delegacji Kerberos

W tym artykule opiszemy jedno z potencjalnych ryzyk związanych ze źle skonfigurowanymi usługami delegowania Kerberos lub użytkownikami w Active Directory … Czytaj dalej