Koncepcja Killchain wywodzi się z terminologii wojskowej i opisuje taktykę złożonego, planowanego ataku. Jest opisem modelu opartego na poszczególnych fazach całego procesu, który pomaga w informowaniu, a także zapobieganiu atakom ze strony nieprzyjaciela. Im bliżej początku łańcucha atak jest wykryty, tym lepiej. Atakujący posiada wtedy mniej informacji i z pewnością wyrządził dużo mniej szkód. Cyber Killchain, wykorzystywany w cyberbezpieczeństwie, opisuje typowy schemat działania atakujących mających na celu infiltrację sieci wewnętrznej organizacji. Obrazuje fazy ataku oraz najczęściej wykorzystywane techniki i taktyki hakerskie. Przykładowy killchain używany w środowiskach Active Directory  przedstawiono obok.

Przemyślany atak hakerski poprzedzony jest zawsze szczegółowym zdobyciem informacji na temat celu. Obejmuje to informacje o zakresie adresów IP, ilości użytkowników i urządzeń w sieci, działaniach biznesowych firmy, łańcuchu dostaw i klientów, wykorzystywanej technologii itd. Etap ten zwany jest rozpoznaniem zewnętrznym, nazywany również fazą zerową ataku. Atakujący nie robi wtedy jeszcze nic niezgodnego z prawem, po prostu rozgląda się i zbiera powszechnie dostępne informacje. Celem tej fazy killchain’u jest przed wszystkim znalezienie słabych punktów organizacji, które umożliwią dostęp do sieci wewnętrznej.

Dalszym krokiem atakującego jest kompromitacja maszyny w środowisku organizacji, co jest równoznaczne ze zdobyciem dostępu do podstawowych, najmniej chronionych zasobów. Na tym etapie, hakerzy cały czas chętnie korzystają z metod socjotechniki, czyli używają starego dobrego phishingu. Specjalnie spreparowana wiadomość e-mail zawierać będzie szkodliwy załącznik lub link. Po kliknięciu przez użytkownika, na komputerze ofiary zostanie zainstalowane złośliwe oprogramowanie, które pozwoli atakującemu na zdalne sterowanie komputerem lub zdobycie hasła do konta w Active Directory.

Gdy atakujący zdobędzie już przyczółek w sieci organizacji, zacznie gromadzić informacje, które wcześniej nie były dostępne z zewnątrz. Obejmuje to wyszukiwanie loginów użytkowników, nazw hostów, mapowanie podsieci i systemów, listowanie uprawnień. Ten etap zwany jest rozpoznaniem wewnętrznym, a jego celem jest utworzenie ścieżki ataku, która pozwoli w jak najprostszy i skuteczny sposób zdobyć uprawnienia administratora domeny Active Directory.

Kolejny etap cyber-killchain to lateral movement. W tej fazie atakujący wykorzystuje narzędzia, takie jak Mimikatz, w celu zdobycia poświadczeń przechowywanych lokalnie na początkowo zainfekowanym komputerze. Za ich pomocą dokonuje ,,przeskoku” na inne konto oraz na innego hosta. Celem tej fazy jest zdobycie poświadczeń konta z jak największymi uprawnieniami w domenie oraz dostanie się do najcenniejszych serwerów.

Jeśli przechwycone uprawnienia są wystraczające do wykorzystania znanych exploitów w strukturze Active Directory, atakujący spróbuje różnych technik do włamania się na kontroler domeny i przejęcia konta z uprawnieniami Domain Admin.

Posiadanie uprawnień administratora domeny przez osobę z zewnątrz wiąże się z całkowitą kompromitacją środowiska AD w organizacji. Jeśli więc, haker przeszedł przez cały killchain, może bez żadnych problemów pobrać wrażliwe dane lub namieszać w strukturze firmy.

W poniższych artykułach pokazaliśmy najgroźniejsze ataki hakerskie wykorzystywane w poszczególnych etapach killchain. Omówione zostały techniczne aspekty ataków oraz możliwości ich wykrywania i zapobiegania. Więcej szczegółów w postach poniżej.

Przeprowadzenie ataku NTLM Relay z wykorzystaniem usług Active Directory Web Services/WCF

Protokół uwierzytelniania NTLM, z powodu swoich słabości, od kilku lat jest często używany przez zespoły RedTeam oraz atakujących w infrastrukturze … Czytaj dalej

Zerologon, czyli GAME OVER dla firm? Demo Ataku i jak się chronić

W poprzednim artykule rozpisywaliśmy się na temat słynnej podatności Zerologon. W dzisiejszym skupimy się bardziej na technicznych aspektach tej podatności … Czytaj dalej

Nowy sposób na poznanie haseł użytkowników w Windows!

W tym artykule opiszemy kolejny i ciekawy sposób na przechwycenie bieżącego hasła użytkownika w postaci jawnego tekstu w systemie Windows. … Czytaj dalej

Sabotaż na koncie Admina! Kradzież biletu Kerberos i użycie go na Linux/Unix do dalszego ataku

W dzisiejszym artykule opiszemy nietypowy atak, przy pomocy którego będziemy mogli przeprowadzić sabotaż na koncie Administratora w organizacji. Skradniemy jego … Czytaj dalej

Pass-the-Cookie – atak pozwalający obejść MFA

Uwierzytelnianie wieloskładnikowe (ang. MFA) to świetny sposób na zwiększenie bezpieczeństwa aplikacji internetowych, sesji pulpitu zdalnego, VPN i praktycznie każdej innej … Czytaj dalej

Jak haker przechwytuje Twoje hasło, jeśli je zmieniasz w Windows.

Na Kapitanie Hack’u dużo piszemy o bezpieczeństwie haseł użytkowników. Poznanie haseł jest jednym z priorytetów cyberprzestępców. W dzisiejszym, nowym artykule … Czytaj dalej

Jak poznać hasło administratora lub użytkowników logujących się do Twojego komputera?

Jeśli masz odrobinę szczęścia lub „odpowiednie umiejętności” i potrafisz zdobyć lokalne uprawnienia administracyjne na Twoim komputerze w firmie lub zaliczasz … Czytaj dalej

Ocena zabezpieczeń w środowisku IT wykorzystująca metodę ruchu bocznego i eskalację uprawnień w AD

W tym artykule dowiesz się jak szybko i w niezauważony sposób można sprawdzić zabezpieczenia środowiska Active Directory w kontekście zdobycia … Czytaj dalej

Atak na użytkowników w sieci lokalnej poprzez sfałszowanie komunikacji LLMNR i NBT-NS. Przykład i porady.

W tym artykule przedstawimy ciekawy atak Man-in-the-middle (atak pośredniczący) służący do przejmowania poświadczeń użytkowników. Wciąż popularny i wykonywany w niezabezpieczonej … Czytaj dalej

Metody na zrzut pamięci z procesu lsass.exe oraz wyciąganie z niego haseł użytkowników

W dzisiejszym artykule opiszemy różne metody pozwalające wykonać zrzut z pamięci procesu lsass.exe, który na końcu posłuży nam do dekodowania … Czytaj dalej