Koncepcja Killchain wywodzi się z terminologii wojskowej i opisuje taktykę złożonego, planowanego ataku. Jest opisem modelu opartego na poszczególnych fazach całego procesu, który pomaga w informowaniu, a także zapobieganiu atakom ze strony nieprzyjaciela. Im bliżej początku łańcucha atak jest wykryty, tym lepiej. Atakujący posiada wtedy mniej informacji i z pewnością wyrządził dużo mniej szkód. Cyber Killchain, wykorzystywany w cyberbezpieczeństwie, opisuje typowy schemat działania atakujących mających na celu infiltrację sieci wewnętrznej organizacji. Obrazuje fazy ataku oraz najczęściej wykorzystywane techniki i taktyki hakerskie. Przykładowy killchain używany w środowiskach Active Directory  przedstawiono obok.

Przemyślany atak hakerski poprzedzony jest zawsze szczegółowym zdobyciem informacji na temat celu. Obejmuje to informacje o zakresie adresów IP, ilości użytkowników i urządzeń w sieci, działaniach biznesowych firmy, łańcuchu dostaw i klientów, wykorzystywanej technologii itd. Etap ten zwany jest rozpoznaniem zewnętrznym, nazywany również fazą zerową ataku. Atakujący nie robi wtedy jeszcze nic niezgodnego z prawem, po prostu rozgląda się i zbiera powszechnie dostępne informacje. Celem tej fazy killchain’u jest przed wszystkim znalezienie słabych punktów organizacji, które umożliwią dostęp do sieci wewnętrznej.

Dalszym krokiem atakującego jest kompromitacja maszyny w środowisku organizacji, co jest równoznaczne ze zdobyciem dostępu do podstawowych, najmniej chronionych zasobów. Na tym etapie, hakerzy cały czas chętnie korzystają z metod socjotechniki, czyli używają starego dobrego phishingu. Specjalnie spreparowana wiadomość e-mail zawierać będzie szkodliwy załącznik lub link. Po kliknięciu przez użytkownika, na komputerze ofiary zostanie zainstalowane złośliwe oprogramowanie, które pozwoli atakującemu na zdalne sterowanie komputerem lub zdobycie hasła do konta w Active Directory.

Gdy atakujący zdobędzie już przyczółek w sieci organizacji, zacznie gromadzić informacje, które wcześniej nie były dostępne z zewnątrz. Obejmuje to wyszukiwanie loginów użytkowników, nazw hostów, mapowanie podsieci i systemów, listowanie uprawnień. Ten etap zwany jest rozpoznaniem wewnętrznym, a jego celem jest utworzenie ścieżki ataku, która pozwoli w jak najprostszy i skuteczny sposób zdobyć uprawnienia administratora domeny Active Directory.

Kolejny etap cyber-killchain to lateral movement. W tej fazie atakujący wykorzystuje narzędzia, takie jak Mimikatz, w celu zdobycia poświadczeń przechowywanych lokalnie na początkowo zainfekowanym komputerze. Za ich pomocą dokonuje ,,przeskoku” na inne konto oraz na innego hosta. Celem tej fazy jest zdobycie poświadczeń konta z jak największymi uprawnieniami w domenie oraz dostanie się do najcenniejszych serwerów.

Jeśli przechwycone uprawnienia są wystraczające do wykorzystania znanych exploitów w strukturze Active Directory, atakujący spróbuje różnych technik do włamania się na kontroler domeny i przejęcia konta z uprawnieniami Domain Admin.

Posiadanie uprawnień administratora domeny przez osobę z zewnątrz wiąże się z całkowitą kompromitacją środowiska AD w organizacji. Jeśli więc, haker przeszedł przez cały killchain, może bez żadnych problemów pobrać wrażliwe dane lub namieszać w strukturze firmy.

W poniższych artykułach pokazaliśmy najgroźniejsze ataki hakerskie wykorzystywane w poszczególnych etapach killchain. Omówione zostały techniczne aspekty ataków oraz możliwości ich wykrywania i zapobiegania. Więcej szczegółów w postach poniżej.

Atak DCShadow

DCShadow to jedno z najnowszych zagrożeń w środowisku Active Directory wykorzystywane w ostatniej fazie KILLCHAIN. Pozwala atakującemu, który uzyskał już … Czytaj dalej

Bardzo istotny, a mało znany obiekt w AD – AdminSDHolder

AdminSDHolder jest jedną z metod planu “KILLCHAIN” w środowisku Microsoft umożliwiającą utworzenie w domenie tylnej furtki (ang.backdoor), dzięki której atakujący … Czytaj dalej

Kradzież pliku NTDS.dit. Baza danych Active Directory w zasięgu ręki

Kolejną techniką bardzo często wykorzystywaną w wewnętrznym ataku na organizacje jest kradzież pliku ntds.dit z kontrolera domeny. W pliku tym … Czytaj dalej

Crakowanie biletów Kerberos kont serwisowych

Kerberoast to rodzaj ataku, którego celem jest zdobycie poświadczeń kont serwisowych i uzyskanie dostępu do nowych zasobów w domenie. Jest … Czytaj dalej

Pass-the-Hash – wykorzystywanie zdobytych poświadczeń

Pass-the-Hash to jedna z najbardziej znanych technik używanych przez hakerów w planowanym ataku. W poprzednich postach pokazaliśmy jak atakujący zdobywają … Czytaj dalej

Password Spraying, czyli atak odwrotny do Brute Force

Bardzo często w zaplanowanym, wieloetapowym ataku hakerzy dochodzą do momentu, gdzie próbują złamać hasło do konta metodą słownikową. Większość specjalistów … Czytaj dalej

Atak na Active Directory – DCSync

DCSync to jeden z exploitów, który może być użyty w zaplanowanym atakuKILLCHAIN. Pozwala obejść restrykcje dostępu do kontrolera domeny i … Czytaj dalej

Rozpoznanie w środowisku Active Directory poprzez protokół LDAP

Rozpoznanie to pierwszy krok kampanii KILLCHAIN. Od niego rozpoczyna się każdy atak wewnątrz domeny Active Directory. Udane kampanie phishingowe lub … Czytaj dalej