Cyber Terrorism & Information warfare – Article 02 (Cyber Kill chain – CKC)

ඔයාලට මතකනේ අපි කලින් article එකෙන් Stuxnet attack එක ගැන කතා කරා. Cyber security specialist ලා කියන විදියට Stuxnet attack එක ගොඩක් හොදට plan කරලා කරපු attack එකක් කිව්වොත් හරියටම හරි.   මේ   attack  එක කොහොමද මෙච්චර හොදට කරේ? මේකට use කරපු methods මොනවද? අද article එකෙන් අපි ඒ ගැන කතා කරමු.

ඔයාලා දන්නවනේ තාක්ශනයේ දියුණුවත් එක්ක අද වෙනකොට hack කරන්න එක එක tools ලෝකෙට ඇවිල්ල තියෙනවා. ඒ නිසා මේ වෙනකොට national security and critical infrastructure ගැන ගොඩක් තැන් වල කතා කරනවා. ඒ විදියට ලෝකෙම කතා වෙන method  එකක් තමයි Cyber Kill chain කියලා කියන්නේ.

සරලවම කිව්වොත් Cyber Kill chain එකේ attacker කෙනෙක් අපේ system එකට enter වෙන විදිය සහ system එකට  damage කරන විදිය explain කරලා තියෙනවා. Cyber Kill chain එක හොයා ගත්තේ Lockheed Martin ඒ 2011 දී.

Cyber Kill chain එකේ main process 7 ක් තියෙනවා. Successful attack එකක් කරන්න නම් attacker අනිවාර්‍යෙන්ම මේ steps 7 ම පිලිවෙලට කරන්න ඕනි. Cyber Kill chain එක develop කරපු Lockheed Martin සහ මේ වෙකොට ඉන්න cyber security experts ලගේ එකම අරමුණ එක එක steps වලදී attackers ලගෙන් system වලට වෙන්න පුලුවන් damage එක අවම කරලා national security and critical infrastructure එක protect කරන එක කිව්වොත් හරියටම හර්‍රි. අපි කලින් කතා කරානේ Cyber Kill chain එකේ main process 7 ක් තියෙනවා කියලා.

දැන් අපි මේ Steps attacker ට සහ Defender ට බලා පාන විදිය ගැන කතා කරමු

Reconnaissance (Identify the target)

හරි මුලිනම් අපි attacker ගේ side එකෙන් reconnaissance ගැන කතා කරමු. Reconnaissance කියලා කියන්නේ ඇත්තටම කිව්වොත් information gathering වලට. ඔයා example එකක් විදියට හිතන්නකෝ ABC කියලා company එකක් තියෙනවා. Attacker කෙනෙක් මේ company එකේ CEO ගේ bank account එකෙන් සල්ලි හොරකම් කරන්න යනවා. එක පාරටම මේ වැඩේ කරන්න බෑනේ. ඒ නිසා attacker මුලිනම් CEO ගේ email address, social media ( FB , WhatsApp , LinkedIn, Twitter) ගැන details හොයනවා. මේ දේවල් හොයා ගත්තට පස්සේ attacker user ගේ email or social media accounts වල week points මොනවද කියලා identify කර ගන්නවා. Attacker මොකක් හරි system එකකට attack කරන්න ඉන්නවා නම්, මේ step එකේදී system එකේ week points identify කර ගන්නවා.

දැන් අපි defender ගේ  side එකෙන් reconnaissance ගැන කතා කරමු. මේක නම් ටිකක් අමාරු process එකක්. හැබැයි අපට මේ process එක හරියටම implement කරන්න පුලුවන් නම් cyber attacks ගැන බය වෙන්න දෙයක් නෑ. හරි අපි කලින් කතා කරානේ ABC කියන company එකේ CEO ගැන attacker කෙනෙක් විස්තර හොයනවා කියලා. එතකොට එහෙම attacker කෙනෙක් අපි ගැන හරි මොකක් හරි company එකක් ගැන හරි details හොයනකොට මොනවා හරි security alerts තියෙනවා නම් අපට මේ වගේ attacks සෑහෙන දුරට වලක්වා ගන්න පුලුවන්.

Example එකක් ව්දියට කිව්වොත් website visitor logs ගැන බලලා අපට මේ process එකේදී security එක implement කරන්න පුලුවන්. ඒ වගේම තමයි company එකක නම් web administrator ට  system එක සම්බන්ද analytics වැඩ කරන්න පුලුවන්. ඒ වගේම තමයි browsing behaviors ගැන හොයලා බලන්න detections methods implement කරන්න පුලුවන්. දැන් අපි Cyber Kill chain එකේ second step එක attacker ට සහ defender ට බලපාන විදිය බලමු.

Weaponization (Prepare the operation)

මේකෙත් අපි මුලින්ම attacker ගේ side එකෙන් කතා කරමු. ඔයාලට මතකනේ අපි කලින් step එකේදී කිව්වා attacker system එකේ week points (Vulnerability) මොනවද කියලා අදුර ගන්නවා කියලා. ඉතිං එහෙම අදුර ගත්ත Vulnerability වලට අදාලව attacker මේ step එකේදී code එකක් හරි program එකක් හරි හදලා system එකට enter වෙන්න plan කරනවා. (Try to exploit the weakness)

Defender ගේ side එකෙන් weaponization වලදී මොනවද එතකොට කරන්න පුලුවන්? හරි අපි කලින් කිව්වනේ weaponization වලදී attacker මේ step එකේදී code එකක් හරි program එකක් හරි හදලා system එකට enter වෙන්න plan කරනවා කියලා. එහෙම එයලා try කරනවා කියලා defender ට ලේසියෙන් detect කර ගන්න වෙන්නේ නෑ. ඇත්තටම කිව්වොත් defender ගේ side එකෙන් ගත්තම weaponization කියලා කියන්නේ අමාරු process එකක්. හැබැයි මොකක් හරි attack එකක් වෙන්න කලින් ඒකට පෙර සූදානමක් විදියට කරන්න ඕනි දේවල් මේ step එකේදී defender ට කරන්න පුලුවන්. Example විදියට company එකක නම් computer වලට virus guard දාන එක, දැනට company එකේ run වෙන software and programs මොනවද කියල අදුර ගෙන ඒවගේ vulnerability repair කරන එක, Cyber attack ගැන සහ ඒවගෙන් protect වෙන විදි ගැන company එකේ අයව දැනුවත් කරන එක වහේ දේවල් අපට ගන්න පුලුවන්.

Delivery (Launch the operation)

අපි කලින් කිව්වනේ Vulnerability වලට අදාලව attacker code එකක් හරි program එකක් හරි හදනවා කියලා. මේක attacker ගේ device එකට එහෙම නැත්නම් system එකට යවන්නේ එහෙම නැත්නම් attack එක launch කරන්නේ කොහොමද කියලා තමයි මේ step එකේදී කතා කරන්නේ. මේකෙදී ගොඩක් වෙලාවට attackers USD Drives through, email through operation launch කරනවා.

එතකොට මේ වගේ වෙලාවට defender ට මොනවද කරන්න පුලුවන්? එයාල මේ වගේ අවස්තා වලදී company එකේ organization එකේ ඉන්න අයට මේ attack එක ගැන දැනුවත් කරන්න් පුලුවන්. ඒ කියන්නේ අදාල නැති email click කරන්න එපා සහ අදාල නැති USD Drives click කරන්න එපා කියලා employees ලා දැනුවත් කරන්න පුලුවන්.

Exploitation (Gain access)

මේ step එකේදී තමයි අපේ system එකේ තිබ්බ vulnerability එක හරහා attackers ලා අපේ  system එකට ඇතුල් වෙන්නේ.

එතකොට ඒ වගේ වෙලාවකදී defender ට එක පාරට කරන්න දෙයක් නැහැ. හැබැයි අපි කලින් කිව්ව වගේ user awareness trainings පවත්වන එක, penetrating testing, regular vulnerability scanning, email testing වගේ methods use කරා නම් attack එක වලක්වා ගන්න තිබ්බා.

Installation (Breach the system)

දැන් attacker අපේ system එකට ඇතුල් වෙලානේ තියෙන්නේ. එහෙම එක පාරට ඇතුල් වෙච්ච ගමන් attacker ට අපේ system එකේ සේරම data ගන්න බෑනේ. මේ process එකේදී attacker එක එක methods use කරලා අපේ මුලු system එකේම තියෙන data ගන්න try කරනවා. ඒකට සමහර වෙලාවට එයාලා වෙනම software install කරන්න පුලුවන්. ඒ වගේම backdoors create කරන්නත් පුලුවන්.

Defender ගේ side එකෙන් මේ වෙලාවෙදී කරන්න පුලුවන් වැදගත්ම දෙයක් තමයි auditing කියලා කියන්නේ. ඒ කියන්නේ අපේ දැනුවත් වීමෙන් තොරව එක එක software & programs run වෙනවද කියලා බලන එක.  

Command & Control (C2)

දැන් attacker ට අදාල system එක remotely control කරන්න පුලුවන් වෙනවා. මේකෙදි attacker ගේ device එක අතර සහ victim ගේ device එක අතර two way communication channel එකක් create වෙනවා. ගොඩක් වෙලාවට මේවා create වෙන්නේ web, DNS, email protocol හරහා.

මේ වගේ වෙලාවකදී defender ට Command & Control process එක නවත්වන්න පුලුවන්. ඒකට server poising කරන්න පුලුවන්. ඒ වගේම තමයි HTTP, DNS server වලට proxy server through protection එකක් දෙන්න පුලුවන්.

Action on objectives (Mission achieved)

Action on objectives කියලා කියන්නේ last step එක. ඒ කියන්නේ attackers ලා අපේ system එක සම්පූර්නෙයෙන්ම අල්ලගෙන එවරයි. දැන් attackers ලා දෙන command අනුව තමයි අපේ system එක වැඩ කරන්නේ. ඒක නිසා එයාලට, Collect user credentials, privilege escalation , internal reconnaissance, lateral movement through environment, collect and exfiltrate data, destroy system වගේ දේවල් කරන්න පුලුවන් වෙනවා.

මේ වගේ වෙලාවකදී defender ට කරන්න තියෙන්නේ forensic investigation එකකට දෙන්න පුලුවන් විදියට evidence collect කර ගන්න එක. ඒක මේ වගේ අවස්තාවලදී ගොඩල් වැදගත් වෙනවා. ඊට අමතරව damage assessment එකක් කරන් එකත් මේ අවස්තාවේ ගොඩක් වැදගත් වෙනවා.

දැන් අපි Cyber Kill chain එකේ step 7 ගැන examples එක්ක හොද idea එකක් ගත්තා. Attacks වලින් prevent වෙන්න ඕනි විදිය ගැනත් කතා කරා. අපි කතා කරපු methods වලට අමතරව ඔයාට Cyber Kill chain එකේ ඕනෑම අවස්තාවක් use කරන්න පුලුවන් layer 6 ක security control එකක් තියෙනවා.

1. Detect – Analyze and find the intrusion attempts

2. Deny – Stop the attacks as they happen.

3. Disrupt – Stop the data communication

4. Degrade – Reduce and limit the efficacy of the attack

5. Deceive – Lead the attackers in the wrong direction.

6. Contain – Conceal and restrict the attacks reach so that it only affects a portion of the organization

Cyber Kill chain යටතේ අපට කතා කරන්න තියෙන්නේ මේ දේවල්. ඊලග article එකෙන් අපි තවත් අලුත් දෙයක් ගැන කතා කරමු.