KillChain Hillstone (uproszczony schemat) przedstawia kilka etapów procesu włamywania i związanych z nimi konsekwencji. Poniżej opis łańcucha włamań.

Kluczowym mechanizmem w walce z cyber-przestępcami jest analiza zdarzeń bezpieczeństwa hostów, dzięki inteligentnym NGFW Hillstone Networks dostajesz funkcjonalności, które dają zawansowane systemy Cybersecurity typu SIEM Security Information and Event Management). Nasze NG firewalle znacząco redukują koszty działów SOC (Security Operations Center) ponieważ analizę korelacyjna przeprowadza moduł SI (sztuczna inteligencja). Daje to znacząco zwiększenie Security Visibility dla wsparcia działow SOC.

Inicjalizacja oznacza znalezienie przez włamywacza podatności/słabości w systemie lub uzywanych aplikacjach i wykorzystanie jej do wysłania/wstrzyknięcia exploita/złośliwego kodu. (np. przepełnienie bufora na stosie lub stercie, czy format string) w celu przejęcia kontroli nad działaniem procesu.

Wskazanie na etap zarządzania i kontroli (ang. “Command and Control”) oznacza że zainfekowany komputer został przejęty przez hackera i znajduje się pod jego kontrolą.
Wykrycie takiego stanu przez klasyczne firewalle lub antywirusy jest bardzo trudne a często niemożliwe, ponieważ starannie zaprojektowane malware nie wykonuje podejrzanych operacji, w widoczny sposób nie obciąża systemu i nie generuje ruchu sieciowego, wyglądającego na szkodliwy.

Obecność zainfekowanych stacji oznacza, że włamywacz przedostał się do wewnątrz systemu operacyjnego. Mając kontrolę nad komputerem, może go wykorzystywać do wcześniej założonych, własnych celów. Taką eksploatację zasobów nazywamy monetyzacją (“Monetization”).
W ramach monetyzacji, przechwycony komputer może m. in.:
– stać sie bezpośrednim komputerem w włamaniu (nasz IP bedzie widoczny dla atakowanego)
– rozsyłać niechciane wiadomości, głównie ofertowe/reklamowe (spamować)
– rozpowszechniać lub pośredniczyć w rozpowszechnianiu nielegalnych treści (przenosić ryzyko ewentualnej odpowiedzialności karnej)
– być komputerem zombie dla sieci typu Bot Net;
– wykonywać ataki np. flood, DoS, lub w koordynacji z innymi zombie (DDoS)
– zajmować się monetyzacją rozumianą dosłownie, tzn. wykorzystywać moc obliczeniową do kopania kryptowalut

Jeśli łańcuch łamania zabezpieczeń dochodzi do sygnalizowania tzw. “ataków bocznych” oznacza to, że włamujący się – zdążył już dalece eskalować swoje uprawnienia wewnątrz sieci.
Cele ataków na tym etapie bywają już inne od pierwotnych (injekcja, kontrola, monetyzacja).
W dalszej kolejności celem włamania są hosty z danymi i usługami bardzo wrażliwymi, opisanymi jako tzw. “aktywa krytyczne”, więcej tutaj: Critical Assets – (zabezpieczenia.it)
Hosty takie, ze względów bezpieczeństwa, nie mają dostępu do Internetu, za to mają do nich dostęp inne stacje z sieci lokalnej, w tym także stacje zainfekowane.
Atak “od środka” może być skierowany na serwer z poufnymi informacjami, świadczący usługi tylko wewnątrz firmy/instytucji lub na macierz dyskową odpowiedzialną za kopie zapasowe (backup).

Często cyber-przestępca wykorzystuje techniki cyber-ataków w sieci lokalnej Man in the middle – (atak kryptologiczny polegający na podsłuchu i modyfikacji wiadomości przesyłanych pomiędzy dwiema stronami bez ich wiedzy)

Przez eksfiltrację rozumiemy tutaj nieuprawnione wydobycie informacji z infrastruktury komputerowej/sieciowej i przechwycenie ich przez intruza.
Wyciek jest zdarzeniem nieodwracalnym, a dalszy los danych skradzionych może być bardzo rozmaity i/lub nieznany. Czesto przy dedykowanych atakach APT (Advanced Threat Persistence) dane te przekazywane są zleceniodawcy cyberprzestępcy, lub upubliczniane w sieciach TOR. Czasamy cyberprzestepcy uciekają się też do szantażu.