Cách thức hoạt động của các cuộc tấn công mạng

Cách thức hoạt động của các cuộc tấn công mạng

Hiểu được các kiểu tấn công và các giai đoạn liên quan sẽ giúp bạn tự vệ tốt hơn.

Cuộc tấn công, đặc biệt nếu cuộc tấn công được thực hiện bởi một đối thủ có kinh nghiệm, có thể bao gồm các giai đoạn lặp lại. Hiểu được các kiểu tấn công và các giai đoạn liên quan sẽ giúp bạn tự bảo vệ mình tốt hơn.

Sẽ rất hữu ích khi nhóm các cuộc tấn công thành hai loại: nhắm mục tiêu và không nhắm mục tiêu.

Alert to logistics and shipping as digital detectives unmask new cyber attack - The Loadstar

Các cuộc tấn công mạng không định hướng

Trong một cuộc tấn công thù địch, những kẻ tấn công nhắm mục tiêu bừa bãi vào càng nhiều thiết bị, dịch vụ hoặc người dùng càng tốt. Họ không quan tâm nạn nhân là ai, sẽ có một số máy hoặc dịch vụ có lỗ hổng như thế nào. Để làm điều này, họ sử dụng các phương pháp tận dụng tính mở của Internet, bao gồm:

lừa đảo – gửi email đến nhiều người yêu cầu thông tin nhạy cảm (chẳng hạn như chi tiết ngân hàng) hoặc khuyến khích họ truy cập trang web giả mạo
water holing – tạo trang web giả mạo hoặc xâm phạm trang web hợp pháp để khai thác lượt truy cập của người dùng
Ransomware – có thể bao gồm việc phân phối phần mềm độc hại ransomware mã hóa đĩa
quét – tấn công một loạt các mạng Internet một cách ngẫu nhiên

Các cuộc tấn công mạng có mục tiêu

How to Protect Your Small Business from Cyber Attacks – Bytestart

Trong một cuộc tấn công có chủ đích, tổ chức của bạn nổi bật vì kẻ tấn công có mối quan tâm đặc biệt đến doanh nghiệp của bạn hoặc được trả tiền để nhắm mục tiêu bạn. Cơ sở cho một cuộc tấn công có thể mất hàng tháng, vì vậy họ có thể tìm ra con đường tốt nhất để cung cấp việc sử dụng trực tiếp đến hệ thống của bạn (hoặc người dùng). Một cuộc tấn công có chủ đích thường thực hiện nhiều hơn một cuộc tấn công liều lĩnh vì nó được thiết kế đặc biệt để tấn công hệ thống, quy trình hoặc nhân viên của bạn, trong văn phòng và đôi khi ở nhà. Các cuộc tấn công có mục tiêu có thể bao gồm:

lừa đảo trực tuyến – Gửi email đến các cá nhân được nhắm mục tiêu có thể chứa tệp đính kèm với phần mềm độc hại hoặc liên kết tải xuống phần mềm độc hại
triển khai botnet – để thực hiện các cuộc tấn công DDOS (từ chối dịch vụ phân tán)
gián đoạn chuỗi cung ứng – một cuộc tấn công vào phần cứng hoặc phần mềm được cung cấp cho một tổ chức

Các giai đoạn tấn công

Cho dù cuộc tấn công được nhắm mục tiêu hay không có mục tiêu, hoặc liệu kẻ tấn công sử dụng các công cụ thương mại hoặc tùy chỉnh, các cuộc tấn công mạng đều chia sẻ một số giai đoạn chung. Cuộc tấn công, đặc biệt nếu nó được thực hiện bởi một kẻ thù dai dẳng, có thể bao gồm các giai đoạn lặp lại. Kẻ tấn công đang thăm dò một cách hiệu quả hàng phòng thủ của bạn để tìm các điểm yếu, nếu khai thác được, chúng sẽ đưa chúng đến gần mục tiêu cuối cùng hơn. Hiểu rõ các bước này sẽ giúp bạn bảo vệ bản thân tốt hơn.

Chúng tôi đã áp dụng một phiên bản đơn giản của Chuỗi tiêu diệt mạng (do Lockheed Martin sản xuất) để mô tả bốn giai đoạn chính liên quan đến hầu hết các cuộc tấn công mạng:

Xem xét – nghiên cứu và phân tích thông tin mục tiêu có sẵn để xác định các lỗ hổng tiềm ẩn
Phân phối – đến một điểm trong hệ thống có thể khai thác lỗ hổng bảo mật
Vi phạm – khai thác lỗ hổng / lỗ hổng để đạt được một số hình thức truy cập trái phép
Ảnh hưởng – thực hiện các hành động trong hệ thống nhằm đạt được mục tiêu của kẻ tấn công

Giai đoạn khảo sát

Những kẻ tấn công sẽ sử dụng bất kỳ phương tiện nào có sẵn để tìm ra các lỗ hổng kỹ thuật, thủ tục hoặc vật lý mà chúng có thể cố gắng khai thác.

Họ sẽ sử dụng nội dung nguồn mở như LinkedIn và Facebook, dịch vụ tìm kiếm / quản lý tên miền và mạng xã hội. Họ sẽ sử dụng các bộ công cụ và kỹ thuật hàng hóa, cũng như các công cụ quét mạng tiêu chuẩn, để thu thập và đánh giá bất kỳ thông tin nào về máy tính, hệ thống bảo mật và nhân sự của tổ chức bạn.

Lỗi người dùng cũng có thể tiết lộ thông tin có thể được sử dụng trong các cuộc tấn công. Những lỗi thường gặp bao gồm:

phát hành thông tin về mạng của tổ chức trên diễn đàn hỗ trợ kỹ thuật
bỏ qua việc xóa các thuộc tính ẩn khỏi tài liệu như tác giả, phiên bản phần mềm và vị trí lưu tệp
Những kẻ tấn công cũng sẽ sử dụng kỹ thuật xã hội (thường thông qua phương tiện truyền thông xã hội) để khai thác sự ngây thơ và thiện chí của người dùng để có được thông tin bổ sung, ít công khai hơn.

>>> Tìm hiểu chi tiết: https://digitalfuture.vn/top-7-bai-viet-thu-thuat-loi-thuong-gap-va-cach-su-ly-tren-may-tinh

Giai đoạn giao hàng

Trong giai đoạn phân phối, kẻ tấn công sẽ tìm cách xâm nhập vào một vị trí mà chúng có thể khai thác một lỗ hổng mà chúng đã xác định hoặc chúng nghĩ có thể tồn tại. Những ví dụ bao gồm:

cố gắng truy cập các dịch vụ trực tuyến của tổ chức
gửi email chứa liên kết đến trang web độc hại hoặc tệp đính kèm có chứa mã độc hại
để usb bị nhiễm virus tránh xa tại hội chợ
tạo một trang web giả mạo với hy vọng rằng người dùng sẽ truy cập
Giải pháp quan trọng đối với kẻ tấn công là chọn đường phân phối tốt nhất cho phần mềm độc hại hoặc các lệnh cho phép chúng xâm phạm hệ thống phòng thủ của bạn. Trong trường hợp bị tấn công DDOS, họ có thể thực hiện một số kết nối với máy tính để ngăn chặn

Giai đoạn vi phạm

Tác hại đối với doanh nghiệp của bạn sẽ phụ thuộc vào bản chất của lỗ hổng và cách nó được khai thác. Điều này có thể cho phép họ:

thực hiện các thay đổi ảnh hưởng đến hiệu suất hệ thống
truy cập tài khoản trực tuyến
toàn quyền kiểm soát máy tính, máy tính bảng hoặc điện thoại thông minh của người dùng
Bằng cách làm này, kẻ tấn công có thể giả làm nạn nhân và sử dụng quyền hạn hợp pháp của mình để truy cập vào các hệ thống và thông tin khác.

Giai đoạn ảnh hưởng

Kẻ tấn công có thể cố gắng kiểm tra hệ thống của bạn, mở rộng quyền truy cập của chúng và thiết lập sự hiện diện thường xuyên (một quá trình đôi khi được gọi là “hợp nhất”). Việc lấy một tài khoản người dùng thường đảm bảo sự hiện diện lâu dài. Với quyền truy cập quản trị chỉ vào một hệ thống, họ có thể cố gắng cài đặt các công cụ quét tự động để tìm hiểu thêm về mạng của bạn và kiểm soát nhiều hệ thống hơn. Khi làm như vậy, họ sẽ hết sức cẩn thận để không kích hoạt các quy trình giám sát hệ thống và thậm chí họ có thể vô hiệu hóa chúng tạm thời.

Những kẻ tấn công đã xác định và không bị phát hiện tiếp tục cho đến khi chúng đạt được mục tiêu cuối cùng, có thể bao gồm:

lấy thông tin mà nếu không họ sẽ không thể truy cập, chẳng hạn như tài sản trí tuệ hoặc thông tin bí mật thương mại
thực hiện các thay đổi có lợi cho họ, chẳng hạn như thanh toán vào tài khoản ngân hàng mà họ kiểm soát
gián đoạn kinh doanh, chẳng hạn như làm quá tải kết nối internet của tổ chức để họ không thể giao tiếp từ bên ngoài hoặc xóa toàn bộ hệ điều hành khỏi máy tính của người dùng
Sau khi đạt được mục tiêu, một kẻ tấn công có khả năng hơn sẽ xuất hiện, cẩn thận loại bỏ mọi bằng chứng về sự hiện diện của chúng. Hoặc họ có thể tạo một tuyến đường truy cập cho những lần họ ghé thăm trong tương lai hoặc cho những người khác mà họ đã bán quyền truy cập cho họ. Ngoài ra, một số kẻ tấn công sẽ muốn làm hỏng hệ thống của bạn nghiêm trọng hoặc gây ra tiếng ồn càng nhiều càng tốt để quảng cáo thành công của họ.