• Kill Chain cyberataku – jak wygląda atak krok po kroku od rekonesansu do eksfiltracji danych
    Cyberbezpieczeństwo Hacking

    Kill Chain cyberataku – jak wygląda atak krok po kroku od rekonesansu do eksfiltracji danych

    Marek „Netbe” Lampart Opublikowane w

    🔐 Kill Chain cyberataku – jak wygląda atak krok po kroku od rekonesansu do eksfiltracji danych

    Cyberataki nie dzieją się przypadkowo. W zdecydowanej większości są realizowane według powtarzalnego schematu, znanego jako Cyber Kill Chain. Zrozumienie tego modelu pozwala wcześnie wykrywać zagrożenia, skuteczniej je blokować oraz mapować incydenty do frameworków takich jak MITRE ATT&CK.

    Ten artykuł pokazuje pełną ścieżkę ataku – od rekonesansu po eksfiltrację danych, z realnymi technikami stosowanymi przez atakujących i praktycznymi punktami obrony.

    🧠 Czym jest Cyber Kill Chain?

    Cyber Kill Chain to model opisujący kolejne etapy cyberataku, pierwotnie opracowany przez Lockheed Martin. W praktyce jest to:

    mapa drogi atakującego – od zbierania informacji aż po kradzież danych lub sabotaż.

    Model idealnie pasuje do:

    • analiz powłamaniowych (DFIR),
    • SOC i SIEM,
    • mapowania do MITRE ATT&CK,
    • edukacji i podnoszenia świadomości bezpieczeństwa.

    🔍 Etap 1: Reconnaissance (rekonesans)

    🎯 Cel atakującego

    Zebrać jak najwięcej informacji bez wzbudzania alarmów.

    Czytaj  Malware na Urządzenia Mobilne: Specyfika trojanów i złośliwego oprogramowania atakującego smartfony i tablety

    🔧 Realne techniki

    • OSINT (LinkedIn, GitHub, ogłoszenia rekrutacyjne)
    • skanowanie DNS, WHOIS, subdomen
    • Google Dorking
    • pasywne skanowanie portów
    • wycieki danych (Have I Been Pwned, pastebin)

    🧨 Gdzie zawodzi obrona?

    • brak monitoringu ekspozycji publicznej
    • ujawnianie technologii w nagłówkach HTTP
    • publiczne repozytoria z danymi dostępowymi

    🛡️ Obrona

    • ograniczanie informacji publicznych
    • narzędzia ASM (Attack Surface Management)
    • polityka publikowania danych technicznych

    📌 MITRE ATT&CK:
    TA0043 – Reconnaissance

    🚪 Etap 2: Initial Access (pierwszy dostęp)

    🎯 Cel

    Uzyskać pierwsze wejście do środowiska ofiary.

    🔧 Techniki ataku

    • phishing (HTML smuggling, MFA fatigue)
    • exploit podatności (VPN, Exchange, Citrix)
    • skradzione hasła (credential stuffing)
    • złośliwe załączniki Office / ISO / LNK

    🧨 Najczęstsze błędy

    • brak MFA
    • opóźnione aktualizacje
    • użytkownicy lokalni z uprawnieniami admina

    🛡️ Obrona

    • MFA wszędzie, bez wyjątków
    • EDR/XDR
    • filtrowanie poczty + sandboxing

    📌 MITRE ATT&CK:
    TA0001 – Initial Access

     

    Kill Chain cyberataku – jak wygląda atak krok po kroku od rekonesansu do eksfiltracji danych
    Kill Chain cyberataku – jak wygląda atak krok po kroku od rekonesansu do eksfiltracji danych

    🧷 Etap 3: Persistence (utrzymanie dostępu)

    🎯 Cel

    Zapewnić długotrwałą obecność, nawet po restarcie systemu.

    🔧 Techniki

    • klucze Run / RunOnce
    • harmonogram zadań
    • usługi Windows
    • backdoory w kontach AD
    • modyfikacja GPO

    🧨 Dlaczego obrona zawodzi?

    • brak monitoringu zmian systemowych
    • zbyt szerokie uprawnienia
    • brak audytu AD

    🛡️ Obrona

    • monitorowanie autostartu
    • audyt GPO i kont uprzywilejowanych
    • EDR z regułami behawioralnymi

    📌 MITRE ATT&CK:
    TA0003 – Persistence

    🔄 Etap 4: Lateral Movement (ruch boczny)

    🎯 Cel

    Rozszerzyć dostęp na inne systemy, w szczególności serwery i AD.

    🔧 Techniki

    • Pass-the-Hash / Pass-the-Ticket
    • RDP, SMB, WinRM
    • kradzież poświadczeń z LSASS
    • exploitation trust relationships

    🧨 Typowe problemy

    • brak segmentacji sieci
    • jeden administrator dla całej domeny
    • brak monitoringu ruchu wewnętrznego

    🛡️ Obrona

    • segmentacja sieci
    • LAPS / gMSA
    • monitorowanie ruchu east-west

    📌 MITRE ATT&CK:
    TA0008 – Lateral Movement

    📤 Etap 5: Exfiltration (eksfiltracja danych)

    🎯 Cel

    Wyniesienie danych bez wykrycia.

    Czytaj  Techniki Application Layer Gateway (ALG) Exploitation do Omijania Firewalli

    🔧 Techniki

    • HTTPS do C2
    • DNS tunneling
    • chmura (Dropbox, OneDrive)
    • archiwa + szyfrowanie
    • transfer w godzinach pracy

    🧨 Dlaczego to się udaje?

    • brak DLP
    • brak analizy ruchu szyfrowanego
    • zaufanie do legalnych usług chmurowych

    🛡️ Obrona

    • DLP
    • TLS inspection (tam gdzie możliwe)
    • monitoring anomalii transferu

    📌 MITRE ATT&CK:
    TA0010 – Exfiltration

    🧭 Jak mapować Kill Chain do MITRE ATT&CK?

    Kill Chain MITRE ATT&CK
    Recon TA0043
    Initial Access TA0001
    Persistence TA0003
    Lateral Movement TA0008
    Exfiltration TA0010

    👉 MITRE ATT&CK jest bardziej szczegółowy, ale Kill Chain świetnie nadaje się do narracyjnego opisu ataku, raportów i edukacji.

    ✅ Najważniejsze wnioski

    • Ataki są procesem, nie pojedynczym zdarzeniem
    • Najłatwiej zatrzymać atak na wczesnych etapach
    • Brak segmentacji i MFA to nadal największe problemy
    • Kill Chain + MITRE ATT&CK = najlepsze połączenie analityczne

     

    Polecane wpisy
    Planowanie strategii szyfrowania dla infrastruktury Windows Server
    Planowanie strategii szyfrowania dla infrastruktury Windows Server

    Planowanie strategii szyfrowania dla infrastruktury Windows Server Bezpieczeństwo danych w dzisiejszych czasach to nie luksus – to absolutna konieczność. Windows Czytaj dalej

    Boxcryptor: Aplikacja do szyfrowania danych dostępna na iOS i Androida
    Boxcryptor: Aplikacja do szyfrowania danych dostępna na iOS i Androida

    Boxcryptor: Aplikacja do szyfrowania danych dostępna na iOS i Androida W dzisiejszym cyfrowym świecie bezpieczeństwo danych jest niezwykle ważne. Dotyczy Czytaj dalej

    Powiązane wpisy:

    1. DDoS jako Dywersja: Jak ataki DDoS są używane do odwrócenia uwagi od bardziej zaawansowanych naruszeń bezpieczeństwa
    2. Ataki typu Pass-the-Hash (PtH) – kiedy hasło nie jest potrzebne
    3. Ataki ransomware: Jak działają i jak się przed nimi chronić?
    4. Co robić w przypadku ataku ransomware? – Kompleksowy poradnik
    5. Phishing i Spear Phishing w Rozpowszechnianiu Trojanów: Jak inżynieria społeczna prowadzi do infekcji
    Otagowano:

    Marek „Netbe” Lampart
    Marek "Netbe" Lampart Inżynier informatyki Marek Lampart to doświadczony inżynier informatyki z ponad 25-letnim stażem w zawodzie. Specjalizuje się w systemach Windows i Linux, bezpieczeństwie IT, cyberbezpieczeństwie, administracji serwerami oraz diagnostyce i optymalizacji systemów. Na netbe.pl publikuje praktyczne poradniki, analizy i instrukcje krok po kroku, pomagając administratorom, specjalistom IT oraz zaawansowanym użytkownikom rozwiązywać realne problemy techniczne.
    Zobacz wszystkie wpisy

    Może ci się spodobać również