Wednesday, November 22, 2017

ေအာင္ျမင္ေသာ Cyber Attack တစ္ခုရဲ႕ အဆင့္ ၇ ဆင့္


The Seven Steps of a Successful Cyber Attack
ေအာင္ျမင္ေသာ Cyber Attack တစ္ခုရဲ႕ အဆင့္ ၇ ဆင့္

.
Advance Cyber Attack ေတြဟာ discover မျဖစ္မီ ရက္ေပါင္း ၂၀၀ ေလာက္ ႀကိဳတင္ျပီး network ထဲ ဝင္ေရာက္ ေနရာယူရေလ့ ရွိပါတယ္။ အလြန္ ဆိုးရြားလွေသာ Sony Picture ေဖာက္ဖ်က္မႈမွာ hackers ေတြဟာ သူတို႔ dected မလုပ္မီ တစ္ႏွစ္ေက်ာ္ေလာက္ကတည္းက Access ေတြကို ႀကိဳတင္ရယူဖို႔ ဝင္ေရာက္ေနခဲ့တာ ျဖစ္ပါတယ္။ အဲလို ႀကိဳတင္ ဝင္ေရာက္ေနျပီး control လုပ္ႏိုင္မယ့္ အခ်က္အလက္ေတြနဲ႔ information ေတြကို ဝင္ေရာက္ ရယူဖို႔ ႀကိဳးပမ္းျခင္းကို  infiltrate လို႔ ေခၚပါတယ္။ မွတ္ထားဖို႔ လိုအပ္ပါတယ္။ private data ေတြ monitor communications နဲ႔ network map ေတြကို ခိုးယူစုေဆာင္းႏိုင္ဖို႔အတြက္ေတာ့ attacker ေတြဟာ အခ်ိန္ေတြ အမ်ားႀကီး ေပးၾကရပါတယ္။ ဆိုလိုတာက ကိုယ္ ဝင္ေရာက္ ရယူလိုတဲ့ target ရဲ႕ အေျခအေနနဲ႔ နည္းပညာပိုင္းဆိုင္ရာ နားလည္မႈကို လိုက္ျပီး လြယ္လြယ္ ဝင္ေရာက္လို႔ ရႏိုင္တာ ရွိသလို ခက္ခက္ခဲခဲ ဝင္ေရာက္ခဲ့ရတာေတြလည္း ရွိပါတယ္။ 

ရယူႏုိင္ေအာင္ ႀကိဳးပမ္းဖို႔ ရည္မွန္းခ်က္ေကာင္းေကာင္းထားတာနဲ႔အမွ် အစီအစဥ္ နဲ႔ လက္ေတြ႔လုပ္ေဆာင္မႈအပိုင္းေတြ လိုအပ္လာပါတယ္။ ယခု ေဖာ္ျပမယ့္ အခ်က္ကေလးေတြဟာ ေအာင္ျမင္တဲ့ Attack ေတြမွာ ရွိသင့္တဲ့ အဆင့္ေတြကို ေဖာ္ျပျခင္းသာ ျဖစ္ပါတယ္။ ဒီအဆင့္ေတြ ျပည့္စံုမွ ေအာင္ျမင္မယ္လို႔ မဆိုလိုေပမယ့္ ေအာင္ျမင္တဲ့ Attack တိုင္းမွာေတာ့ ဒီအဆင့္ေတြ အားလံုးနီးပါး ျပည့္စံုၾကပါတယ္။ အခ်ိဳ႕မွာ ဒီ့ထက္ ပိုျပီး ျပည့္စံုေနတာကိုေတာင္ ေတြ႕ရမွာပါ။ 


1. Reconnaissance
ပထမဆံုး အခ်က္ကေတာ့ Reconnaissance ပါ။ စစ္စကားနဲ႔ ေျပာရရင္ ရန္သူ႔နယ္ေျမမွာ ကင္းေထာက္ျခင္း ေပါ့။ ျမန္မာလို အဓိပၸါယ္က ရန္သူ႔နယ္ေျမအတြင္း စံုစမ္းေထာက္လွမ္းျခင္း တဲ့။ Attack  တစ္ခု မလုပ္ေဆာင္ခင္မွာ hacker ေတြဟာ ပထမဆံုးအေနနဲ႔ Target ရဲ႕ vulnerability ေခၚ အားနည္းခ်က္ကို ရွာေဖြရပါတယ္။ ျပီးမွ အေကာင္းဆံုးျဖစ္မယ့္ နည္းလမ္းကို စဥ္းစားျပီး exploit လုပ္ရပါတယ္။ exploit ကိုေတာ့ a software tool designed to take advantage of a flaw in a computer system, typically for malicious purposes such as installing malware လို႔ အဓိပၸါယ္ဖြင့္ၾကပါတယ္။ Target ထားခံရသူဟာ အဖြဲ႔အစည္းတစ္ခုခုက စီမံအုပ္ခ်ဳပ္သူ or Admin လည္း ျဖစ္ေနႏိုင္သလို မည္သူမဆိုလည္း ျဖစ္ေနႏိုင္ပါတယ္။ 
attacker ေတြ စတင္ဖို႔အတြက္ကေတာ့ ဝင္ေပါက္ ပြိဳင့္ေလးတစ္ခုခုသာ လိုအပ္ပါတယ္။ ဒီအဆင့္မွာေတာ့ Phishing နည္းေတြကို အသံုးမ်ားခဲ့ၾကေပမယ့္ ေနာက္ပိုင္းမွာ malware ျဖန္႔ခ်ီတဲ့ အပိုင္းေတြကသာ ပို အဆင္ေျပလာတာ ေတြ႕ရပါတယ္။ 


2. Scanning
ဒုတိယေျမာက္အဆင့္ ကေတာ့ Scanning ပဲ ျဖစ္ပါတယ္။ ပစ္မွတ္တစ္ခုကို ေရြးခ်ယ္သတ္မွတ္ျပီးျပီဆိုတာနဲ႔ ေနာက္တစ္ဆင့္လုပ္ရမွာက attacker ကို access ရေစဖို႔ အေထာက္အပံ့ျဖစ္မယ့္ အားနည္းခ်က္ေတြကို ရွာေဖြ ေဖာ္ထုတ္ဖို႔ ျဖစ္ပါတယ္။ အင္တာနက္မွာ အလြယ္တကူ ေတြ႔ႏိုင္တဲ့ tool ေတြကို အသံုးျပဳျပီး entry point ေတြနဲ႔ organization ေတြရဲ႕ နက္ဝပ္ေတြကို Scan လုပ္လို႔ ရပါတယ္။ ဒီအဆင့္မွာေတာ့ တျဖည္းျဖည္းခ်င္းပဲ လုပ္ေဆာင္ႏိုင္တာျဖစ္ျပီး အခ်ိန္ လနဲ႔ခ်ီ ၾကာျမင့္ႏိုင္ပါတယ္။ vulnerabilities လို႔ေခၚတဲ့ အားနည္းခ်က္ေတြ ယိုေပါက္ေတြ မေတြ႕မခ်င္း ၾကာျမင့္မွာျဖစ္ပါတယ္။ 


3. Access and Escalation
Target လည္း ေရြးခ်ယ္သတ္မွတ္ျပီးျပီ။ အားနည္းခ်က္ေတြလည္း ေတြ႔ျပီဆိုရင္ေတာ့ ခုအဆင့္မွာ gain access လို႔ေခၚတဲ့ လိုအပ္တဲ့ ထိန္းခ်ဳပ္မႈ ရရွိေအာင္ လက္ေတြ႕က်တဲ့ တိုက္ခိုက္မႈေတြ စတင္ လုပ္ေဆာင္ႏိုင္ျပီျဖစ္ပါတယ္။ ဒုတိယအဆင့္မွာ ေတြ႕ရွိခဲ့တဲ့ အားနည္းခ်က္နဲ႔ ယိုေပါက္ေတြကေနတစ္ဆင့္ တိုက္ခိုက္မႈ စတင္တဲ့အဆင့္လို႔ အလြယ္တကူ မွတ္သားထားႏိုင္ပါတယ္။ escalate ဆိုတာ ပိုပို ျပင္းထန္လာတာ ပိုမို လ်င္ျမန္လာတာဆိုတဲ့ အဓိပၸါယ္ ျဖစ္တာေၾကာင့္ Escalation ဆိုတာက ပိုမိုျပင္းထန္လ်င္ျမန္စြာ တိုက္ခိုက္ျခင္းဆိုတဲ့ အဓိပၸါယ္လို႔ မွတ္ယူမယ္ဆိုလည္း ရပါတယ္။ 
ဒီအဆင့္ရဲ႕ အဓိက ရည္ရြယ္ခ်က္ကေတာ့ privileged access ရရွိဖို႔ပဲ ျဖစ္ပါတယ္။ privileged ဆိုတာက special ဆိုတဲ့ စကားလံုးနဲ႔ အဓိပၸါယ္ ဆင္ပါတယ္။ access ကေတာ့ ေနရာတစ္ခုသို႔ ခ်ဥ္းနင္းဝင္ေရာက္ျခင္း လို႔ ဘာသာျပန္ဆိုရမွာျဖစ္ျပီး privileged access ဆိုတာက root (or) administrator access ကို ဆိုလိုတာျဖစ္ပါတယ္။ Attacker ကို လိုသလို ေမႊေႏွာက္ႏိုင္ခြင့္ ရရွိေစဖို႔အတြက္ privileged access က မျဖစ္မေန လိုအပ္ခ်က္တစ္ခု ျဖစ္ပါတယ္။ Rainbow Tables နဲ႔ အလားတူ tools ေတြက ဝင္ေရာက္ ထြင္းေဖာက္လိုသူ (intruders)ေတြကို credentials လို႔ေခၚတဲ့ ကိုယ္ေရးအခ်က္အလက္၊ မွတ္တမ္း၊ certificate ေတြနဲ႔ သတင္းအခ်က္အလက္ေတြ၊ ေဒတာေတြကို ခိုးယူတဲ့ေနရာမွာ မ်ားစြာ ကူညီေပးပါတယ္။ ဒါ့ျပင္ admin အျဖစ္ privilege ရာမွာေရာ ကူညီေပးပါေသးတယ္။ Attacker က elevated privileges ကိုသာ ရရွိသြားပါက နက္ဝပ္ကို ေကာင္းမြန္စြာ ထိန္းခ်ဳပ္သြားႏိုင္ပါျပီ။ intruders အပိုင္လို အသံုးခ်လို႔ ရသြားပါျပီိ ေပါ့။ 

4. Exfiltration
Network ေပၚမွာ လြတ္လပ္စြာ လႈပ္ရွားႏိုင္မႈနဲ႔အတူ Attacker ဟာ  Orginization  တစ္ခုလံုးရဲ႕ sensitive data ေတြ၊ system  ေတြကို ထိန္းခ်ဳပ္ႏိုင္သြားျပီး ေဖာ္ထုတ္တာတို႔ ျဖန္႔ခ်ျပတာတို႔ လုပ္ေဆာင္ႏိုင္လာပါတယ္။ Exfiltration ဆုိတာက ပိုင္ရွင္ရဲ႕ သေဘာတူ ခြင့္ျပဳခ်က္မပါဘဲ ေဒတာေတြနဲ႔ အခ်က္အလက္ေတြကို ျဖန္႔ခ်ျပတာမ်ိဳးပါ။ ႏိုင္ငံတကာမွာလည္း ဒီလို ေဖာ္ထုတ္ ခ်ျပမႈမ်ိဳးေတြ မၾကာခဏဆိုသလို ၾကားရတတ္ပါတယ္။ ယေန႔ေခတ္ Advance Attack ေတြဟာ အလြန္ကို လွ်ိဳ႕ဝွက္လွတဲ့အတြက္ သူတို႔ကို ရွာမေတြ႕မီ ရက္ေပါင္း ၂၀၀ ေက်ာ္ေလာက္ထိ နက္ဝပ္ထဲ ရွိေနႏိုင္တယ္လို႔ေတာင္ ေျပာေလ့ရွိၾကပါတယ္။ ဆိုလိုတာကေတာ့ ဝင္ေရာက္လာတဲ့ လမ္းေၾကာင္းနဲ႔ ဝင္ေရာက္လာမႈကို ရွာေဖြစစ္ေဆးႏိုင္ဖို႔ အခ်ိန္ အေတာ္ ေပးရမွာ ျဖစ္လို႔ပါပဲ။
ေဒတာေတြ ခိုးယူျခင္းဟာ  intruder ေတြ ရည္ရြယ္လုပ္ေဆာင္ႏိုင္တဲ့ တစ္ခုတည္းေသာ အခ်က္ေတာ့ မဟုတ္ေသးပါဘူး။ သူတို႔ေတြဟာ ေဒတာ ခိုးယူတာအျပင္ သူတို႔ ရယူထားတဲ့ Access ထက္ နိမ့္က်တဲ့သတ္မွတ္ခ်က္ရွိေနတဲ့ compromised systems ေတြေပၚက ေဒတာေတြကို ျပင္ဆင္တာ ေျပာင္းလဲတာ ဖ်က္ပစ္တာေတြပါ လုပ္ေဆာင္တတ္ၾကပါေသးတယ္။ compromised systems နဲ႔ ပတ္သက္ျပီး ရွင္းျပခ်င္ပါတယ္။ compromised systems ဆိုတာ စိတ္မခ်ရတဲ့ လံုျခံဳမႈ မရွိတဲ့ စနစ္ ဆိုတာထက္ ေနာက္တစ္မ်ိဳးဆိုလိုရင္းကို ပိုျပီး အေလးထားဖို႔ လိုပါတယ္။ 
ကြ်န္ေတာ္တို႔ သာမန္သံုးေနက်  Windows system တစ္ခုမွာဆိုပါစို႔။ Adminstrator Account, User Account, Guest Account ဆိုျပီး အေကာင့္ သံုးခု ဖြင့္ထားတဲ့ ကြန္ပ်ဴတာလို႔ပဲ ဆိုၾကပါစို႔။ အဲမွာ  Account  တိုင္းကိုလည္း Password ခ်ထားတယ္ဆိုပါစို႔။ Admin Acc ေရာ User Acc ေရာမွာက Password ေတြ ရွိတာေၾကာင့္ မသိသူအေနနဲ႔ ဝင္သံုးလို႔ မရပါဘူး။ Guess Acc  ကေနသာ ဝင္ႏိုင္မွာျဖစ္ပါတယ္။
Guest Acc မွာေတာ့ အေရးပါတဲ့ လုပ္ေဆာင္ခ်က္ေတြကို အသံုးျပဳလို႔ မရပါဘူး။ ေဇာ္ဂ်ီေဖာင့္ကိုေတာင္ ရိုက္လို႔ မရပါဘူး။ ဖိုင္ေတြကို ဖ်က္ဖို႔ ျပင္ဖို႔ permission မရွိပါဘူး။ ဖိုင္ေတြကူးႏိုင္တယ္။ အသစ္ဖြင့္ျပီး ေရးႏိုင္တယ္။ ဒါမ်ိဳးေလးေတြပဲ လုပ္ေဆာင္ႏိုင္တာျဖစ္ပါတယ္။ User Account ကေတာ့ သူ႔ကို ေပးထားတဲ့ Access ရွိသေလာက္ လုပ္ႏိုင္မွာျဖစ္ျပီး system ကို ျပင္ဆင္တာ user account ေတြ ဖ်က္တာ software ေတြကို ျဖဳတ္ခ်င္တာ စတာေတြကိုေတာ့  Adminstrator Access လိုအပ္ပါတယ္။ ျပန္ေျပာရရင္ Adminstrator Account က အႀကီးဆံုးျဖစ္ျပီး သူက အရာရာ လုပ္ေဆာင္ႏိုင္တယ္။ User Acc ေတြက်ေတာ့ ကန္႔သတ္ခ်က္နဲ႔သာ အသံုးျပဳရတာျဖစ္ျပီး ေဒတာေတြ ျပင္တာ ဖ်က္တာ စတဲ့ လုပ္ေဆာင္ခ်က္ေတြကိုေတာ့ လုပ္ေဆာင္ႏိုင္မွာျဖစ္ပါတယ္။ စနစ္တစ္ခုလံုးကို ျပင္ဆင္ဖို႔ေတာ့ မရပါဘူး။ Guest Acc  ဆိုရင္ေတာ့ အထဲမွာရွိတဲ့ ေဒတာေတြကို ကူးယူတာ အသစ္ဖြင့္တာ စတာေတြသာ သံုးလို႔ရမွာျဖစ္ျပီး က်န္တာေတြ လုပ္ႏိုင္မွာမဟုတ္ပါဘူး။ အဆင့္ဆင့္ အစီအစဥ္တက် စီစဥ္ထားတဲ့ေနရာမွာ Attacker အေနနဲ႔ ကိုယ္ရယူလိုက္ႏိုင္တဲ့ Access ေပၚ မူတည္ျပီး လုပ္ေဆာင္ႏိုင္မႈ ကြဲျပားသြားပါတယ္။ ဒီဥပမာလိုပါပဲ။ ဒါေၾကာင့္ compromised systems ဆိုတာ ကိုယ္ရယူလိုက္ႏိုင္တဲ့ Access အတြင္း လုပ္ေဆာင္ႏိုင္မႈ အေျခအေနကိုသာ ဆိုလိုတယ္လို႔ နားလည္ထားရပါမယ္။


5. Sustainment
Attacker ဟာ ပစ္မွတ္ထားတဲ့ နက္ဝပ္ကြန္ယက္မွတစ္ဆင့္ အကန္႔အသတ္မရွိ Access ကို ရယူႏိုင္ျပီဆိုပါစို႔။ ေနာက္တစ္ဆင့္သည္ sustainment ပဲျဖစ္ပါတယ္။ ဆိုလိုတာကေတာ့ အဲေနရာမွာ တိတ္တိတ္ကေလး ေနဖို႔ပါပဲ။ အဲလို လုပ္ေဆာင္ႏိုင္ဖို႔အတြက္ေတာ့ Hacker ဟာ Malicious Program တစ္ခုခုကို တိတ္တဆိတ္ install ျပဳလုပ္တာမ်ိဳး စသည္ျဖင့္ လုပ္ေဆာင္ရႏိုင္ပါတယ္။ ဥပမာအေနနဲ႔ ေျပာရရင္ root kit လိုမ်ိဳးေပါ့။ သူတို႔ အလိုရွိတဲ့အခ်ိန္မွာ တိတ္တဆိတ္ ျပန္လာႏိုင္ဖို႔အတြက္ လုပ္ေဆာင္ေပးတာမ်ိဳးပါ။ အေစာပိုင္းတုန္းက ပိုျပီးျမင့္တဲ့ privileges (root access or adminstrotor access) လိုမ်ိဳး လိုအပ္ခဲ့ေပမယ့္ အဲဒါေတြနဲ႔ single access point ေတြဟာ အခ်ိန္အၾကာႀကီး ထပ္မလိုအပ္ေတာ့ပါဘူး။ Attacker ဟာ သူအလိုရွိတဲ့အခါ ျပန္ဝင္လာႏိုင္တာမ်ိဳး ျဖစ္သြားပါေတာ့တယ္။


6. Assault
ဆိုက္ဘာတိုက္ခိုင္မႈတိုင္းမွာ ဒီျဖစ္စဥ္ ပါဝင္တာေတာ့ မဟုတ္ပါဘူး။ ဒါေၾကာင့္လဲဆိုေတာ့ assault ဆိုတာဟာ အထူးသျဖင့္ အလြန္ ရက္စက္ၾကမ္းၾကဳတ္ေသာ တိုက္ခိုက္မႈ အဆင့္တစ္ခုသာ ျဖစ္လို႔ပါပဲ။ ဒီျဖစ္စဥ္မွာ Attacker ဟာ  victim ရဲ႕ စနစ္ကိုသာမက Hardware ပိုင္းေတြကိုထိ ထိခိုက္ပ်က္စီးေအာင္ ဖန္တီးျခင္းေတြ ပါဝင္ေနလို႔ ျဖစ္ပါတယ္။ Iran’s critical infrastructure ေပၚ တိုက္ခိုက္ခဲ့တဲ့ Stuxnet attack ဟာ နာမည္ႀကီးတဲ့ သာဓကတစ္ခုပါပဲ။ 


7. Obfuscation
မ်ားေသာအားျဖင့္ေတာ့ Attacker ေတြဟာ သူတို႔ရဲ႕ track ကို ကြယ္ဝွက္ခ်င္ၾကတာခ်ည္းပါပဲ။ ဒါေပမယ့္ အခ်ိဳ႕ေသာ Hacker ေတြကေတာ့ သူတို႔ ဝင္ေရာက္သြားေၾကာင္း ေဖာ္ျပဖို႔အတြက္ သူတို႔ရဲ႕ လ်ိဳ႕ဝွက္နာမည္တစ္ခုခုေသာ္လည္းေကာင္း တစ္စံုတစ္ရာေသာ သိသာထင္ရွားတဲ့ ေျပာင္းလဲမႈတစ္ခုခုေသာ္လည္းေကာင္း ခ်န္ထားခဲ့ေလ့ရွိပါတယ္။ ဘာေၾကာင့္လဲဆိုေတာ့ သူတို႔ လုပ္ႏိုင္ေၾကာင္း ေဖာ္ျပဂုဏ္ယူခ်င္ၾကလို႔ပါပဲ။ 
Trail Obfuscation လုပ္ေဆာင္ေဆာင္တဲ့ ရည္ရြယ္ခ်က္ကေတာ့ ရႈပ္ေထြးတယ္။ ဦးတည္ခ်က္မဲ့ျပီးေတာ့ forensic examination process နဲ႔ မတူ ကြဲျပားျခားနားပါတယ္။ log cleaner ေတြ spoofing, misinformation, backbone hopping, zombied accounts, trojan command ေတြ စတာေတြ ပါဝင္တဲ့ tools ေတြနဲ႔  နည္းပညာေတြကိုကို Trail obfuscation က ကာဗာလုပ္ေပးပါတယ္။
.
.
နက္ဝပ္ကြန္ယက္တိုင္းနီးပါးဟာ ဆိုက္ဘာတိုက္ခိုက္မႈအတြက္ အားနည္းခ်က္ေတြ ရွိေနဆဲပါ။ American Cyber Security Firm ျဖစ္တဲ့ Mandiant ရဲ႕ အဆိုအရ 97% ေသာ အဖြဲ႔အစည္းေတြဟာ အနည္းဆံုး တစ္ႀကိမ္ေတာ့ hack ခံခဲ့ရတယ္လို႔ ဆိုပါတယ္။ ျပီးေတာ့ တိုက္ခိုက္ခံရမႈေတြကေန အားနည္းခ်က္ေတြကို ျပန္လည္ ျပင္ဆင္ႏိုင္ဖို႔ အခြင့္အေရး ရခဲ့တယ္လို႔ ေဖာ္ျပခဲ့ဖူးပါတယ္။ 

ဒီအဆင့္ေတြ အားလံုးျပည့္စံုရမယ္လို႔ မဆိုလိုေပမယ့္ ဒီအဆင့္ေတြကိုေတာ့ က်ိန္းေသ ေက်ာ္ျဖတ္ရမွာျဖစ္ပါတယ္။ အမွတ္စဥ္ ၁ မွ ၅ အထိေသာ အဆင့္ေတြကိုေတာ့ Hacking လမ္းေပၚက အားလံုးေသာသူမ်ား ေလွ်ာက္လွမ္းခဲ့ၾကျပီးပါျပီ။
အမွတ္စဥ္ ၆ ကေတာ့ အေတာ့္ကို ဆိုးရြားရက္စက္တဲ့အတြက္ မည္သူမွ် အသံုးမျပဳသင့္ပါဘူး။

ဒီေန႔ေတာ့ ဒီေလာက္ေလးနဲ႔ပဲ ရပ္ထားရေအာင္ေနာ္





Thanks



Khit Minnyo
khitminnyo@khitminnyo.com

0 comments:

Post a Comment