OUO Banner

Latest Posts

အောင်မြင်သော Cyber Attack တစ်ခုရဲ့ အဆင့် ၇ ဆင့်


The Seven Steps of a Successful Cyber Attack
အောင်မြင်သော Cyber Attack တစ်ခုရဲ့ အဆင့် ၇ ဆင့်

.
Advance Cyber Attack တွေဟာ discover မဖြစ်မီ ရက်ပေါင်း ၂၀၀ လောက် ကြိုတင်ပြီး network ထဲ ဝင်ရောက် နေရာယူရလေ့ ရှိပါတယ်။ အလွန် ဆိုးရွားလှသော Sony Picture ဖောက်ဖျက်မှုမှာ hackers တွေဟာ သူတို့ dected မလုပ်မီ တစ်နှစ်ကျော်လောက်ကတည်းက Access တွေကို ကြိုတင်ရယူဖို့ ဝင်ရောက်နေခဲ့တာ ဖြစ်ပါတယ်။ အဲလို ကြိုတင် ဝင်ရောက်နေပြီး control လုပ်နိုင်မယ့် အချက်အလက်တွေနဲ့ information တွေကို ဝင်ရောက် ရယူဖို့ ကြိုးပမ်းခြင်းကို  infiltrate လို့ ခေါ်ပါတယ်။ မှတ်ထားဖို့ လိုအပ်ပါတယ်။ private data တွေ monitor communications နဲ့ network map တွေကို ခိုးယူစုဆောင်းနိုင်ဖို့အတွက်တော့ attacker တွေဟာ အချိန်တွေ အများကြီး ပေးကြရပါတယ်။ ဆိုလိုတာက ကိုယ် ဝင်ရောက် ရယူလိုတဲ့ target ရဲ့ အခြေအနေနဲ့ နည်းပညာပိုင်းဆိုင်ရာ နားလည်မှုကို လိုက်ပြီး လွယ်လွယ် ဝင်ရောက်လို့ ရနိုင်တာ ရှိသလို ခက်ခက်ခဲခဲ ဝင်ရောက်ခဲ့ရတာတွေလည်း ရှိပါတယ်။ 

ရယူနိုင်အောင် ကြိုးပမ်းဖို့ ရည်မှန်းချက်ကောင်းကောင်းထားတာနဲ့အမျှ အစီအစဉ် နဲ့ လက်တွေ့လုပ်ဆောင်မှုအပိုင်းတွေ လိုအပ်လာပါတယ်။ ယခု ဖော်ပြမယ့် အချက်ကလေးတွေဟာ အောင်မြင်တဲ့ Attack တွေမှာ ရှိသင့်တဲ့ အဆင့်တွေကို ဖော်ပြခြင်းသာ ဖြစ်ပါတယ်။ ဒီအဆင့်တွေ ပြည့်စုံမှ အောင်မြင်မယ်လို့ မဆိုလိုပေမယ့် အောင်မြင်တဲ့ Attack တိုင်းမှာတော့ ဒီအဆင့်တွေ အားလုံးနီးပါး ပြည့်စုံကြပါတယ်။ အချို့မှာ ဒီ့ထက် ပိုပြီး ပြည့်စုံနေတာကိုတောင် တွေ့ရမှာပါ။ 


1. Reconnaissance
ပထမဆုံး အချက်ကတော့ Reconnaissance ပါ။ စစ်စကားနဲ့ ပြောရရင် ရန်သူ့နယ်မြေမှာ ကင်းထောက်ခြင်း ပေါ့။ မြန်မာလို အဓိပ္ပါယ်က ရန်သူ့နယ်မြေအတွင်း စုံစမ်းထောက်လှမ်းခြင်း တဲ့။ Attack  တစ်ခု မလုပ်ဆောင်ခင်မှာ hacker တွေဟာ ပထမဆုံးအနေနဲ့ Target ရဲ့ vulnerability ခေါ် အားနည်းချက်ကို ရှာဖွေရပါတယ်။ ပြီးမှ အကောင်းဆုံးဖြစ်မယ့် နည်းလမ်းကို စဉ်းစားပြီး exploit လုပ်ရပါတယ်။ exploit ကိုတော့ a software tool designed to take advantage of a flaw in a computer system, typically for malicious purposes such as installing malware လို့ အဓိပ္ပါယ်ဖွင့်ကြပါတယ်။ Target ထားခံရသူဟာ အဖွဲ့အစည်းတစ်ခုခုက စီမံအုပ်ချုပ်သူ or Admin လည်း ဖြစ်နေနိုင်သလို မည်သူမဆိုလည်း ဖြစ်နေနိုင်ပါတယ်။ 
attacker တွေ စတင်ဖို့အတွက်ကတော့ ဝင်ပေါက် ပွိုင့်လေးတစ်ခုခုသာ လိုအပ်ပါတယ်။ ဒီအဆင့်မှာတော့ Phishing နည်းတွေကို အသုံးများခဲ့ကြပေမယ့် နောက်ပိုင်းမှာ malware ဖြန့်ချီတဲ့ အပိုင်းတွေကသာ ပို အဆင်ပြေလာတာ တွေ့ရပါတယ်။ 


2. Scanning
ဒုတိယမြောက်အဆင့် ကတော့ Scanning ပဲ ဖြစ်ပါတယ်။ ပစ်မှတ်တစ်ခုကို ရွေးချယ်သတ်မှတ်ပြီးပြီဆိုတာနဲ့ နောက်တစ်ဆင့်လုပ်ရမှာက attacker ကို access ရစေဖို့ အထောက်အပံ့ဖြစ်မယ့် အားနည်းချက်တွေကို ရှာဖွေ ဖော်ထုတ်ဖို့ ဖြစ်ပါတယ်။ အင်တာနက်မှာ အလွယ်တကူ တွေ့နိုင်တဲ့ tool တွေကို အသုံးပြုပြီး entry point တွေနဲ့ organization တွေရဲ့ နက်ဝပ်တွေကို Scan လုပ်လို့ ရပါတယ်။ ဒီအဆင့်မှာတော့ တဖြည်းဖြည်းချင်းပဲ လုပ်ဆောင်နိုင်တာဖြစ်ပြီး အချိန် လနဲ့ချီ ကြာမြင့်နိုင်ပါတယ်။ vulnerabilities လို့ခေါ်တဲ့ အားနည်းချက်တွေ ယိုပေါက်တွေ မတွေ့မချင်း ကြာမြင့်မှာဖြစ်ပါတယ်။ 


3. Access and Escalation
Target လည်း ရွေးချယ်သတ်မှတ်ပြီးပြီ။ အားနည်းချက်တွေလည်း တွေ့ပြီဆိုရင်တော့ ခုအဆင့်မှာ gain access လို့ခေါ်တဲ့ လိုအပ်တဲ့ ထိန်းချုပ်မှု ရရှိအောင် လက်တွေ့ကျတဲ့ တိုက်ခိုက်မှုတွေ စတင် လုပ်ဆောင်နိုင်ပြီဖြစ်ပါတယ်။ ဒုတိယအဆင့်မှာ တွေ့ရှိခဲ့တဲ့ အားနည်းချက်နဲ့ ယိုပေါက်တွေကနေတစ်ဆင့် တိုက်ခိုက်မှု စတင်တဲ့အဆင့်လို့ အလွယ်တကူ မှတ်သားထားနိုင်ပါတယ်။ escalate ဆိုတာ ပိုပို ပြင်းထန်လာတာ ပိုမို လျင်မြန်လာတာဆိုတဲ့ အဓိပ္ပါယ် ဖြစ်တာကြောင့် Escalation ဆိုတာက ပိုမိုပြင်းထန်လျင်မြန်စွာ တိုက်ခိုက်ခြင်းဆိုတဲ့ အဓိပ္ပါယ်လို့ မှတ်ယူမယ်ဆိုလည်း ရပါတယ်။ 
ဒီအဆင့်ရဲ့ အဓိက ရည်ရွယ်ချက်ကတော့ privileged access ရရှိဖို့ပဲ ဖြစ်ပါတယ်။ privileged ဆိုတာက special ဆိုတဲ့ စကားလုံးနဲ့ အဓိပ္ပါယ် ဆင်ပါတယ်။ access ကတော့ နေရာတစ်ခုသို့ ချဉ်းနင်းဝင်ရောက်ခြင်း လို့ ဘာသာပြန်ဆိုရမှာဖြစ်ပြီး privileged access ဆိုတာက root (or) administrator access ကို ဆိုလိုတာဖြစ်ပါတယ်။ Attacker ကို လိုသလို မွှေနှောက်နိုင်ခွင့် ရရှိစေဖို့အတွက် privileged access က မဖြစ်မနေ လိုအပ်ချက်တစ်ခု ဖြစ်ပါတယ်။ Rainbow Tables နဲ့ အလားတူ tools တွေက ဝင်ရောက် ထွင်းဖောက်လိုသူ (intruders)တွေကို credentials လို့ခေါ်တဲ့ ကိုယ်ရေးအချက်အလက်၊ မှတ်တမ်း၊ certificate တွေနဲ့ သတင်းအချက်အလက်တွေ၊ ဒေတာတွေကို ခိုးယူတဲ့နေရာမှာ များစွာ ကူညီပေးပါတယ်။ ဒါ့ပြင် admin အဖြစ် privilege ရာမှာရော ကူညီပေးပါသေးတယ်။ Attacker က elevated privileges ကိုသာ ရရှိသွားပါက နက်ဝပ်ကို ကောင်းမွန်စွာ ထိန်းချုပ်သွားနိုင်ပါပြီ။ intruders အပိုင်လို အသုံးချလို့ ရသွားပါပြီ ပေါ့။ 

4. Exfiltration
Network ပေါ်မှာ လွတ်လပ်စွာ လှုပ်ရှားနိုင်မှုနဲ့အတူ Attacker ဟာ  Orginization  တစ်ခုလုံးရဲ့ sensitive data တွေ၊ system  တွေကို ထိန်းချုပ်နိုင်သွားပြီး ဖော်ထုတ်တာတို့ ဖြန့်ချပြတာတို့ လုပ်ဆောင်နိုင်လာပါတယ်။ Exfiltration ဆိုတာက ပိုင်ရှင်ရဲ့ သဘောတူ ခွင့်ပြုချက်မပါဘဲ ဒေတာတွေနဲ့ အချက်အလက်တွေကို ဖြန့်ချပြတာမျိုးပါ။ နိုင်ငံတကာမှာလည်း ဒီလို ဖော်ထုတ် ချပြမှုမျိုးတွေ မကြာခဏဆိုသလို ကြားရတတ်ပါတယ်။ ယနေ့ခေတ် Advance Attack တွေဟာ အလွန်ကို လျှို့ဝှက်လှတဲ့အတွက် သူတို့ကို ရှာမတွေ့မီ ရက်ပေါင်း ၂၀၀ ကျော်လောက်ထိ နက်ဝပ်ထဲ ရှိနေနိုင်တယ်လို့တောင် ပြောလေ့ရှိကြပါတယ်။ ဆိုလိုတာကတော့ ဝင်ရောက်လာတဲ့ လမ်းကြောင်းနဲ့ ဝင်ရောက်လာမှုကို ရှာဖွေစစ်ဆေးနိုင်ဖို့ အချိန် အတော် ပေးရမှာ ဖြစ်လို့ပါပဲ။
ဒေတာတွေ ခိုးယူခြင်းဟာ  intruder တွေ ရည်ရွယ်လုပ်ဆောင်နိုင်တဲ့ တစ်ခုတည်းသော အချက်တော့ မဟုတ်သေးပါဘူး။ သူတို့တွေဟာ ဒေတာ ခိုးယူတာအပြင် သူတို့ ရယူထားတဲ့ Access ထက် နိမ့်ကျတဲ့သတ်မှတ်ချက်ရှိနေတဲ့ compromised systems တွေပေါ်က ဒေတာတွေကို ပြင်ဆင်တာ ပြောင်းလဲတာ ဖျက်ပစ်တာတွေပါ လုပ်ဆောင်တတ်ကြပါသေးတယ်။ compromised systems နဲ့ ပတ်သက်ပြီး ရှင်းပြချင်ပါတယ်။ compromised systems ဆိုတာ စိတ်မချရတဲ့ လုံခြုံမှု မရှိတဲ့ စနစ် ဆိုတာထက် နောက်တစ်မျိုးဆိုလိုရင်းကို ပိုပြီး အလေးထားဖို့ လိုပါတယ်။ 
ကျွန်တော်တို့ သာမန်သုံးနေကျ  Windows system တစ်ခုမှာဆိုပါစို့။ Adminstrator Account, User Account, Guest Account ဆိုပြီး အကောင့် သုံးခု ဖွင့်ထားတဲ့ ကွန်ပျူတာလို့ပဲ ဆိုကြပါစို့။ အဲမှာ  Account  တိုင်းကိုလည်း Password ချထားတယ်ဆိုပါစို့။ Admin Acc ရော User Acc ရောမှာက Password တွေ ရှိတာကြောင့် မသိသူအနေနဲ့ ဝင်သုံးလို့ မရပါဘူး။ Guess Acc  ကနေသာ ဝင်နိုင်မှာဖြစ်ပါတယ်။
Guest Acc မှာတော့ အရေးပါတဲ့ လုပ်ဆောင်ချက်တွေကို အသုံးပြုလို့ မရပါဘူး။ ဇော်ဂျီဖောင့်ကိုတောင် ရိုက်လို့ မရပါဘူး။ ဖိုင်တွေကို ဖျက်ဖို့ ပြင်ဖို့ permission မရှိပါဘူး။ ဖိုင်တွေကူးနိုင်တယ်။ အသစ်ဖွင့်ပြီး ရေးနိုင်တယ်။ ဒါမျိုးလေးတွေပဲ လုပ်ဆောင်နိုင်တာဖြစ်ပါတယ်။ User Account ကတော့ သူ့ကို ပေးထားတဲ့ Access ရှိသလောက် လုပ်နိုင်မှာဖြစ်ပြီး system ကို ပြင်ဆင်တာ user account တွေ ဖျက်တာ software တွေကို ဖြုတ်ချင်တာ စတာတွေကိုတော့  Adminstrator Access လိုအပ်ပါတယ်။ ပြန်ပြောရရင် Adminstrator Account က အကြီးဆုံးဖြစ်ပြီး သူက အရာရာ လုပ်ဆောင်နိုင်တယ်။ User Acc တွေကျတော့ ကန့်သတ်ချက်နဲ့သာ အသုံးပြုရတာဖြစ်ပြီး ဒေတာတွေ ပြင်တာ ဖျက်တာ စတဲ့ လုပ်ဆောင်ချက်တွေကိုတော့ လုပ်ဆောင်နိုင်မှာဖြစ်ပါတယ်။ စနစ်တစ်ခုလုံးကို ပြင်ဆင်ဖို့တော့ မရပါဘူး။ Guest Acc  ဆိုရင်တော့ အထဲမှာရှိတဲ့ ဒေတာတွေကို ကူးယူတာ အသစ်ဖွင့်တာ စတာတွေသာ သုံးလို့ရမှာဖြစ်ပြီး ကျန်တာတွေ လုပ်နိုင်မှာမဟုတ်ပါဘူး။ အဆင့်ဆင့် အစီအစဉ်တကျ စီစဉ်ထားတဲ့နေရာမှာ Attacker အနေနဲ့ ကိုယ်ရယူလိုက်နိုင်တဲ့ Access ပေါ် မူတည်ပြီး လုပ်ဆောင်နိုင်မှု ကွဲပြားသွားပါတယ်။ ဒီဥပမာလိုပါပဲ။ ဒါကြောင့် compromised systems ဆိုတာ ကိုယ်ရယူလိုက်နိုင်တဲ့ Access အတွင်း လုပ်ဆောင်နိုင်မှု အခြေအနေကိုသာ ဆိုလိုတယ်လို့ နားလည်ထားရပါမယ်။


5. Sustainment
Attacker ဟာ ပစ်မှတ်ထားတဲ့ နက်ဝပ်ကွန်ယက်မှတစ်ဆင့် အကန့်အသတ်မရှိ Access ကို ရယူနိုင်ပြီဆိုပါစို့။ နောက်တစ်ဆင့်သည် sustainment ပဲဖြစ်ပါတယ်။ ဆိုလိုတာကတော့ အဲနေရာမှာ တိတ်တိတ်ကလေး နေဖို့ပါပဲ။ အဲလို လုပ်ဆောင်နိုင်ဖို့အတွက်တော့ Hacker ဟာ Malicious Program တစ်ခုခုကို တိတ်တဆိတ် install ပြုလုပ်တာမျိုး စသည်ဖြင့် လုပ်ဆောင်ရနိုင်ပါတယ်။ ဥပမာအနေနဲ့ ပြောရရင် root kit လိုမျိုးပေါ့။ သူတို့ အလိုရှိတဲ့အချိန်မှာ တိတ်တဆိတ် ပြန်လာနိုင်ဖို့အတွက် လုပ်ဆောင်ပေးတာမျိုးပါ။ အစောပိုင်းတုန်းက ပိုပြီးမြင့်တဲ့ privileges (root access or adminstrotor access) လိုမျိုး လိုအပ်ခဲ့ပေမယ့် အဲဒါတွေနဲ့ single access point တွေဟာ အချိန်အကြာကြီး ထပ်မလိုအပ်တော့ပါဘူး။ Attacker ဟာ သူအလိုရှိတဲ့အခါ ပြန်ဝင်လာနိုင်တာမျိုး ဖြစ်သွားပါတော့တယ်။


6. Assault
ဆိုက်ဘာတိုက်ခိုင်မှုတိုင်းမှာ ဒီဖြစ်စဉ် ပါဝင်တာတော့ မဟုတ်ပါဘူး။ ဒါကြောင့်လဲဆိုတော့ assault ဆိုတာဟာ အထူးသဖြင့် အလွန် ရက်စက်ကြမ်းကြုတ်သော တိုက်ခိုက်မှု အဆင့်တစ်ခုသာ ဖြစ်လို့ပါပဲ။ ဒီဖြစ်စဉ်မှာ Attacker ဟာ  victim ရဲ့ စနစ်ကိုသာမက Hardware ပိုင်းတွေကိုထိ ထိခိုက်ပျက်စီးအောင် ဖန်တီးခြင်းတွေ ပါဝင်နေလို့ ဖြစ်ပါတယ်။ Iran’s critical infrastructure ပေါ် တိုက်ခိုက်ခဲ့တဲ့ Stuxnet attack ဟာ နာမည်ကြီးတဲ့ သာဓကတစ်ခုပါပဲ။ 


7. Obfuscation
များသောအားဖြင့်တော့ Attacker တွေဟာ သူတို့ရဲ့ track ကို ကွယ်ဝှက်ချင်ကြတာချည်းပါပဲ။ ဒါပေမယ့် အချို့သော Hacker တွေကတော့ သူတို့ ဝင်ရောက်သွားကြောင်း ဖော်ပြဖို့အတွက် သူတို့ရဲ့ လျို့ဝှက်နာမည်တစ်ခုခုသော်လည်းကောင်း တစ်စုံတစ်ရာသော သိသာထင်ရှားတဲ့ ပြောင်းလဲမှုတစ်ခုခုသော်လည်းကောင်း ချန်ထားခဲ့လေ့ရှိပါတယ်။ ဘာကြောင့်လဲဆိုတော့ သူတို့ လုပ်နိုင်ကြောင်း ဖော်ပြဂုဏ်ယူချင်ကြလို့ပါပဲ။ 
Trail Obfuscation လုပ်ဆောင်ဆောင်တဲ့ ရည်ရွယ်ချက်ကတော့ ရှုပ်ထွေးတယ်။ ဦးတည်ချက်မဲ့ပြီးတော့ forensic examination process နဲ့ မတူ ကွဲပြားခြားနားပါတယ်။ log cleaner တွေ spoofing, misinformation, backbone hopping, zombied accounts, trojan command တွေ စတာတွေ ပါဝင်တဲ့ tools တွေနဲ့  နည်းပညာတွေကိုကို Trail obfuscation က ကာဗာလုပ်ပေးပါတယ်။
.
.
နက်ဝပ်ကွန်ယက်တိုင်းနီးပါးဟာ ဆိုက်ဘာတိုက်ခိုက်မှုအတွက် အားနည်းချက်တွေ ရှိနေဆဲပါ။ American Cyber Security Firm ဖြစ်တဲ့ Mandiant ရဲ့ အဆိုအရ 97% သော အဖွဲ့အစည်းတွေဟာ အနည်းဆုံး တစ်ကြိမ်တော့ hack ခံခဲ့ရတယ်လို့ ဆိုပါတယ်။ ပြီးတော့ တိုက်ခိုက်ခံရမှုတွေကနေ အားနည်းချက်တွေကို ပြန်လည် ပြင်ဆင်နိုင်ဖို့ အခွင့်အရေး ရခဲ့တယ်လို့ ဖော်ပြခဲ့ဖူးပါတယ်။ 

ဒီအဆင့်တွေ အားလုံးပြည့်စုံရမယ်လို့ မဆိုလိုပေမယ့် ဒီအဆင့်တွေကိုတော့ ကျိန်းသေ ကျော်ဖြတ်ရမှာဖြစ်ပါတယ်။ အမှတ်စဉ် ၁ မှ ၅ အထိသော အဆင့်တွေကိုတော့ Hacking လမ်းပေါ်က အားလုံးသောသူများ လျှောက်လှမ်းခဲ့ကြပြီးပါပြီ။
အမှတ်စဉ် ၆ ကတော့ အတော့်ကို ဆိုးရွားရက်စက်တဲ့အတွက် မည်သူမျှ အသုံးမပြုသင့်ပါဘူး။

ဒီနေ့တော့ ဒီလောက်လေးနဲ့ပဲ ရပ်ထားရအောင်နော်





Thanks



Khit Minnyo
khitminnyo@khitminnyo.com

1 comment: