<img alt="" src="/media/blog/2024/09/09/scrn1.png" style="height:788px; width:2000px" />

The Cyber Kill Chain framework is one of the frameworks that describes the steps a hacker goes through during the attack process. It was developed by Lockheed Martin for military use to describe the operations followed by attackers. It is worth noting that the steps followed by the attacker are similar to those in a cyber attack. Therefore, the framework is one of the important frameworks that cybersecurity specialists must understand. This becomes even more important if the specialist works in the defensive field. In this article, we will explain the steps of the framework, illustrating them with a practical scenario simulated in a virtual environment.

&nbsp;

<h2>Scenario:</h2>

&quot;FakeComp&quot; is a startup company specializing in UI/UX design.

<ul>
	<li>They do not have a dedicated cybersecurity department.</li>
	<li>They do not have an IT department.</li>
	<li>Employees: Design specialists and one HR staff member.</li>
	<li>The company has announced a job vacancy on their official website.</li>
</ul>

Note: Since the scenario is fictional, the steps will be performed in a virtual environment within an internal network. The company information is also fictional and was created to simulate the scenario.

&nbsp;

<h2>Cyber Kill Chain Stages:</h2>

Reconnaissance:

At this stage, the attacker gathers as much information as possible about the target. This information may include contact details, employee names and positions, website paths and domains (Domains &amp; Subdomains), information about services and open ports, the server version, or the content management system version if used. The information gathering process can be direct or indirect.

Direct reconnaissance (Active) refers to when the attacker gathers information through direct interaction with the target, such as using path guessing tools to discover website paths or using the nmap tool to scan ports.

Indirect reconnaissance (Passive) involves the attacker gathering information without the target knowing there is someone collecting information. This is done through tools or manually gathering information using Google Dork.

In the scenario, the attacker searched for the company and began gathering information using Google Dork.

<img alt="" src="/media/blog/2024/09/09/scrn2.png" style="height:532px; width:2000px" />

<img alt="" src="/media/blog/2024/09/09/scrn3.png" style="height:2689px; width:2000px" />

Here, the attacker was able to find the technical support email and the system administrator&rsquo;s email.

Weaponization:

After gathering the information, the attacker starts planning how to reach the target by creating malicious software or exploiting any vulnerabilities if found. The attacker&rsquo;s goal here is to create the appropriate exploit depending on the target&#39;s condition.

<img alt="" src="/media/blog/2024/09/09/scrn4.png" />

The attacker created a malicious file named nawaf_cv.pdf to trick the employee into thinking the file is a .pdf, while in reality, it is an executable file in .exe format.

&nbsp;

Delivery:

In this stage, the attacker thinks of a method to deliver the malicious software they have created to the targeted device. The attacker attempts to use various persuasion techniques to carry out the attack. The goal here is to get the target to interact with the malicious software, whether it&rsquo;s a malicious file, clicking on a link, or inserting storage media into the devices.

<img alt="" src="/media/blog/2024/09/09/scrn5.png" style="height:1109px; width:2000px" />

Here, the attacker sent a malicious file to the recruitment manager&rsquo;s email and attached the file in the form of a link that directly downloads the file.

Exploitation:

The attacker exploits existing vulnerabilities to gain access to the target system. The goal at this step is to exploit the delivered malicious software to gain access to the system and then control it. This mechanism depends on the type of vulnerability and the target to determine the appropriate tools and exploitation method.

<img alt="" src="/media/blog/2024/09/09/scrn6.png" style="height:600px; width:2000px" />

The attacker used the Metasploit Framework to create a Meterpreter session and wait for any connection from the targeted device.

<img alt="" src="/media/blog/2024/09/09/scrn7.png" style="height:1151px; width:2000px" />

The employee clicked on the file thinking it was a PDF, but nothing appeared on the screen, so they assumed the file was not working and deleted it. What the employee didn&rsquo;t realize is that the hacker had already gained access to the system in the background.

&nbsp;

<img alt="" src="/media/blog/2024/09/09/scrn8.png" style="height:538px; width:2000px" />

Installation:

The attacker begins installing themselves onto the device to maintain the access they have gained. The goal at this stage is to ensure continuous access to the target even after connection loss or a reboot. This is done by executing certain commands that install other software to guarantee persistent access.

&nbsp;

<img alt="" src="/media/blog/2024/09/09/scrn9.png" style="height:660px; width:2000px" />

The attacker used one of the exploits in Metasploit to install software that ensures persistent access to the system.

Command &amp; Control (C2):

The attacker creates a communication channel between themselves and the compromised system to control it and execute commands. They might also add the device to a network of compromised systems to use them in other operations. Furthermore, the attacker does not stop at compromising a single device but will attempt to spread to other devices in the network to compromise as many systems as possible and cause greater damage.

<img alt="" src="/media/blog/2024/09/09/scrn10.png" style="height:1050px; width:2000px" />

Actions on Objectives:

Once the attacker has successfully installed themselves and established a communication channel, opening backdoors, they begin to achieve their objectives, which may vary depending on the attacker&rsquo;s intentions. These objectives could include stealing data, spying, compromising other systems, or using the compromised systems in other attacks.

<img alt="" src="/media/blog/2024/09/09/scrn11.png" style="height:862px; width:2000px" />

One example at this stage is when the attacker downloads sensitive or important files from the targeted system and starts a data leak.

<img alt="" src="/media/blog/2024/09/09/scrn1_DpBhM8L.png" style="height:788px; width:2000px" />

يعد إطار Cyber Kill Chain أحد الأُطر التي تصف الخطوات التي يمر بها المخترق أثناء عملية الهجوم وقد تم تطويره بواسطة شركة لوكهيد مارتن للاستعمال العسكري لوصفه العمليات المتبعة للمهاجمين الجدير بالذكر أن الخطوات المتبعة للمهاجم مشابهة للخطوات في الهجوم السيبراني، ولذلك يعد الإطار أحد الأطر المهمة التي يجب على مختصّي الأمن السيبراني فهمها ويزداد الأمر أهمية في حال كان المختص من المجال الدفاعي، في هذا المقال سنتطرق لشرح خطوات الإطار مع توضيحها بسيناريو عملي ومحاكاته على بيئة افتراضية.

&nbsp;

<h2 dir="rtl" style="text-align:right">السيناريو:</h2>

تعد شركة &quot;FakeComp&quot; أحد الشركات الناشئة في مجال تصميم واجهات المستخدم وتجربة المستخدم UI/UX 
- لا يوجد لديهم قسم خاص للأمن السيبراني 
- لا يوجد لديهم قسم لتقنية المعلومات 
- الموظفين: متخصصين بالتصميم، وشخص من قسم الموارد البشرية HR 
- أعلنت الشركة عن شاغر وظيفي في الموقع الرسمي 
تنويه: بحكم ان السيناريو تخيلي فالخطوات ستكون على بيئة افتراضية بشبكة داخليه بالإضافة الى ان معلومات الشركة غير واقعيه وتم صنعها لمحاكاة السيناريو. 
 
مراحل إطار Cyber Kill Chain:

الاستطلاع (Reconnaissance):

في هذه المرحلة يقوم المهاجم بجمع أكبر قدر ممكن من المعلومات عن الهدف ، قد تكون المعلومات مثل: معلومات التواصل، أسماء الموظفين ومناصبهم، مسارات الموقع والنطاقات (Domains &amp; Subdomains) ، معلومات عن الخدمات والمنافذ المفتوحة أو اصدار الخادم او اصدار نظام إدارة المحتوى إن كان مستَخدم، وعملية جمع المعلومات قد تكون بشكل مباشر او غير مباشر. 
يقصد بالاستطلاع بشكل مباشر (Active) وفيها يقوم المهاجم بجمع المعلومات من خلال الاتصال المباشر بالهدف مثل استعمال أدوات التخمين على المسارات لمعرفة مسارات الموقع، او استعمال أداة nmap لفحص المنافذ. 
يقصد بالاستطلاع بشكل غير مباشر (Passive) يقوم المهاجم بجمع المعلومات دون معرفة الهدف بوجود مهاجم يجمع المعلومات ويتم ذلك من خلال استعمال بعض الأدوات او جمع المعلومات يدويًا من خلال Google Dork.

&nbsp;

بالعودة الى السيناريو، هنا قام المهاجم بالبحث عن الشركة وبدأ بجمع المعلومات من خلال Google Dork

<img alt="" src="/media/blog/2024/09/09/scrn2_WAB5Dm0.png" style="height:532px; width:2000px" />

<img alt="" src="/media/blog/2024/09/09/scrn3_tsC62Tk.png" style="height:2689px; width:2000px" />

هنا استطاع المهاجم العثور على البريد الخاص بالدعم الفني وبريد المسؤول عن النظام.

&nbsp;

التسليح (Weaponization):

بعد أن قام المهاجم بجمع المعلومات يبدأ بالتفكير بكيفية الوصول للهدف من خلال انشاء البرمجيات الضارة أو استغلال بعض الثغرات إن وجدت ويكون هدف المهاجم هنا بإنشاء الاستغلال المناسب تبعًا لحالة الهدف.

<img alt="" src="/media/blog/2024/09/09/scrn4_AJnI7Dh.png" style="height:452px; width:2000px" />

قام المهاجم بإنشاء ملف ضار باسم nawaf_cv.pdf لخداع الموظف بالاعتقاد أن الملف بصيغة .pdf بينما هو في الحقيقة ملف تنفيذي بصيغة .exe&nbsp;

التسليم (Delivery) :

يقوم المهاجم في هذه المرحلة بالتفكير بوسيلة لإيصال البرمجيات الضارة التي قام بإنشائها الى الجهاز المستهدف، ويحاول المهاجم في هذه المرحلة استخدام وسائل متعددة للإقناع لتنفيذ الهجوم. والهدف منها هو جعل المستهدف يتفاعل مع البرمجيات الضارة، سواء كانت ملف ضار أو النقر على رابط، أو ادخال وسائط التخزين الى الأجهزة.

<img alt="" src="/media/blog/2024/09/09/scrn5_kuWu8Bu.png" style="height:1109px; width:2000px" />

هنا قام المهاجم بإرسال ملف ضار إلى البريد الإلكتروني الخاص بمسؤول التوظيف، وقد أرفق الملف في شكل رابط يؤدي إلى تنزيل الملف مباشرة.

&nbsp;

الاستغلال (Exploitation):

يقوم المهاجم باستغلال الثغرات المتواجدة للحصول على وصول للنظام المستهدف، والهدف في هذه الخطوة ان يتم الاستغلال من خلال تنفيذ البرمجيات الضارة التي تم تسليمها للوصول الى النظام ومن ثم التحكم به، وتعتمد تلك الآلية على نوع الثغرة والهدف لتحديد الأدوات والاستغلال المناسب.

<img alt="" src="/media/blog/2024/09/09/scrn6_lw20xDg.png" />

قام المهاجم باستخدام Metasploit Framework لإنشاء جلسة Meterpreter والانتظار لأي اتصال يتم من الجهاز المستهدف

&nbsp;

<img alt="" src="/media/blog/2024/09/09/scrn7_iTMlPiB.png" style="height:1151px; width:2000px" />

قام الموظف بالنقر على الملف معتقدًا أنه ملف PDF، ولكن لم يظهر له أي شيء، فافترض أن الملف لا يعمل وقام بحذفه. ما لم يدركه الموظف هو أن المخترق تمكن من الحصول على وصول للنظام في الخلفية

&nbsp;

<img alt="" src="/media/blog/2024/09/09/scrn8_CFmxtGp.png" style="height:538px; width:2000px" />

التثبيت (Installation):

يبدأ المخترق بتثبيت نفسه في الجهاز لكيلا يفقد الوصول الذي حصل عليه، والهدف في هذه المرحلة أن يضمن الوصول المستمر للهدف حتى بعد انقطاع الاتصال او إعادة التشغيل ويتم ذلك من خلال تنفيذ بعض الأوامر التي تقوم بتثبيت برمجيات أخرى لضمان استمرارية الوصول.

<img alt="" src="/media/blog/2024/09/09/scrn9_okF1HC0.png" style="height:660px; width:2000px" />

قام المخترق باستعمال أحد الاستغلالات في Metasploit لتثبيت برمجيات تضمن له الوصول المستمر على النظام

 
القيادة والسيطرة (Command &amp; Control C2):

يقوم المهاجم بإنشاء قناة للتواصل بينه وبين النظام المخترق ليتمكن من التحكم بالنظام وتنفيذ الاوامر، او ضم الجهاز لشبكة من الاجهزة المخترقة واستعمالها بعمليات أخرى، بل أيضًا أن المخترق لا يكتفي باختراق جهاز فقط، بل سيحاول الانتشار لاختراق الأجهزة الأخرى في الشبكة ليخترق أكبر قدر ممكن ويكون ضرره أعلى في المرحلة الأخيرة.

&nbsp;<img alt="" src="/media/blog/2024/09/09/scrn10_ZN1YjXS.png" style="height:1050px; width:2000px" />

الإجراءات على الأهداف (Actions on objectives):

وبعد أن يتمكن المهاجم من تثبيت نفسه وإنشاء قناة اتصال وفتح منافذ خلفية، يبدأ في تحقيق الأهداف التي قد تتغير حسب نوايا المهاجم. قد تشمل هذه الأهداف سرقة البيانات، أو التجسس، أو اختراق الأنظمة الأخرى، أو استخدام الأنظمة المصابة في هجمات أخرى.

<img alt="" src="/media/blog/2024/09/09/scrn11_lqHdW3c.png" style="height:862px; width:2000px" />أحد الأمثلة في هذه المرحلة ان يقوم المهاجم بتنزيل بعض الملفات الخاصة التي قد تكون حساسة أو مهمة من النظام المستهدف ويبدأ في عملية تسريب للبيانات.

&nbsp;

How-Hackers-Are-Helping-Security-Leaders-Navigate-the-Budget-Crunch

CISOs and security leaders face numerous challenges, including the skills gap, technical debt, and limited resources.

يواجه قادة الأمن السيبراني والرؤساء التنفيذيين العديد من التحديات السيبرانية، بما فيها قلة توفر المهارات والموارد المتاحة في المجال السيبراني مما شكّل فجوة خطيرة تهدد أمن هذه المؤسسات.

How Hackers Are Helping Security Leaders Navigate the Budget Crunch

كيف يساعد الهاكرز في التغلب على التحديات المالية التي تواجه المؤسسات في أمنها السيبراني

Cyber-Kill-Chain

The Cyber Kill Chain framework is one of the frameworks that describes the steps a hacker goes through during the attack process. It was developed by Lockheed Martin for military use to describe the operations followed by attackers. It is worth noting that the steps followed by the attacker are similar to those in a

يعد إطار Cyber Kill Chain أحد الأُطر التي تصف الخطوات التي يمر بها المخترق أثناء عملية الهجوم وقد تم تطويره بواسطة شركة لوكهيد مارتن للاستعمال العسكري لوصفه العمليات المتبعة للمهاجمين الجدير بالذكر أن الخطوات المتبعة للمهاجم مشابهة للخطوات في الهجوم السيبراني، ولذلك يعد الإطار أحد الأطر المهمة التي

Cyber Kill Chain

nawaf bin raihan || نواف بن ريحان

READ NEXT

How Hackers Are Helping Security Leaders Navigate the Budget Crunch