La cyber Kill-chain

Uno dei modelli di Cybersecurity tra i più comunemente utilizzati in ambito Ethical Hacking è quello della Cyber Kill Chain.

Il concetto di kill chain è derivato dalla pratica militare di identificare una struttura per ogni attacco.

Lo scopo della kill chain è quello di individuare in quale fase dell’attacco si trova attualmente l’attaccante, al fine di adattare al meglio le misure di contrasto.

La Cyber Kill-Chain pertanto non è altro che l’adattamento alla Cybersecurity del concetto di kill-chain adottato in ambito militare.

La Cyber Kill-Chain

Uno dei modelli tra i più comunemente utilizzati in ambito Cybersecurity è quello della Cyber Kill Chain.

Il concetto di kill chain è derivato dalla pratica militare di identificare una struttura per ogni attacco.

Lo scopo della kill chain è quello di individuare in quale fase dell’attacco si trova attualmente l’attaccante, al fine di adattare al meglio le misure di contrasto.

La Cyber Kill Chain pertanto non è altro che l’adattamento alla Cybersecurity del concetto di kill chain adottato in ambito militare.

Cyber Kill Chain

L’immagine mostra la Cyber Kill Chain, nella versione sviluppata da Lockheed Martin (Image Credits: Wikipedia)

Sventare l’attacco rompendo la Kill Chain

Il modello della kill chain viene utilizzato per comprendere la sequenza di fasi coinvolte nella realizzazione di un attacco.

Ricostruire la sequenza di attacco consente di adottare strategie e strumenti idonei per bloccare l’attacco fin dalle fasi iniziali, o comunque prima che possa raggiungere le fasi successive.

Riuscire a “rompere” la kill chain dell’attaccante implica pertanto la capacità di bloccare un attacco in qualsiasi momento.

In molti casi è sufficiente neutralizzare anche una soltanto delle fasi della kill chain per mandare fuori bersaglio e neutralizzare l’attacco nel suo insieme.

Le diverse fasi della Cyber Kill Chain

Di seguito elenchiamo le fasi di cui si compone la Cyber Kill Chain:

  • Reconnaissance (Ricognizione)
  • Weaponization (armamento)
  • Delivery (Consegna)
  • Exploitation (Sfruttamento)
  • Installation (Installazione)
  • Command & Control (Comando e controllo)
  • Actions on Objective (Azioni su Obiettivo)

La prima fase della cyber kill chain è la Reconnaissance o ricognizione.

Reconnaissance

Questa è la fase durante la quale l’attaccante identifica il proprio bersaglio e i potenziali punti di attacco.

In questa fase vengono individuate le vulnerabilità che possono essere sfruttate a proprio vantaggio, sulla base delle informazioni raccolte in relazione all’obiettivo identificato.

L’insieme di informazioni raccolte consente all’attaccante di individuare lo strumento di attacco più adeguato da impiegare nel caso specifico.

Questa essenzialmente è la fase in cui si raccolgono le informazioni necessarie per realizzare l’attacco

L’attaccante dopo avere selezionato il suo obiettivo, lo analizza a fondo alla ricerca di vulnerabilità che possano essere sfruttate con successo.

La raccolta di informazioni viene condotta tra le fonti aperte pubblicamente disponibili (OSINT), prima di procedere alla rilevazione delle informazioni sensibili rese disponibili (solitamente a seguito di data breaches e data leakages) dalle fonti interne, riconducibili agli stessi apparati target.

Tra le fonti aperte utilizzabili ricordiamo:

  • Siti aziendali
  • Articoli di notizie
  • Social media

Gli attaccanti tendono a selezionare quegli obiettivi che reputano essere relativamente non protetti, incustoditi o trascurati e che ritengono contengano dati e informazioni preziosi.

Weaponization

Nella fase successiva della weaponization (armamento) avviene la scelta dello strumento di attacco ritenuto più adeguato per conseguire i propri obiettivi.

L’attaccante potrebbe decidere di limitarsi ad utilizzare un malware standard, nel tentativo di compromettere quanti più endpoints nel minor tempo possibile, incorrendo però nel rischio che il malware venga individuato rapidamente dai software antivirus.

Oppure potrebbe decidere di investire tempo e risorse nel confezionare un malware su misura, mirato a compromettere uno specifico target, ma che dall’altro lato risulta più difficilmente rilevabile dai vari software di detection.

Lo strumento di attacco può consistere ad esempio in:

  • un vettore di attacco apparentemente innocuo, come un file immagine, o un file word o pdf, contenente al suo interno un payload con istruzioni dannose;
  • reindirizzamento verso un sito dannoso, mediante un link inserito all’interno di una email o un sms di phishing;
  • malware nascosto all’interno di una periferica esterna (chiave usb, hard disk esterno, ecc.) che viene fatta recapitare alla vittima con i mezzi più vari;

La scelta dello strumento di attacco più adeguato è quindi lasciata alla creatività dell’attaccante sulla base del contesto specifico: questo ci conduce alla fase successiva della kill-chain, nota appunto come delivery (consegna).

Delivery

La delivery consiste nella consegna dello strumento di attacco selezionato nella fase di weaponization.

La delivery deve essere realizzata all’interno del perimetro operativo del target, e può essere conseguita ad esempio tramite un collegamento web ad un sito malevole sotto il controllo dell’attaccante.

Oppure può avvenire sfruttando servizi di rete esposti dallo stesso target, che sono affetti da vulnerabilità exploitabili da remoto.

Sempre più frequentemente, la delivery avviene mediante phishing per il tramite di allegati o url malevoli associati a messaggi email o sms.

Exploitation e Installation

La fase di exploitation (sfruttamento della vulnerabilità) si realizza quando il software malevolo viene eseguito sul sistema della vittima, portando a termine l’installazione del vettore di attacco.

Una volta all’interno del sistema vittima, l’intruso tenterà di spostarsi lateralmente su altri sistemi e apparati raggiungibili all’interno del perimetro di rete compromesso.

L’obiettivo è quello di aumentare il livello di autorizzazione (privilege escalation) per ottenere quante più informazioni e dati riservati possibili.

A tal fine, l’attaccante può:

  • sfruttare le vulnerabilità degli account utente (come ad es. password deboli);
  • esfiltrare le credenziali mediante sniffing;
  • eseguire attacchi a forza bruta su archivi di hash e checksum reperiti sugli apparati violati;
  • individuare e sfruttare altre vulnerabilità di sistema di cui sono affetti gli apparati non raggiungibili direttamente dall’esterno del perimetro.

La fase di exploitation è completata dalla installation, durante la quale l’attaccante provvede ad installare software aggiuntivo che gli consente di mantenere l’accesso al sistema target oggetto di compromissione.

La fase di installazione (anche nota come persistenza) mira a inserire backdoor all’interno del sistema target, consentendo così all’attaccante di permanere indefinitamente all’interno del sistema vittima, riducendo al minimo la probabilità di venire scoperti.

Tra le ulteriori installazioni solitamente realizzate sul sistema vittima possiamo ricordare:

  • installazione di compilatori e interpreti di script;
  • creazione di file di scripting malevoli da eseguire successivamente (ad es. mediante command & control);
  • installazione di certificati di sicurezza creati ad arte dall’attaccante per dirottare le connessioni verso siti non affidabili anche mediante protocolli di comunicazione considerati sicuri (https, ssl, ssh, vpn, ecc.);

Command & Control

Una volta completata l’installazione, la fase successiva è quella del comando e controllo (solitamente indicata in gergo con la sigla C2).

La fase di comando e controllo consente all’attaccante di gestire il sistema compromesso
mediante l’invio di comandi remoti per il tramite solitamente di un canale nascosto (covert channel).

L’attaccante potrebbe tentare di ottenere ulteriori informazioni riguardo l’organizzazione o il resto della rete in cui risiede il sistema compromesso, oppure trasformare il sistema compromesso in uno “zombie” facendogli eseguire attacchi ulteriori, come ad esempio la partecipazione a un attacco di denial of service su larga scala (DDoS).

Actions on Objective

Questi attacchi ulteriori sono anche noti come azioni sugli obiettivi.

L’attaccante potrebbe avere infatti intenzione di conseguire obiettivi ulteriori, come ad es. monetizzare le informazioni riservate trafugate a seguito dell’intrusione nei sistemi dell’organizzazione vittima degli attacchi, oppure consentire l’accesso ad altre gang criminali dietro pagamento di una fee.

Tra gli obiettivi ulteriori ben possono esserci:

  • lo spionaggio industriale;
  • la violazione della proprietà intellettuale;
  • modifica o distruzione dei dati;
  • cifratura delle informazioni sensibili, con richiesta di riscatto in danaro per ripristinare l’accesso agli stessi (ransomware);

Infine, non bisogna sottovalutare anche l’intento di effettuare attacchi verso falsi obiettivi, al fine di dirottare l’attenzione dai reali target.

Torna all'Indice



© Innovation-Exploited.com - All rights reserved - Riproduzione Riservata