~/docs/kill_chain.dat

Il termine kill chain si fa riferimento alla struttura con la quale un attacco informatico viene eseguito.

Le fasi sono:

  1. Ricognizione / Reconnaissance
  2. Armamento / Weaponization
  3. Consegna / Delivery
  4. Sfruttamento / Exploiting
  5. Installazione / Installation
  6. Comando e controllo / C2 o C&C
  7. Lateral moving & Pivoting
    1. Ricognizione
    2. Credential Dumping & Privilege Escalation
    3. Gaining Access
  8. Azione / Actions (on Objectives)

Fase 1: Ricognizione

Nota anche come “information gathering”, in questa fase, l’attaccante cerca di reperire quante più informazioni sul bersaglio che vuole colpire. Le ricerche vengono spesso effettuate mediante sistemi di OSINT e tentano di coprire quanto più perimetro sulla vittima quali informazioni relative all’obiettivo, alle tecnologie che impiega, al settore dove opera, agli indirizzi email e al personale nonché alle sue relazioni sociali. Inoltre, vengono eseguite scansioni sul perimetro esterno atte ad identificare sistemi esposti per identificarne versioni ed eventuali vulnerabilità note in caso di mancati aggiornamenti.

Fase 2: Armamento

In questa seconda fase l’attaccante crea (o identifica) un software malevolo che possa sfruttare le vulnerabilità identificate sulla base delle informazioni raccolte nella prima fase. Spesso si tratta di un software per l’accesso remoto e di un exploit per sfruttare una o più vulnerabilità del sistema.

Fase 3: Consegna

La fase della consegna consiste nella trasmissione del malware creato al bersaglio mediante phishing (mail, SMS), link a pagine web, etc

Fase 4: Exploting

Qui il malware inizia a operare. Il codice del programma del malware viene attivato per poter sfruttare le vulnerabilità del sistema. Giusto sottolineare come, nella quasi totalità delle volte, vengono adottate tecniche di offuscamento atte a rendere queste azioni totalmente invisibili ai sistemi di controllo.

Fase 5: Installazione

La quinta fase consiste nell’installare sul sistema della vittima un sistema atto a garantire i futuri accessi da parte dell’attaccante.

Fase 6: C2

La quinta fase della kill chain avviene quando il malware (creato, consegnato, attivato e installato) si mette in comunicazione con il (o i) server dell’attaccante così che questo possa inviare comandi e ricevere risposte dal sistema remoto.

Fase 7: Lateral moving & Pivoting

Questa fase fa riferimento alle tecniche utilizzate dell’attaccante per spostarsi più in profondità in una rete alla ricerca di dati sensibili e altre risorse di alto valore. Dopo essere entrato nella rete, l’attaccante mantiene l’accesso spostandosi attraverso l’ambiente compromesso e ottenendo maggiori privilegi utilizzando vari strumenti.

Questa tecnica consente di mantenere l’accesso anche se rilevato sulla macchina che è stata infettata per la prima volta. Vien da se che con un tempo di permanenza prolungato, l’esfiltrazione potrebbe verificarsi dopo settimane o mesi dopo la prima violazione. Questa fase si divide tipicamente in tre sotto fasi distinte.

Fase 7.1: Ricognizione

Qui l’attaccante esplora e mappa la rete: i suoi utenti e i suoi dispositivi. Questa mappa consente di comprendere le convenzioni di denominazione degli host, la geometria di rete, identificare i sistemi operativi e acquisire informazioni per compiere future mosse.

Una volta che l’attaccante ha identificato le aree critiche a cui accedere il passaggio successivo è raccogliere le credenziali di accesso.

Fase 7.2: Credential Dumping & Privilege Escalation

Questo è il processo con il quale l’attaccante vuole ottenere credenziali di accesso valide. Un modo per ottenere queste credenziali è indurre gli utenti a condividerle utilizzando tattiche di social engineering come typosquatting e attacchi di phishing.

Altre tecniche comuni per rubare le credenziali sono:

  • Pass the Hash. Metodo di autenticazione senza avere accesso alla password dell’utente. Questa tecnica ignora i passaggi di autenticazione standard acquisendo hash di password validi che, una volta autenticati, consentono all’attaccante di eseguire azioni su sistemi locali o remoti
  • Pass the Ticket. E’ un modo per autenticarsi utilizzando i ticket Kerberos. Un intruso che ha compromesso un controller di dominio può generare offline un “golden ticket” il quale rimane valido a tempo indeterminato e può essere utilizzato per impersonare qualsiasi account.
  • Mimikatz (o altri software simili). Vengono utilizzati per estrarre password memorizzate nella cache o nei certificati di autenticazione di una macchina compromessa.
  • Keylogging. Sono software che consentono all’attaccante di acquisire le password direttamente quando un utente ignaro le immette tramite la tastiera.
Fase 7.3: Gaining Access

Con le credenziali individuate durante le precedenti fasi, il processo di ricognizione andrà ad aggirare i controlli di sicurezza (in quanto questi verranno visti come “buoni”) per compromettere successivamente altri host. Questa azione può essere ripetuta a tempo indeterminato.

Fase 8: Azione

E’ il vero e proprio attacco al sistema remoto. In genere si tratta di esplorare il sistema, raccogliere dati, cifrarli e esfiltrarli. In altri casi si tratta di rendere i dati indisponibili, cifrandoli per chiedere in seguito un riscatto (ramsomware), in altri casi si tratta di modificare i dati all’insaputa della vittima.

EOF

Rispondi