La Cyber Kill Chain è un modello per illustrare in maniera efficiente ed efficace il modo in cui un attaccante può attaccare un'organizzazione (attraverso degli step predefiniti). Il modello permette alle organizzazioni di individuare e comprendere le possibili minacce e di identificare lo step in cui si trova l'attacco e le eventuali contromisure da adottare.

La Cyber Kill Chain è un framework sviluppato per migliorare la capacità di individuazione e risposta ad un attacco.

Il framework è stato sviluppato dalla Lockheed Martin e divide un attacco in 7 step.

Ricognizione

In questa fase l'attaccante esegue una ricognizione per collezionare più informazioni possibile sul target. Le attività dell'attaccante in questa fase sono:

• OSINT

• Ricerca di informazioni su Social Network

• Analisi dell’eventuale sito web dell’organizzazione

• Analisi DNS e del blocco degli indirizzi dell’organizzazione

• Scansioni di porte e servizi attivi sul target.

Weaponization

L'attaccante eseguono analisi sui dati raccolti precedentemente per identificare eventuali vulnerabilità e tecniche da utilizzare per ottenere un accesso non autorizzato ai sistemi target.

Prepara un payload che sia adatto all’eventuali vulnerabilità individuate.

Durante questa fase l’attaccante deve:

• Identificare il payload adatto, crearne uno o modficarne uno per la vulnerabilità individuata.

• Preparare eventuali email di phishing

• Costruire o utilizzare una botnet o exploit kit.

Delivery

Durante la fase di delivery l'attaccante misura l'efficacia delle misure di sicurezza e prevenzione del bersaglio, identificando se il payload malevolo consegnato sia stato bloccato o meno.

Durante questa fase un attaccante:

• invia l’email di phishing preparata

• Puoi distribuire chiavette USB contenenti payload malevolo

• Esegue eventuali attacchi su siti compromessi

• Implementa diversi hacking tool contro sistemi operativi, applicazioni e server dell'organizzazione bersaglio.

Exploitation

Una volta consegnato il payload malevolo questo viene attivato nei sistemi della vittima (che siano sistemi operativi, applicazioni o server.) compromettendoli e ottenendo così un accesso (non autorizzato), o nel caso di un mancato accesso, può sempre creare ingenti danni causando un DOS o la perdita di informazioni critiche.

Installazione

Ora l'attaccante, avendo accesso alla macchina, potrà scaricare e installare ulteriore codice malevolo, questo gli permetterà di installare backdoor sul sistema così da poter mantenere l'accesso.

L'attaccante potrà scansionare la rete per infettare ed attaccare ulteriori sistemi presenti sulla network. Inoltre potrà eseguire azioni per mantenere nascosta, il più possibile, la sua presenza.

Comando e Controllo

L’attaccante instaura un canale tra la macchina vittima e i propri server così da poter scambiare dati in forma criptata.

Azioni sull’obiettivo

L’attaccante è riuscito ad ottenere quello che voleva, accesso a dati sensibili e alti privilegi sulla macchina e sul network, ora può effettuare altri attacchi verso altri obiettivi.

TTP - Tattiche, tecniche e procedure

I TTP sono un modello di attività e metodologie ideate per contrastare specifici attori o gruppi di minacce.

Tattiche

Descrive le linee guida che un attaccante segue dall’inizio alla fine del suo attacco. Comprendendo le tattiche di un attaccante sarà possibile individuare e predire l’evoluzione di un attacco durante gli step dello stesso. Un attore di minaccia tende ad utilizzare le stesse tattiche durante vari attacchi, queste tattiche variano dall’acquisizione di informazioni, esecuzioni di exploit, ottenimento di privilegi elevati, mantenimento di accessi e movimenti laterali. A volte però, in base alle circostanze e al target, queste tattiche vengono cambiate o modificate rendendo difficoltoso l’assegnazione di un attacco ad un gruppo/persona più tosto che ad un altro.

Analizzando inoltre eventuali tool, exploit o infrastrutture utilizzate durante un attacco si può risalire all’attaccante.

Tecniche

Descrive le metodologie tecniche utilizzate da un attaccante per raggiungere risultati durante i vari step di un attacco. Conoscere le tecniche permette di individuare le vulnerabilità e implementare delle misure di sicurezza avanzate. Inoltre, lo studio di determinate tecniche permette all’organizzazione di profilare l’attaccate e implementare delle contromisure specifiche. Per esempio, una tecnica può essere quella di effettuare ingegneria sociale prima di iniziare la scansione della rete, oppure quella di criptare i dati prima di trasferirli sui proprio sistemi.

Procedure

Sono la sequenza di azioni che vengono esegue durante i diversi step dell’attacco per massimizzare la possibilità di successo di un attacco. Conoscerle permette di individuare gli obiettivi che un attaccante attaccherà nell’organizzazione.

Identificazione del comportamento dell'attaccante

Si intende l’identificazione delle metodologie o tecniche utilizzate da un attaccante durante l’attacco per accedere alla network dell’organizzazione. Questo aiuta l’organizzazione a preparare e a ideare i propri sistemi di sicurezza nella maniera più performante possibile.

Alcuni comportamenti possono aiutare i sistemi di sicurezza a rilevare un eventuale attacco:

• Ricognizione interna, quando un attaccante è riuscito a penetrare all'interno della network eseguirà una ricognizione interna. Questi possono includere l’enumerazione di sistemi, host, processi, l'esecuzione di diversi comandi per trovare informazioni relativi utenti o configurazioni di sistema, indirizzi di host remoti attivi o programmi attualmente in esecuzione sul sistema. È possibile individuare queste ricerche e far scattare eventuali sistemi di sicurezza.

• Attività proxy non specificata, un attaccante potrebbe configurare diversi domini che puntano allo stesso host così da permettergli il cambio di dominio velocemente senza essere rilevato.

• Uso di tool da riga di comandi, ottenuto l’accesso al sistema un attaccante potrebbe utilizzare le command-line interface (CLI) per interagire con il sistema, leggere, modificare o eliminare un file, creare nuovi utenti, connettersi a sistemi esterni o scaricare file malevoli.

• Http User Agent, un attaccante potrebbe comunicare con sistemi compromessi tramite uno user agent modificato e preparare eventuali futuri attacchi.

• Server di commando e controllo, un attaccante potrebbe utilizzare un server di commando e controllo (C2) per comunicare con i sistemi compromessi attraverso connessioni cifrate. Utilizzando tali connessioni l’avversario può esfiltrare dati, modificarli o lanciare futuri attacchi.

• Uso di un tunnel DNS, un attaccante potrebbe far uso di un tunnel dns per esfiltrare o infiltrare file e informazioni. Inoltre, sfruttando il tunnel potrebbe incanalare ulteriori protocolli di comunicazione (ssh, telnet, http) che non verrebbero indentificati da sistemi di sicurezza perimetrale o da ids.

• Uso di web shell, un attaccante potrebbe utilizzare una web shell per manipolare il comportamento di un web server, per esempio tramite la web shell l’avversario potrebbe interagire con funzionalità del server, caricare o scaricare file, utilizzare il server come nuovo punto di lancio di attacchi.

• Ricerca e collezionamento di informazioni, una volta ottenuto l’accesso al sistema un attaccante potrebbe ricercare e collezionare una mole consistente di dati tra i quali: dati sensibili di impiegati e/o clienti, informazioni finanziarie, configurazioni di rete, dati essenziali per il business. Dopo di che avrà la possibilità di distruggerli, prenderli in ostaggio o rubarli.

Indicatori di compromissione

Gli indicatori di compromissione (ioc) sono parti di dati forensi, che possono essere utilizzati per individuare una potenziale intrusione o attività malevole nell’infrastruttura dell’organizzazione.

Gli IOC sono un importante fonte di informazioni in merito alla minaccia, analizzando gli IOC un organizzazione può migliorare i suoi sistemi e le policy di sicurezza così da poter individuare e bloccare attività sospette e futuri attacchi.

Molte organizzazioni mettono a disposizione della community gli IOC raccolti dai loro sistemi così da condividere le informazioni.

Possiamo suddividere gli IOC in categorie, così da velocizzare il riconoscimento delle minacce e monitorarle durante il la loro evoluzione:

• Indicatori emailUn attaccante tende ad utilizzare un servizio email per inviare file malevoli al target, come IOC possiamo trovare l’indirizzo email che invia la mail, l’oggetto della mail, specifici allegati o link all’interno del corpo della mail.

• Indicatori network Tra gli indicatori di rete troviamo indirizzi url, nomi di dominio e indirizzi ip. In questo caso possono indicare utilizzo di C2, sistemi di malware delivery o botnet.

• Indicatori host Si trovano analizzando i sistemi infettati dell’organizzazione, possono essere nomi di file, hash di file, chiavi di registri, determinate DDL o librerie.

• Indicatori di comportamento
  Utilizzati per indicate specifici comportamenti dell’attaccante, possono aiutare ad identificare l’attaccante analizzando pattern di comportamento già analizzati o già visti. Utilizzati anche per individuare un comportamento che si distacca dal solito funzionamento e dalla solita esecuzioni di programmi o script legittimi.

Conclusione

Risulta evidente che la conoscenza della nostra infrastruttura e di come un utente può attaccarla diventa fondamentale per ogni organizzazione a prescindere dall’eventuale grandezza o fatturato.

Un altro aspetto fondamentale da tutto questo risulta essere la condivisione di informazioni e degli Ioc così da creare una comunità, più consapevole degli elementi utilizzati dagli attaccanti e contrastarli in maniera più efficace.

Crediti cover:

Altri articoli

• Information Security

  https://mirror.xyz/0x12e00e78026E4722cF5B4EEc2740ce6022299913/BKTIaaoQESYmJgtl9L-Qe3DY4T7M6oXjoAfJ9YZnl6E