La Cyber Kill Chain è l’adattamento al campo della cyber security del concetto di Kill Chain utilizzato in ambito militare per indicare un modello a fasi utile a identificare i vari passaggi necessari all’esecuzione di un attacco.
Nell’ambito della sicurezza informatica, quindi, aiuta a comprendere in anticipo le possibili azioni di un criminal hacker in modo da cogliere i segnali di un attacco e utilizzare gli strumenti di sicurezza necessari per difendere i perimetri aziendali.
Indice degli argomenti
Cyber Kill Chain: lo scenario d’attività
L’evoluzione tecnologica e l’irreversibile diffusione dell’informatica nelle strutture economiche aziendali non porta con sé solo crescita e benefici. Inevitabilmente, il numero di cyber attacchi aumenta, la loro tipologia diventa sempre più complessa e ad essere presi di mira sono i settori più disparati.
Il Verizon Data Breach Investigations Report (DBIR) scatta ogni anno una fotografia della sicurezza informatica dell’economia mondiale; il suo ultimo aggiornamento individua il settore sanitario, pubblico, alberghiero e informatico come bersagli più rilevanti delle minacce informatiche nel 2019. Si può affermare con assoluta certezza che, ad oggi, ogni singola azienda che affidi alla rete anche una minima parte dei suoi interessi deve sapere affrontare attacchi hacker, così come adottare delle misure preventive che consentano di evitarli.
Maggiore è la posta in palio, maggiori sono i pericoli. Le aziende con un gran numero di dipendenti, che hanno investito ingenti capitali nel cyberspazio, sono i target dei malware più pericolosi. Un mix di APT (Advanced Persitant Threat) e RAT (Remote Access Trojan), disegnati su misura e ben camuffati con le più moderne tecniche di obfuscation, potrebbe causare un danno sostanzioso all’economia dell’azienda che ne è vittima.
Un’analisi forense post-mortem è necessaria ogni qualvolta si verifichi un’intrusione o un attacco di qualsiasi genere, per ottenere una stima dei danni subiti, attuare un piano di risposta e verificare la possibilità che il malware persista nel sistema o si verifichi nuovamente.
Le grandi società hanno al loro interno figure che si dovranno occupare di questa stessa incursione informatica, ma con compiti differenti.
I dirigenti sono maggiormente interessati all’impatto economico della minaccia, gli analisti e i manager alla formulazione di un approccio difensivo efficace e alla suddivisione delle attività da svolgere, mentre i tecnici e gli sviluppatori possono essere definiti come “quelli che si sporcano le mani”, affrontando a basso livello il codice malevolo per poi elaborare una strategia di mitigazione da eventuali incidenti futuri.
Queste figure hanno a che fare con lo stesso oggetto ma in modi diversi: è dunque necessario un modello che riesca a trasformare le dettagliate informazioni estrapolate a basso livello dagli operatori, in modo tale che possano essere comprensibili e adoperabili ad ampio spettro dagli altri impiegati, specialmente coloro che non hanno seguito alcun corso di programmazione nel loro passato universitario.
Ed è qui che entra in azione la Cyber Kill Chain, un modello in grado di illustrare i più complessi attacchi informatici in maniera globale, così come un metodo di analisi delle intrusioni che genera uno schema semplice ed intuibile, da cui estrapolare informazioni fruibili ed universalmente comprensibili.
L’obiettivo primario equamente condiviso da tutti gli impiegati prima citati è il ridimensionamento dell’impatto economico dell’offensiva sull’organizzazione e la preventivazione di simili incidenti, ottimizzata da una politica di condivisione delle informazioni tra aziende vittime, la chiave di volta per la lotta al cybercrime.
Com’è composto il modello Cyber Kill Chain
Sviluppato da Lockheed Martin per scenari militari, il modello Cyber Kill Chain è composto da sette fasi predefinite che individuano la posizione di vantaggio dell’attaccante nei confronti della vittima; ad ognuna di queste si applica una particolare azione difensiva, che rientra in una delle sei categorie definite dall’Information Operations Doctrine del Dipartimento della Difesa degli Stati Uniti (US DoD).
Di seguito vengono elencati i sette step, accompagnati da una breve descrizione e un indicatore di compromissione (IoC) d’esempio, il quale aiuta a riconoscere la posizione raggiunta dall’attaccante nei confronti dell’organizzazione vittima.
Perlustrazione
Dopo aver identificato il bersaglio, l’attaccante comincia la sua personale ricerca di vulnerabilità, disegnando un profilo del suo personale obiettivo da fonti pubbliche e private. Informazioni pubblicamente disponibili possono derivare sia da siti web relativi alla compagnia che da tutte le organizzazioni ad essa riconducibili, dai dipendenti, dagli eventi, dai social network e dai motori di ricerca.
IoC: “Alice May”
Tramite alcune ricerche, l’attaccante identifica un’impiegata dell’azienda che si vuole attaccare come un bersaglio con grandi possibilità di essere ingannato da qualche mail di phishing (e.g., Alice non è particolarmente competente nell’utilizzo del computer, come si può osservare dal suo utilizzo dei social network).
Armamento
Viene creato il malware: una volta conclusa la scrittura del codice a esso relativo, l’attacco passa dalla teoria alla pratica.
IoC: “MD5 5dbe81acfbba565fd7d74749cf7599b3”
Questo valore indica univocamente il file “MWSSRCAS.DLL” del malware “BHO.MyWebSearch.P”.
Esso corrisponde al suo hash, una segnatura univoca di quel file scaricabile da Internet. MD5 è uno dei sistemi più diffusi e sicuri per “hashare” un file.
Il codice di quello specifico malware sarà d’ora in avanti collegato perennemente a quella stringa, una sorta di etichetta per quel malware.
Consegna
L’exploit viene recapitato tramite un vettore di attacco, che può essere una mail di phishing, un link su un sito web o altro. La maggior parte di questi utilizza formati JavaScript (.js) e VBScript (.vbs), tuttavia anche eseguibili (.exe), .pdf o documenti di Microsoft Office (e.g., .doc) sono tipi di vettori molto frequenti.
IoC: “alice.may@company.com” + “document.pdf”
Alice riceve una mail con un pdf in allegato. Prova a cliccare su di esso per aprirlo ma non succede nulla.
Exploit
In realtà, qualcosa sta accadendo al pc di Alice, il malware utilizza una vulnerabilità del suo programma per aprire documenti in pdf (e.g., Acrobat Reader) per installarsi nel suo computer.
Questo exploit è un codice JavaScript incorporato in un documento PDF non valido. Sfrutta una vulnerabilità in Acrobat Reader.
IoC: “CVE-2018-8120”
Questo codice identifica una comune vulnerabilità o exploit (CVE), rilasciata nel 2018 e rivolta al programma di lettura Acrobat Reader.
Installazione
Il payload, la seconda parte dell’attacco successiva alla riuscita dell’exploit, viene scaricato e installato. La sua presenza riesce ad evitare e oltrepassare varie misure di sicurezza tramite tecniche crittografiche e di obfuscation.
IoC: C:Program Files (x86)qgwafuaevb.exe
Command and Control (C2 o C&C)
Corrisponde all’entità che viene contattata dal malware, una volta installato, per inviare dati raccolti nella vittima o ricevere nuove istruzioni da eseguire.
IoC: 70.32.98.76
Il malware tenta di creare un canale di comunicazione tra il pc infetto e il C2 che si cela dietro questo indirizzo IP.
Azioni sugli obiettivi
Queste includono tutte le attività successive alle fasi standard appena descritte. Non esistono indicatori di compromissione applicabili a questa fase poiché le azioni intraprese dall’attaccante possono essere le più disparate, e la maggior parte delle volte sono finalizzate a movimenti laterali verso altri impiegati della compagnia, il furto o la distruzione di informazioni o la compromissione dell’intero sistema informatico dell’azienda.
IoC: N/A
Le linee d’azione della Cyber Kill Chain
Ognuna di queste fasi può essere contrastata da 6 linee di azione (“courses of action”) differenti:
- Detect (individuare): montare degli strumenti che individuino l’attaccante in intrusioni future;
- Deny (negare): impedire che un simile evento abbia luogo nuovamente;
- Disrupt (interruzione): fermare o cambiare il traffico in uscita (all’aggressore);
- Degrade (declassare): rallentare le azioni dell’attaccante, ridurne i privilegi e/o gli effetti;
- Deceive (ingannare): interferire con il C2, persuadendolo che l’attacco sia andato a buon fine;
- Destroy (distruggere): passare al contrattacco.
Ad ogni azione corrisponde una reazione, la scelta della contromisura da seguire ad ogni fase dipende da moltissimi fattori, e deve essere in linea con la politica e le necessità dell’azienda.
La Cyber Kill Chain per “capire” gli attacchi informatici
Non esiste un approccio universale da intraprendere in caso di attacco, tuttavia questo modello porta gli attacchi al giusto livello di astrazione, rendendoli comprensibili a un personale meno tecnico, che in questo modo ha minori difficoltà nella decisione delle misure da preferire.
Inoltre, il metodo riesce a pensare le misure difensive con la mente dell’attaccante, attuando un approccio identico a quello che ha portato al verificarsi dell’intrusione.
Al fine di risultare sempre al passo con gli attacchi più moderni, la Cyber Kill Chain dovrà essere modificata e ampliata, una necessità dettata anch’essa dalla continua evoluzione della tecnologia e delle relative tecniche di attacco.
