Che cos'è la cyber kill chain?

(di Alessandro Rugolo, Lino Proceddu)
29/03/21

In diversi articoli abbiamo accennato alla cosiddetta "cyber kill chain" ma a ben guardare non abbiamo mai veramente spiegato di che si tratta. 

Oggi in questo breve articolo ripercorriamo la nascita del modello e cerchiamo di capire assieme qualcosa di più.

Il concetto di Cyber Kill Chain è stato pubblicato per la prima volta dalla Lockheed Martin, principale industria americana del settore Difesa, nel white paper: "Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains", di Eric M. Hutchins, Michael J. Cloppert e Rohan M. Amin.

Consiglio a tutti di leggere il documento nella sua interezza in quanto molto interessante (link in fondo). Nel nostro caso ci limitiamo a prendere ciò che ci sembra più utile, in particolare nell'introduzione troviamo una prima definizione di cyber kill chain:

"The phrase “kill chain” describes the structure of the intrusion, and the corresponding model guides analysis to inform actionable security intelligence".

Gli autori si sono preoccupati dunque dello sviluppo di un modello di attacco cyber che servisse ad agevolare i difensori allo sviluppo di tecniche di mitigazione dei rischi, questo per ostacolare efficacemente un ipotetico intruder nel suo lavoro. Il modello aveva anche lo scopo di agevolare la "prioritizzazione" degli investimenti nelle nuove tecnologie.

Non è un caso che proprio un’industria della difesa abbia introdotto il concetto della Cyber Kill Chain, si tratta semplicemente di un adattamento all’ambito cyber di un concetto militare, difatti in origine era un modello a fasi utile a identificare i vari passaggi necessari all’esecuzione di un attacco.

L'analisi della kill chain permette di capire come un avversario per raggiungere il suo obiettivo debba riuscire a progredire attraverso tutta la catena, mettendo bene in evidenza quali azioni di mitigazione sono efficaci per interrompere la kill chain stessa.

Il paper è rivolto in particolare alla analisi di quegli avversari dotati di capacità e risorse sufficienti a condurre delle campagne APT (Advanced Persistent Threath).  

Ma vediamo in cosa consiste questa cyber kill chain. Si tratta di un processo costituito da sette fasi:

La prima fase si chiama Reconnaissance (perlustrazione) e, come ben evidenzia il nome, consiste nell'effettuazione di ricerche per identificare e selezionare l'obiettivo, ricerche su internet di informazioni relative all'obiettivo, alle tecnologie che impiega, agli indirizzi email e al personale nonché le relazioni sociali. Questa fase è fondamentale per la definizione del target iniziale utile per arrivare a quello finale magari con un movimento laterale, ad esempio verrà colpito l’impiegato in fondo a destra per poter arrivare infine al CEO dell’azienda.

La seconda fase si chiama Weaponization (armamento) e consiste creare o identificare un malware utilizzabile per l'attacco, di solito si tratta di un accoppiamento di un software per l'accesso remoto (cavallo di troia) e di un exploit (software che sfrutta una vulnerabilità del sistema). Spesso per guadagnare l’accesso ad un sistema, vengono sfruttati gli zero day da cui ancora non c’è difesa poiché sono delle nuovissime vulnerabilità che devono ancora essere "patchate" proprio perché appena scoperte.

La terza fase si chiama Delivery (consegna) e consiste nella trasmissione della arma cyber (weapon) all'obiettivo. Normalmente si impiegano email con link a siti fasulli o documenti allegati contenenti malware per la distribuzione alla vittima. Ma anche chiavette USB, infrarossi, bluetooth, supporti ottici, tastiere o mouse con un malware “nidificato” nel firmware o altri metodi sono possibili.  

La quarta fase è conosciuta come Exploitation (sfruttamento) e consiste, generalmente, nello sfruttamento di una o più vulnerabilità da parte dei software malevoli introdotti nel sistema sotto attacco. È doveroso sottolineare che vengono adottate le più avanzate tecniche di obfuscation (spesso addirittura tecniche inedite) per rendere queste azioni totalmente invisibili ai nostri “radar” siano essi firewall, IDS, IPS, filtri mail, antivirus e SIEM.

La quinta fase si chiama Installation (installazione) e consiste nell'installare all'interno del sistema obiettivo allo scopo di consentire all'attaccante di poter restare all'interno del sistema a suo piacimento, la cosiddetta persistenza. Di solito si usano a tale scopo dei Malware Trojan (RAT Remote Access Trojan), vengono aperte delle porte nella rete, o vengono create delle backdoor. In questa fase il sistema viene silenziosamente ma pesantemente modificato, possono essere modificate chiavi di registro, files di sistema fin’anche le partizioni di avvio). Questo è uno dei motivi per cui l’esito del ripristino dei “sistemi compromessi” non è mai scontato.

La sesta fase è chiamata Command and Control (C2 o C&C, Comando e Controllo) e consiste nello stabilire una solida catena di comando e controllo che consenta all'attaccante di dare ordini e ricevere feedback. Questa fase è particolarmente importante in una APT. 

La settima fase si chiama Actions on Objectives (azioni sugli obiettivi) e consiste nel vero e proprio attacco al sistema obiettivo. In genere si tratta di esfiltrare dati, che più in generale significa esplorare il sistema, raccogliere dati, cifrarli e esfiltrarli. In altri casi si tratta di rendere i dati indisponibili, in genere cifrandoli per chiedere in seguito un riscatto (i famosi Ramsomware). In altri casi si tratta di modificare i dati (cosa accadrebbe se venisse alterata di qualche frazione di millimetro la dimensione di un pezzo di ricambio di un’aereo?). L'attaccante potrebbe anche avere solo interesse a raccogliere dati utili ad attaccare un altro sistema più remunerativo.

Ogni fase può essere a sua volta suddivisa in diversi step, più o meno numerosi.

Naturalmente il modello sviluppato dalla Lockheed Martin per scopi difensivi può e viene impiegato anche per scopi offensivi, soprattutto in relazione alle prime fasi di reconnaissance e weaponization.

Naturalmente esistono tante varianti della cyber kill chain, sviluppate da diverse società, ma l'obiettivo è sempre lo stesso ovvero aiutare a capire il modus operandi dell'attaccante allo scopo di capire come sconfiggerlo o, più in generale, come moderare i rischi.     

Per approfondire:

LM-White-Paper-Intel-Driven-Defense.pdf (lockheedmartin.com)

Seven_Ways_to_Apply_the_Cyber_Kill_Chain_with_a_Threat_Intelligence_Platform.pdf (lockheedmartin.com)

rheinmetal defence