En varios artículos hemos mencionado el llamado "cadena de matanza cibernética"pero en una inspección más cercana nunca hemos explicado realmente qué es.
Hoy, en este breve artículo, volvemos sobre el nacimiento del modelo y tratamos de entender algo más juntos.
El concepto de Cyber Kill Chain fue publicado por primera vez por Lockheed Martin, la principal industria de defensa estadounidense, en el libro blanco: "Defensa de redes informáticas impulsada por inteligencia basada en el análisis de campañas adversas y cadenas de destrucción de intrusiones", por Eric M. Hutchins, Michael J. Cloppert y Rohan M. Amin.
Recomiendo a todos que lean el documento en su totalidad ya que es muy interesante (enlace en la parte inferior). En nuestro caso nos limitamos a tomar lo que nos parece más útil, en concreto en la introducción encontramos una primera definición de cadena de matanza cibernética:
"La frase" cadena de muerte "describe la estructura de la intrusión, y el modelo correspondiente guía el análisis para informar la inteligencia de seguridad procesable".
Por lo tanto, los autores estaban preocupados por el desarrollo de un modelo de ataque cibernético que ayudaría a los defensores a desarrollar técnicas de mitigación de riesgos, esto para obstaculizar eficazmente a un hipotético intruso en su trabajo. El modelo también estaba destinado a facilitar la "priorización" de las inversiones en nuevas tecnologías.
No es una coincidencia que una industria de defensa haya introducido el concepto de Cyber Kill Chain, es simplemente una adaptación al entorno cibernético de un concepto militar, de hecho originalmente era un modelo por fases útil para identificar los distintos pasos necesarios para la ejecución de un ataque.
El análisis de la matar cadena permite comprender cómo un oponente para lograr su objetivo debe poder progresar a lo largo de toda la cadena, destacando qué acciones de mitigación son efectivas para interrumpir la matar cadena Stessa.
El trabajo está dirigido en particular al análisis de aquellos adversarios con capacidad y recursos suficientes para realizar campañas APT (Advanced Persistent Threath).
Pero veamos en qué consiste esto cadena de matanza cibernética. Es un proceso que consta de siete etapas:
La primera etapa se llama Reconocimiento (patrulla) y, como su nombre lo indica claramente, consiste en realizar búsquedas para identificar y seleccionar al target, búsquedas en internet de información relacionada con el target, las tecnologías que utiliza, direcciones de correo electrónico y personal así como relaciones sociales. Esta fase es fundamental para la definición del objetivo inicial útil para llegar al final quizás con un movimiento lateral, por ejemplo el empleado de abajo a la derecha será golpeado para llegar finalmente al CEO de la empresa.
La segunda fase se llama Armamento (armamento) y consiste en crear o identificar un malware que se pueda utilizar para el ataque, generalmente una combinación de software de acceso remoto (troyano) y un explotar (software que aprovecha una vulnerabilidad del sistema). A menudo, para acceder a un sistema, el Zero Day de las que todavía no hay defensa, ya que son vulnerabilidades completamente nuevas que aún no han sido "parcheadas" precisamente porque acaban de ser descubiertas.
La tercera etapa se llama Entrega (entrega) y consiste en la transmisión del arma cibernética (arma) al objetivo. Por lo general, los correos electrónicos con enlaces a sitios falsos o documentos adjuntos que contienen malware se utilizan para distribuir a la víctima. Pero también son posibles memorias USB, infrarrojos, bluetooth, medios ópticos, teclados o ratones con un malware "anidado" en el firmware u otros métodos.
La cuarta etapa se conoce como Explotación (explotación) y generalmente consiste en la explotación de una o más vulnerabilidades mediante software malicioso introducido en el sistema atacado. Cabe destacar que las técnicas más avanzadas de ofuscación (a menudo incluso nuevas técnicas) para hacer estas acciones totalmente invisibles a nuestros "radares" ya sean firewalls, IDS, IPS, filtros de correo, antivirus y SIEM.
La quinta etapa se llama Instalación (instalación) y consiste en instalar dentro del sistema de destino para permitir que el atacante permanezca dentro del sistema a voluntad, la llamada persistencia. Troyanos de malware (RAT Troyano de acceso remoto), los puertos se abren en la red o se crean puerta trasera. En esta fase, el sistema se modifica silenciosamente pero en gran medida, se pueden modificar las claves de registro, los archivos del sistema e incluso las particiones de arranque). Esta es una de las razones por las que el resultado de restaurar "sistemas comprometidos" nunca es un hecho.
La sexta fase se llama Comando y control (C2 o C&C, Mando y Control) y consiste en establecer una sólida cadena de mando y control que permite al atacante dar órdenes y recibir retroalimentación. Esta fase es particularmente importante en una APT.
La séptima etapa se llama Acciones sobre objetivos (acciones sobre los objetivos) y consiste en el ataque real al sistema objetivo. Por lo general, esto implica la extracción de datos, lo que de manera más general significa explorar el sistema, recopilar datos, cifrarlos y filtrarlos. En otros casos se trata de hacer que los datos no estén disponibles, generalmente cifrándolos para luego pedir un rescate (el famoso ramsomware). En otros casos se trata de modificar los datos (¿qué pasaría si el tamaño de la pieza de repuesto de un avión fuera alterado en algunas fracciones de milímetro?). El atacante también puede tener interés solo en recopilar datos para atacar otro sistema más rentable.
Cada fase, a su vez, puede dividirse en varios pasos más o menos numerosos.
Por supuesto, el modelo desarrollado por Lockheed Martin con fines defensivos puede y también se usa con fines ofensivos, especialmente en relación con las primeras etapas de reconocimiento y armamento.
Por supuesto, hay muchas variaciones del cadena de matanza cibernética, desarrollado por diferentes empresas, pero el objetivo es siempre el mismo, que es ayudar a entender el modus operandi del atacante para entender cómo derrotarlo o, más en general, cómo moderar los riesgos.
Para saber más:
- LM-White Paper-Intel-Driven-Defense.pdf (lockheedmartin.com)
