Cos'è la Cyber Kill Chain
Descrivere un attacco informatico attraverso la cyber kill chain
Cos'è la Cyber Kill Chain
Come definire un attacco informatico
I primi attacchi informatici risalgono agli albori di internet (i primi worm, nati a scopo accademico, addirittura prima di internet) e con l'aumentare dei dispositivi collegati alla rete, è aumentato anche il numero di attacchi perpetrati. Assume quindi sempre più rilevanza il conoscere, saper prevenire ed il saper spiegare come avviene un attacco informatico. La cyber kill chain è la catena di controllo del sistema che permette di capire se si è sotto attacco e di che tipo di attacco. Si divide in fasi: - Reconnaissance - Weaponization - Delivery - Exploitation - Installation - Command and Control - Actions on Objectives
Vediamo più nel dettaglio le varie fasi della cyber kill chain.
Reconnaissance
Obiettivo: selezionare ed ottenere informazioni sull’individuo vittima (cliente dell’azienda oppure dell’IT...) Essa si compone di due fasi; una passiva ed una attiva. - Fase passiva: ottenere informazioni senza interagire con la vittima (whois, shodan, google, social media...) - Fase attiva: ottenere informazioni attraverso l’interazione con la vittima (nmap, port scanning, vulnerability scanners).
Weaponization
Obiettivo: trovare o creare l’attacco per sfruttare la vulnerabilità attraverso l’utilizzo di: - Metasploit - Exploit DB - Veil Framework - Social Engineering Toolkit - Cain and Abel - Aircrack - SQL Map - Malware ad hoc
Delivery
Obiettivo: scegliere come inviare l’attacco - Web site: compromettendo siti web molto utilizzati in modo che la visita inneschi il download del file malevolo - Social Media: utilizzando profili fake per attacchi di ingegneria sociale - User Input: avendo accesso a tastiere ecc... della vittima - Email: inviando il file malevolo per email - USB: lasciando pendrive incustodite
Exploitation
Obiettivo: sfruttare una vulnerabilità già nota come ad esempio: - SQL Injection - Buffer overflow su software già presente nella macchina - Malware - Javascript hijacking cioè redirect attraverso js - User exploitation
Installation
Obiettivo: mantenere l’accesso nel sistema vittima attraverso l’utilizzo delle seguenti tecniche: - DLL Hijacking cioè cambiare la libreria legittima di un programma con quella malevola che avvia il malware all’avvio del programma legittimo - Meterpreter - Remote Access Trojan - Registry Changes cioè la modifica dello scheduling d’avvio in modo da avviare il malware in automatico all’accensione della macchina. - PowerShell commands
Command and Control (C2)
Obiettivo: stabilire un canale di comunicazione tra attaccante e macchina vittima in modo da manipolare la stessa da remoto ad esempio aprendo canali di comunicazione a due vie attraverso HTTP/HTTPS o cloud, agendo su DNS e protocolli email e collegandosi direttamente a server di controllo in possesso degli attaccanti oppure ad altre macchine vittima utilizzate per questo scopo.
Actions on Objectives
Obiettivo: azioni intraprese per conseguire l’obiettivo dell’attacco tra cui: - Ottenere i dati dell’utente - Ottenere maggiori privilegi - Ricognizione interna - Muoversi all’interno del sistema - Rubare dati - Distruggere il sistema - Sovrascrivere o corrompere dati - Modificare dati di nascosto
Nel prossimo articolo andrò a presentare un esempio di attacco dettagliato per punti attraverso la cyber kill chain.
Author: Fantantonio
Date: 17/04/2022
Categories: security
Tags: cyber kill chain