Attack Kill Chain

Attack Kill Chain, ovvero la metodologia di attacco spiegata!

Con questo articolo vogliamo iniziare a raccontare come avviene un attacco e poi, soprattutto, come è possibile difendersi.

Mostreremo anche come Microsoft risponde alla kill chain, e quali strumenti mette a disposizione.

Ma iniziamo ad entrare nel merito.

Reconnaissance

Ovvero quando un attaccante inizia a guardarsi intorno per capire come è fatto il sistema che vuole compromettere: ad esempio quali domini, quali tecnologie, quali sistemi di posta. E poi ancora quali sono gli utenti interessanti, quali utenti fanno parte dei gruppi privilegiati, etc. E’ la fase in cui l’attaccante ci studia e cerca i nostri punti deboli; in questa fase, se abbiamo costruito bene le nostre difese, potremmo iniiare a realizzare che qualcosa si sta preparando. Ma del resto questo è talmente frequente che potremmo non darci peso (senza gli strumenti adeguati)

Weaponization

In questa fase l’attaccante ha immaginato di avere individuato una debolezza e quindi inizia a costruire l’arsenale per iniziare l’attacco, ad esempio costruendo un payload per sfruttare una vulnerabilità del nostro sito, od una macro ancora non individuata come malevola dai nostri antivirus, E’ una fase delicata, ma l’attaccante è ancora invisibile per noi.

Delivery

Ta-dah!
Arriva una mail con un documento Word contenente una macro, oppure la richiesta di fare click su una certa URL; o ancora, un dipendente trova una chiavetta USB vicino alla macchinetta del caffè (cosa vi ricorda???). E’ la fase di delivery, lo strumento per compromettere le nostre difese è stato consegnato. Cosa succederà ora?

Installation

Manco a dirlo, senza sistemi di difesa i nostri sistemi vengono compromessi e soprattutto, non ci accorgeremo della compromissione. L’attaccante potrà pertanto iniziare a guardarsi attorno per individuare altri punti deboli.

Command & Control

Ovvero quando l’attaccante ha installato un cavallo di Troia nei nostri sistemi, AKA ha trovato il modo di mantenere un socket aperto o comunque un sistema per mantenere l’accesso. L’attaccante ha costruito una qualche tipo di persistenza, fosse anche un semplice scheduled task su una singola workstation.

Actions

Adesso l’attaccante può iniziare a pensare in grande; ad esempio compromettendo ulteriori workstation (lateral movement) alla ricerca di identità più ghiotte (global o domain admins) con cui andare a curiosare in giro e a compiere misfatti: cifrare dati con richiesta di riscatto, ottenere golden ticket per mantenere la persistenza, carpire dati sensibili dell’azienda e così via.

Naturalmente è possibile mitigare questa kill-chain; Microsoft propone una suite di prodotti appositamente per contenere, prevenire e reagire ai cyber-attacchi. Nei prossimi articoli mostreremo alcuni esempi della Attack Kill Chain e come difendersi, ad esempio come individuare una reconnaissance o come bloccare un attacco pass-the-hash.

Per il momento eccovi un video, per spiegare velocemente quanto sopra: