Kill Chain
Il documento originale sulla kill chain si basava su lavori precedenti, come le pubblicazioni dello staff congiunto del Dipartimento di difesa degli Stati Uniti degli anni 2000 che descrivevano “una Kill Chain con [le] fasi di ricerca, correzione, tracciamento, targeting, coinvolgimento e valutazione”. Questi termini descrivono le misure adottate dagli operatori militari per individuare, negare, interrompere, degradare, ingannare o distruggere obiettivi avversari. Invece di utilizzare una Kill Chain a scopo offensivo, Hutchins, Cloppert e Amin hanno immaginato come i difensori potrebbero intraprendere azioni simili contro un avversario che prende di mira risorse digitali amichevoli.
Il loro documento conteneva una matrice che spiegava il concetto e mappava le tecnologie e le tattiche difensive rispetto alle fasi di attività avversaria.
Le sezioni seguenti utilizzeranno le definizioni originali delle fasi della Kill Chain e aggiungeranno prove derivate dalla rete (se applicabile) per assistere i difensori.
Ricognizione
Hutchins, Cloppert e Amin hanno descritto la fase di ricognizione come segue:
“Ricerca, identificazione e selezione di obiettivi, spesso rappresentati dalla scansione di siti Internet come atti di conferenze e mailing list per indirizzi e-mail, relazioni sociali o informazioni su tecnologie specifiche.”
Questo concetto di ricognizione viene solitamente ampliato per includere una serie di comportamenti in base ai quali gli avversari raccolgono informazioni su un obiettivo. Se l’avversario conduce una ricognizione basata sulla rete contro proprietà accessibili da Internet, i difensori hanno l’opportunità di raccogliere prove sulla rete.
Queste prove potrebbero assumere la forma di registri di connessione in formato Zeek, richieste DNS (Domain Name System) effettuate ai server DNS del bersaglio e query specifiche del protocollo ai servizi esposti a Internet. Questi includono richieste HTTP a server Web, scambi di protocolli Windows (spesso Server Message Block o SMB) con dispositivi Microsoft e altre interazioni con i sistemi Internet. Anche i protocolli crittografici utilizzati dall’avversario possono fornire indizi e tali informazioni possono essere trovate in JA3 e altri log in formato Zeek.
Armi
La fase di armamento della Kill Chain a volte viene fraintesa dalle squadre di sicurezza. Hutchins, Cloppert e Amin lo descrissero come segue:
“Accoppiando un trojan di accesso remoto con un exploit in un carico utile consegnabile, in genere tramite uno strumento automatizzato (armi). Sempre più spesso, i file di dati delle applicazioni client come Adobe Portable Document Format (PDF) o i documenti di Microsoft Office fungono da prodotto finale utilizzato come arma”.
Si riferisce a un’azione dell’avversario all’interno della propria toolchain per creare codice per sfruttare un obiettivo. Non c’è interazione con il target durante questa fase. Gli autori della kill chain hanno incluso questo passaggio per sottolineare che il processo di armamento spesso lascia segni di utensili, proprio come la canna di un’arma da fuoco lascia segni su un proiettile. Hutchins, Cloppert e Amin sostengono che i difensori cerchino i segni lasciati sul codice dannoso per assistere il processo difensivo.
Per quanto riguarda le prove derivate dalla rete, i difensori possono estrarre file dal traffico (durante la fase di consegna, successiva) e cercare questi toolmark. Tali indicatori includono intestazioni di file specifiche o altri elementi esclusivi del software che ha prodotto il file. Gli autori della kill chain hanno consigliato di raccogliere un corpus di file e di analizzarli per individuare eventuali toolmark. I risultati di questa indagine potrebbero quindi essere applicati ai file che entrano o escono da un’organizzazione. Il punto è che, anche se altre tecnologie potrebbero non identificare inizialmente un file come “dannoso”, se presenta toolmark specifici potrebbe essere il prodotto di un processo dannoso che è riuscito a eludere le difese esistenti.
Consegna
Hutchins, Cloppert e Amin hanno definito la consegna come segue:
“Trasmissione dell’arma nell’ambiente bersaglio. I tre vettori di consegna più diffusi per carichi utili armati da parte di attori APT, come osservato dal Lockheed Martin Computer Incident Response Team (LM-CIRT) per gli anni 2004-2010, sono allegati e-mail, siti Web e supporti rimovibili USB.”
Questo è un passaggio semplice nella kill chain. Per quanto riguarda le prove di rete, i difensori possono esaminare i registri di connessione e i registri specifici del protocollo per rilevare segnali di attività dannose in entrata. La raccolta dei dati completi del contenuto in formato PCAP offre inoltre ai difensori l’opportunità di osservare e archiviare una copia del codice dell’avversario non appena entra nella rete.
Tuttavia, considera come i tre esempi si manifesterebbero o meno nei dati di rete.
“Allegati e-mail” significa che una destinazione riceve un’e-mail con un allegato dannoso. Se i difensori scansionano gli allegati e-mail alla ricerca di segnali di intenti dannosi, potrebbero rilevare l’“arma”. L’ispezione degli URL incorporati è un’altra pratica difensiva comune.
Per “siti web” si intende che la vittima visita un sito web compromesso dall’avversario e, oltre ai contenuti desiderati, riceve anche contenuti dannosi. Questa tecnica è talvolta chiamata “attacco all’abbeveratoio”. L’esempio canonico è quello di un dipendente che visita un sito di notizie sportive al lavoro, e a quel punto il sito di notizie sportive invia un payload dannoso al computer del dipendente. Le prove della rete potrebbero catturare il trasferimento del carico utile.
“Supporto USB rimovibile” significa che una persona inserisce un’unità flash in un sistema sensibile e riceve contenuti dannosi indesiderati. Alcuni malware ospitati su USB attaccano il bersaglio in modo indipendente, mentre altri richiedono l’interazione dell’utente. Generalmente non esistono prove di rete a questo punto della kill chain per attacchi hardware fisici come questo.
Sfruttamento e installazione
Gli autori della kill chain hanno affrontato lo sfruttamento e l’installazione come segue:
“Dopo che l’arma è stata consegnata all’ospite della vittima, lo sfruttamento attiva il codice dell’intruso. Molto spesso, lo sfruttamento prende di mira la vulnerabilità di un’applicazione o del sistema operativo, ma potrebbe anche più semplicemente sfruttare gli utenti stessi o sfruttare una funzionalità del sistema operativo che esegue automaticamente il codice… L’installazione di un trojan di accesso remoto o di una backdoor sul sistema vittima consente all’avversario di mantenere la persistenza all’interno dell’ambiente.”
Comando e controllo
Hutchins, Cloppert e Amin definirono il comando e il controllo come segue:
“In genere, gli host compromessi devono effettuare il beacon in uscita verso un server controller Internet per stabilire un canale C2. Il malware APT richiede in particolare l’interazione manuale anziché condurre l’attività automaticamente. Una volta stabilito il canale C2 [sic], gli intrusi hanno accesso “con le mani sulla tastiera” all’interno dell’ambiente di destinazione”.
Il rilevamento del comando e del controllo è uno dei principali vantaggi di una solida prova di rete. A meno che un intruso non si trovi nella zona del sistema di destinazione, deve stabilire una connessione remota con il sistema di destinazione. Quasi tutte le connessioni remote attraversano Internet, fornendo ai difensori un mezzo per registrare e rilevare questa attività. I log di connessione e specifici del protocollo in formato Zeek sono fondamentali. Dovrebbero essere conservati per tutto il tempo consentito dal budget e dalle politiche dell’organizzazione.
Anche la registrazione e il rilevamento di C2 traggono vantaggio dalla raccolta del traffico in formato PCAP. Parte del traffico C2 non è crittografato, consentendo ai difensori di ottenere informazioni dettagliate sull’attività degli avversari. Anche se crittografati, i difensori potrebbero avere la fortuna di recuperare una chiave di crittografia da un sistema di destinazione compromesso. Se applicati al traffico di rete archiviato, i difensori possono nuovamente scrutare le azioni degli avversari.
Azioni sugli obiettivi
Gli autori della kill chain hanno previsto una fase finale “catch all” per tutte le altre attività dell’avversario oltre C2. Descrivono le azioni sugli obiettivi come segue:
“Solo ora, dopo aver attraversato le prime sei fasi, gli intrusi possono intraprendere azioni per raggiungere i loro obiettivi originali”.
Questa è la fase della kill chain in cui i difensori cercano un’escalation di privilegi, movimenti laterali, ricognizioni aggiuntive, raccolta di dati sensibili ed eventuale esfiltrazione. Se l’avversario si muove all’interno di una rete target, le prove derivate dalla rete forniranno informazioni approfondite su questa fase.
Conclusione
Il documento sulla kill chain e le sue idee furono una pietra miliare nello sviluppo del pensiero difensivo. Altre forme di “kill chain” esistevano già da diversi anni, come le “fasi di compromesso” nel libro The Tao of Network Security Monitoring: Beyond Intrusion Detection (Addison-Wesley, 2004): (1) ricognizione, ( 2) sfruttamento, (3) rafforzamento, (4) consolidamento e (5) saccheggio. L'”anatomia di un hack” di Hacking Exposed, quarta edizione (McGraw-Hill Osborne Media, 2003) era simile: (1) impronta, (2) scansione, (3) enumerazione, (4) accesso, (5) escalation privilegio, (6) furto, (7) copertura di tracce, (8) creazione di backdoor.
Ciò che ha reso unico l’approccio offerto da Hutchins, Cloppert e Amin è stato il suo focus sull’allineamento del proprio programma di sicurezza con le fasi della kill chain. Hanno mostrato esempi di tecnologie per rilevare, negare, interrompere, degradare e/o ingannare l’avversario, a differenza degli sforzi precedenti. Il monitoraggio della sicurezza della rete si adatta bene a questo modello, perché fornisce un modo per rilevare e rispondere agli intrusi prima che portino a termine la loro missione. Pertanto, la catena di eliminazione delle intrusioni offre un modello potente per identificare i dati che i difensori devono raccogliere e analizzare.
Scarica il testo “Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains”
