Kill-Chain | MAyusoEH

top of page

Esta página web se diseñó con la plataforma

. Crea tu página web hoy.Comienza ya

MAYUSO ETHICAL HACKING

CYBER KILL CHAIN

1️⃣ Reconocimiento

2️⃣ Preparación

3️⃣ Distribución

4️⃣ Explotacion

5️⃣ Instalación

6️⃣ Mando y control

7️⃣ Acciones

ENLACES:
🌐 https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html
🌐 https://en.wikipedia.org/wiki/Cyber_kill_chain

kill chain

INTRODUCCIÓN

La Kill Chain en ciberseguridad es un modelo conceptual que describe el proceso de un ciberataque desde su inicio hasta su finalización. Este modelo, inspirado en su homólogo militar, fue originariamente desarrollado en 2011 por Lockheed Martin para la seguridad de sistemas informáticos y ha sido adoptado por la industria de la ciberseguridad en general. La idea principal detrás de la Kill Chain es permitir a los equipos de defensa (Blue Teams) comprender y responder a los ataques cibernéticos de manera más efectiva, minimizando el impacto y acelerando la eliminación de la amenaza. El modelo divide y clasifica el ataque en 7 fases, estableciendo controles y medidas para cada una de ellas con el objetivo de interrumpir el ataque.

☠️ El modelo de la Kill Chain consta de siete fases:

🛡️ Medidas de protección recomendadas:

◻️ Cifrado de los datos (que la información pase por un proceso interno de cifrado-descifrado)
◻️ Impartir formación al personal de la organización en prevención y actuación ante un ciberataque
◻️ Segmentación de la información (no tener todos los huevos en la misma cesta)
◻️ Backups (copias de seguridad)
◻️ Aplicar el principio de Mínimo Privilegio (cada actor tendrá acceso a los datos mínimos imprescindibles)
◻️ Actualización y parcheo constante de programas y sistemas
◻️ Monitorización de sistemas y redes (EDR)
◻️ Detección y bloqueo de actividad sospechosa (antivirus y firewall)
◻️ Establecer un Plan IR (Incident Response)
◻️ Establecer MFA para la autenticación de los actores
◻️ Whitelisting
◻️ Email security
◻️ Condicionales estrictos y rotación de contraseñas
◻️ Auditorías de seguridad periódicas

1

1️⃣ RECONOCIMIENTO (reconnaissance)

Durante esta fase, los ciberdelincuentes recopilan información sobre el objetivo y sus actores, con el objetivo de identificar vulnerabilidades y oportunidades para futuros ataques. Utilizan una variedad de técnicas, herramientas y funciones para explorar la web y recoger datos sobre el objetivo, entre las que se pueden listar:

◻️ Exploración de la web en busca de información relevante sobre el objetivo y sus actores (OSINT)
◻️ El uso de servicios web que amplíen el conocimiento sobre el objetivo y sus actores
(IPs, dominios, subdominios, registros DNS, emails, equipos, nombres de usuario, datos personales,
credenciales...)
◻️ Pruebas de conectividad (ping)
◻️ Rastreo de la red (nmap)
◻️ Escaneo de puertos (zenmap, TCP Port Scanner...)

Los ciberdelincuentes buscarán aprovechar la información recopilada durante esta fase para encontrar vectores de acceso. Para mitigar los riesgos asociados con la fase de reconocimiento, las organizaciones deben implementar medidas de seguridad.

Cabe señalar que tanto el reconocimiento como el resto de las fases siguientes, estarán dirigidas a alcanzar un objetivo concreto, que en todo caso implicará el acceso a datos e información, para su posterior codificación y extracción o destrucción. Con menos frecuencia el objetivo podrá implicar el mero espionaje sin interactuar con los equipos o sistemas.

2

2️⃣ PREPARACIÓN (weaponization)

Durante esta etapa, los atacantes se organizan, y seleccionan y preparan las herramientas y técnicas que utilizarán para explotar las vulnerabilidades identificadas en el objetivo. El objetivo es transformar la información recopilada durante la fase de Reconocimiento de forma que pueda ser utilizada para llevar a cabo el ataque.
Las herramientas y técnicas seleccionadas pueden incluir:

◻️ La elaboración de emails de phising personalizados para ciertos actores del objetivo
◻️ Desarrollo de malware personalizado, programado especialmente para saltar las defensas detectadas
◻️ La creación de scripts de automatización que agilicen y aseguren el ataque. Esto puede incluir bots
◻️ El uso de exploits conocidos
◻️ El uso de exploits zero-day encontrados en la red o sistemas objetivo
◻️ La preparación de payloads con los que introducir el malware
◻️ La preparación de servicios VPN, servidores, proxychains y botnets con los que enmascarar el ataque
◻️ La preparación de acciones simultáneas, distracciones y planes alternativos
◻️ Planificación final del ataque, repartiendo roles y responsabilidades entre los diferentes actores

La fase de Weaponization es crítica porque establece la base para el resto del ataque. Si los atacantes no pueden seleccionar y preparar efectivamente sus herramientas y técnicas, es probable que fracasen en las siguientes fases del ataque. Por otro lado, una preparación cuidadosa y una selección de herramientas adecuada pueden aumentar significativamente las posibilidades de éxito del ataque.

3️⃣ DISTRIBUCIÓN (delivery)

Después de que los ciberdelincuentes hayan seleccionado y preparado su "arma" (malware, exploit, etc.), llega el momento de entregarla al objetivo. Esta fase implica varios métodos y técnicas para asegurar que el malware o la herramienta de ataque llegue al sistema objetivo sin ser detectada o bloqueada por las defensas de seguridad existentes. Durante la fase de entrega, los actores maliciosos utilizan diversas tácticas para infiltrarse en la red o sistema del objetivo. Estas tácticas pueden incluir:

◻️ Phishing:
Envío de correos electrónicos fraudulentos que parecen legítimos con el objetivo de engañar a los actores para que accedan a enlaces maliciosos o descarguen archivos infectados.
◻️ Explotación de Vulnerabilidades:
Los atacantes pueden buscar y explotar vulnerabilidades conocidas en el software o hardware del objetivo para instalar malware directamente en el sistema.
◻️ Hacking:
Acceso no autorizado a redes o sistemas mediante técnicas de hacking para instalar malware o realizar cambios maliciosos.
◻️ Inyección de Malware a través de Servicios Web:
Atacantes pueden inyectar código malicioso en sitios web visitados por el objetivo, aprovechando fallos de seguridad en el servidor web o en la aplicación.

Es importante destacar que la fase de entrega puede variar considerablemente en complejidad y técnica dependiendo del objetivo y la naturaleza del ataque. Algunos atacantes pueden optar por métodos simples y ampliamente utilizados, mientras que otros pueden utilizar tácticas más sofisticadas y personalizadas para evitar la detección y maximizar la eficacia del ataque.

Las organizaciones deben estar alerta a las señales de advertencia de esta fase, como correos electrónicos sospechosos, actualizaciones de software no solicitadas o comportamientos anómalos en la red. Cualquiera de estas señales podría ser la antesala de un ataque mayor y a todas luces ser indicativo de que la organización es objetivo de alguien.

3

4️⃣ EXPLOTACIÓN (exploitation)

En esta fase los atacantes pasan a la acción directa contra el objetivo. El éxito en esta fase les otorga el compromiso de la cuenta, sistema u otra sección de la red objetivo, pero incluso los intentos fallidos de explotación de vulnerabilidades pueden tener efectos colaterales adversos y dañar el entorno.

Llegados a este punto, los atacantes tratan de explotar las vulnerabilidades descubiertas e iniciadas en la fase anterior, para obtener acceso no autorizado a un entorno, ya sea software, hardware o incluso en el medio físico. En el caso del malware introducido, puede ser activado remotamente o desencadenado por factores predeterminados, como fecha y hora, eligiendo el momento más adecuado, normalmente en días festivos o en horario nocturno.

Mientras la acción defensiva necesita estar acertada en todo momento, el atacante solo necesita de un error humano o un agujero en el sistema para tener éxito.

4

5️⃣ INSTALACIÓN (installation)

En la fase de instalación el atacante establece una presencia permanente en el sistema objetivo después de haber explotado una vulnerabilidad descubierta. Esta fase es importante para el atacante ya que les permite mantener su acceso no autorizado y continuar con sus objetivos maliciosos sin ser fácilmente expulsados del sistema.

◻️ Establecimiento de Acceso Permanente:
Una vez que el atacante ha conseguido explotar una vulnerabilidad y ha obtenido el acceso inicial al sistema objetivo, la siguiente prioridad es instalar algún tipo de malware o herramienta que permita mantener este acceso. Esto puede implicar la creación de una puerta trasera (backdoor) en el sistema para facilitar futuras entradas o la instalación de un servidor de control remoto que permita al atacante interactuar con el sistema objetivo desde lejos.

◻️ Persistencia:
La persistencia es un aspecto clave de esta fase. Los atacantes buscan métodos para asegurar que su acceso no sea perdido incluso si el sistema se reinicia o si se realizan cambios en la configuración del sistema. Esto puede incluir la modificación de archivos de registro del sistema, la configuración de tareas programadas o la manipulación de cuentas de usuario para asegurar que el acceso se restablezca automáticamente.

◻️ Evitar la Detección:
Durante la fase de instalación, los atacantes también trabajarán para evitar ser detectados por sistemas de seguridad existentes. Esto puede implicar la ocultación de sus actividades maliciosas, la manipulación de registros de auditoría para borrar rastros de su presencia o la utilización de técnicas de evasión para evitar ser detectados por motores de detección de malware.

◻️ Preparación para la fase siguiente:
La fase de instalación prepara el terreno para las siguientes etapas del ataque, como el movimiento lateral dentro de la red para acceder a recursos más valiosos, la escalada de privilegios para obtener mayor control sobre el sistema y, finalmente, la extracción de datos o la realización de acciones maliciosas directas.

5

6️⃣ MANDO Y CONTROL (command and control, también C2)

La fase Mando y Control (Command and Control, C2) define otro paso crucial. Después de haber obtenido acceso inicial al sistema objetivo, los atacantes utilizan esta fase para establecer y mantener una conexión de comunicación con sus servidores de control remotos. Esto les permite rastrear, monitorear y guiar sus armas cibernéticas y conjuntos de herramientas de forma remota. La fase de Mando y Control puede dividirse en dos métodos principales:

◻️ Ofuscación (deslumbramiento):
La ofuscación es el proceso mediante el cual los atacantes hacen que parezca que no hay ninguna amenaza presente, básicamente cubriendo sus huellas. Esto incluye métodos como la eliminación de archivos, el relleno binario y la firma de código. Estas técnicas ayudan a los atacantes a evitar la detección y a mantener una baja visibilidad en los sistemas de seguridad del objetivo.

◻️ Denegación de Servicio (DoS):
La denegación de servicio implica que los ciberdelincuentes causan problemas en otros sistemas o áreas para distraer a los equipos de seguridad de descubrir los objetivos centrales del ataque. Esto a menudo involucra la denegación de servicio en la red o en los end-points, así como técnicas como el secuestro de recursos y apagados sistemáticos. El objetivo de estas acciones es desviar la atención de los equipos de seguridad mientras los atacantes avanzan en su operación.

6

7️⃣ ACCIONES EN EL OBJETIVO (actions on objective)

Esta es la etapa final en la cual los atacantes llevan a cabo las acciones específicas que buscaban desde el principio del ataque. Las acciones pueden variar ampliamente dependiendo de los objetivos específicos del atacante, pero generalmente incluyen:

◻️ Cifrado de datos:
Los atacantes pueden optar por cifrar los datos del objetivo y exigir un rescate para desbloquearlos. Este tipo de ataque, conocido como ransomware, ha cobrado popularidad debido a su capacidad para paralizar las operaciones de una organización y generar ingresos significativos para los ciberdelincuentes.

◻️Extracción de datos:
Otra acción común es extraer los datos cifrados, y filtrar dichos datos sensibles fuera de la organización para su venta o uso en actividades ilegales. Esto puede incluir información financiera, datos personales, secretos comerciales, entre otros. Previamente, los ciberdelincuentes extorsionarán a la organización exigiendo un pago a cambio de no filtrar la información extraída.

◻️ Ataques de Denegación de Servicio (DoS):
En algunos casos, los atacantes pueden querer hacer caer la red del objetivo, impidiendo que los usuarios accedan a los servicios o que las operaciones continúen con normalidad.

◻️ Instalación de Spyware:
Los atacantes pueden instalar software espía en los sistemas del objetivo para monitorear actividades, recopilar información adicional o mantener el acceso a los sistemas incluso después de que el ataque inicial haya sido neutralizado.

7

bottom of page