Cyber Kill Chain

Los ciberataques no son algo que ocurra de manera instantánea,es decir, para que un ataque se produzca han de sucederse distintos pasos. El atacante debe “subir” una escalera hasta llegar al último escalón, donde consigue cumplir su objetivo. Estos pasos o escalones son 7 y se reflejan en la “Cyber Kill Chain”.

El concepto fundamental de la Kill Chain se remonta a la doctrina de la USAF (United States Air Force). Sin entrar en mucho detalle, el precursor de esta es conocido como la F2T2EA y representa el proceso que debe realizar un atacante, paso por paso, en una operación militar regular. Años más tarde, esta idea fue reformulada por Lockheed Martin, una famosa empresa estadounidense dedicada a la fabricación de material militar. Lockheed creó el marco conocido como Cyber Kill Chain, presentando los 7 pasos que un adversario debía completar durante un ciberataque hasta conseguir su objetivo.

Este marco es una herramienta muy útil a la hora de estudiar un ataque e ir hacia atrás, desde el incidente al momento en el que el atacante consiguió entrar en el sistema o incluso cuando se hallaba en la fase de reconocimiento. Con su ayuda, podemos identificar patrones que relacionan intrusiones individuales con campañas más amplias. Los 7 pasos de la Cyber Kill Chain son:

1. Reconocimiento – Reconnaissance: El adversario identifica y selecciona los objetivos.
2. Preparación – Weaponization: El adversario desarrolla el código malicioso y el exploit para poder generar un payload que sea operacional.
3. Distribución – Delivery: El payload se envía al objetivo, es el primer paso de la Cyber Kill Chain donde el defensor puede detectar al adversario y actuar en consecuencia.
4. Explotación – Exploitation: El payload explota una vulnerabilidad existente en el objetivo.
5. Instalación – Installation: El malware se instala en el sistema objetivo.
6. Comando y Control – Command & Control: Se genera un canal de comunicación entre el adversario y el sistema infectado, haciendo que el malware se comunique con el adversario y pueda ejecutar nuevos comandos y exfiltrar datos.
7. Acciones sobre los objetivos – Actions on objectives: Se consigue el objetivo del adversario y finaliza el incidente, con impacto de diversa magnitud.

La Cyber Kill Chain fue creada con el propósito de ser aplicada en ataques llevados a cabo por APTs, actualmente se emplea para diversos tipos de ataques y no siempre es útil, por ejemplo:

• Ataques que no son dirigidos y que por lo tanto no realizan reconocimiento.
• Ataques que emplean credenciales válidas comprometidas, evitando al adversario tener que desplegar un payload.
• Ataques que emplean wipers, ya que estos no tienen contacto con el C2 y pasan directamente al último paso, acciones sobre el objetivo mediante la destrucción de los datos (Data Destruction – T1485).