La metodologia "Cyber Kill Chain" è un framework sviluppato da Lockheed Martin per descrivere le fasi di un attacco informatico, dalla ricognizione iniziale fino all’esfiltrazione dei dati.

In pratica, l’autore ha applicato la struttura di una kill chain militare (F2T2EA) alla sicurezza informatica.

Questo approccio aiuta le organizzazioni a comprendere e rilevare attività malevole nelle varie fasi, per migliorare le misure difensive. Ecco le sette fasi della Cyber Kill Chain:

1. Ricognizione:
   • L’attaccante raccoglie informazioni sull’organizzazione target. Può identificare vulnerabilità potenziali, analizzare i ruoli del personale e studiare la struttura della rete (footprinting).
   • Profilazione social, analisi del sito web, riconoscimento DNS, identificazione di bersagli per phishing, raccolta di intelligence open source
2. Armamento:
   • L’attaccante crea un payload malevolo (es. malware, exploit), combinando codice dannoso con un file o software legittimo. In questa fase sviluppa o ottiene gli strumenti necessari all’attacco.
   • Sviluppo di malware, inserimento di malware in documenti, preparazione di exploit kit, configurazione di server C2, pacchetti con dropper, creazione di meccanismi di consegna (email di phishing, download invisibili, link dannosi...)
3. Consegna:
   • L’attaccante invia il payload armato alla vittima.
   • Invio di email di phishing, link o allegati dannosi, siti compromessi, distribuzione di chiavette USB o supporti fisici (anche gratuitamente)
4. Sfruttamento:
   • Una volta che il payload raggiunge la vittima, sfrutta una vulnerabilità per eseguire il codice malevolo.
   • Sfruttamento di vulnerabilità software, ingegneria sociale, esecuzione di codice (scaricato o installato tramite USB), o exploit zero-day
5. Installazione:
   • Il payload installa una backdoor o un meccanismo persistente sul sistema della vittima, permettendo all’attaccante di mantenere l’accesso.
   • Installazione di backdoor, trojan ad accesso remoto (RAT), task pianificati o servizi, creazione di nuovi account utente, ecc.
6. Comando e Controllo (C2):
   • L’attaccante stabilisce un canale di comunicazione con il sistema compromesso. Questo gli permette di inviare comandi, esfiltrare dati o scaricare strumenti aggiuntivi.
7. Azioni sugli Obiettivi:
   • L’attaccante raggiunge i suoi obiettivi, come il furto di dati, la compromissione dei sistemi, il guadagno economico o lo spionaggio. Questa fase comprende l’esecuzione del vero intento, come l’esfiltrazione dei dati o la distruzione.

Comprendendo queste fasi, le organizzazioni possono sviluppare strategie più efficaci di rilevamento, prevenzione e risposta, interrompendo il progresso dell’attacco in più punti lungo la kill chain.