- Identificación del objetivo.
- Despliegue de fuerzas hacia el objetivo.
- Decisión y orden de atacar.
- Destrucción del objetivo.
Este concepto ha sido adoptado de forma interesante por algunos expertos en ciberguerra con términos como "cyber kill chain" o "intrusion kill chain".
La adopción de este término se debe a que el proceso de "kill chain" encaja bastante bien con el proceso tradicional de "hacking" por sus similitudes (sobre todo con el concepto APT) y porque permite planificar las acciones tácticas de forma ordenada.
El desarrollo de eventos típicos de una "intrusion kill chain" es:
- Reconocimiento: Recogida de información previa (direcciones IP, emails, nombres, URLs).
- Preparación de las armas: Adquisición y adaptación de las herramientas de hacking necesarias (exploits, payloads, troyanos).
- Entrega: Envío del exploit (red local, Internet, email, disco USB).
- Explotación: Aprovechamiento de una vulnerabilidad o descuido para ejecutar código en el objetivo.
- Instalación: Instalación de malware, puertas traseras y herramientas en el objetivo.
- Comando y Control: Comunicación remota con el malware y las puertas traseras instaladas.
- Acciones en el objetivo: Cumplimiento de las metas de la misión.
En el entorno cyber-ofensivo también es importante minimizar los tiempos entre fases, para reducir la probabilidad de que las vulnerabilidades sean corregidas, para evitar que las puertas traseras sean detectadas y para dificultar que puedan llevarse a cabo acciones defensivas.
Este proceso ofensivo-defensivo está bastante bien desarrollado en un documento de LockheedMartin de lectura muy recomendable: Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains [PDF].
Fuente: Areopago21
No hay comentarios.:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!