yrios
Cómo los ciberdelincuentes utilizan la Cyber Kill Chain para infiltrarse en su sistema
En el ámbito de la seguridad de la información, se utiliza comúnmente un marco conocido como cyber kill chain. Este marco está inspirado en la estructura de un ataque militar, denominada kill chain. La kill chain identifica las etapas del proceso de ataque, permitiendo ajustar la respuesta táctica en consecuencia. Lockheed Martin, una empresa de defensa, aplicó este concepto militar al campo de la ciberseguridad.
La fase inicial de la cadena de eliminación cibernética es el reconocimiento. Durante esta etapa, el atacante selecciona su objetivo y examina los posibles puntos de vulnerabilidad para el ataque. Este proceso puede involucrar la identificación de debilidades que puedan ser explotadas. La fase de reconocimiento puede recopilar una gran cantidad de información sobre el objetivo, la cual será valiosa para las etapas posteriores del ataque.
Después de seleccionar un objetivo, el atacante debe determinar la forma de atacarlo, lo cual se conoce como armamentización. Durante esta fase, el atacante puede crear malware personalizado y específico para el objetivo o simplemente utilizar una pieza de malware comercial disponible en el mercado. Sin embargo, esta última opción puede ser detectada por los sistemas antivirus del entorno de la víctima. En tal caso, el atacante puede optar por enviar más software malicioso a más personas, aunque esto conlleva el riesgo de ser descubierto.
La fase de entrega implica la introducción del arma (malware o enlace a un sitio web no autorizado) en el entorno de la víctima. Esta fase puede implicar un ataque basado en la red, aprovechando una vulnerabilidad remota en un servicio. También puede involucrar el envío de un archivo adjunto por correo electrónico o la inclusión de software malicioso en un servidor web, esperando que la víctima lo visite y se infecte al acceder al sitio web. Una vez que el arma ha sido entregada con éxito, comienza la fase de explotación, en la cual el software malicioso infecta el sistema de la víctima.
La fase de explotación da lugar a la instalación del software adicional por parte del atacante, con el objetivo de mantener el acceso al sistema comprometido y, posiblemente, otorgar acceso remoto al mismo. Una vez completada la instalación, el atacante pasa a la fase de comando y control, a menudo abreviada como C2. Durante esta etapa, el atacante obtiene acceso remoto al sistema infectado y puede instalar software adicional o enviar directivas al sistema comprometido. El objetivo del atacante puede ser obtener información del sistema infectado o hacer que el sistema realice acciones específicas, como participar en un ataque de denegación de servicio a gran escala.
Las acciones realizadas por el atacante durante la fase de comando y control se conocen como acciones sobre objetivos. Los objetivos de cada atacante pueden variar según sus motivaciones individuales. Los atacantes con fines delictivos pueden estar interesados en monetizar los sistemas infectados, ya sea robando información valiosa o vendiendo el acceso a otros grupos. Los llamados actores de estado-nación pueden estar interesados en obtener acceso a la propiedad intelectual o información confidencial. Cada organización tiene objetivos específicos que buscan alcanzar, y continuarán hasta lograrlos. Debido a esto, la fase de comando y control es una etapa muy activa de la cadena de muerte.
Que en resumen el Cyber Kill Chain se compone de 7 fases y son las siguientes:
1. Reconocimiento
En esta fase, el atacante identifica su objetivo y posibles puntos de ataque, recolectando información útil que le será útil en las siguientes etapas del ataque.
2. Armamentización
El atacante crea o adapta un arma, como un malware personalizado, que sea específico para el objetivo y difícil de detectar por los sistemas de defensa de la víctima.
3. Entrega
En esta fase, el atacante introduce el arma en el entorno de la víctima, por ejemplo, mediante un ataque basado en la red o enviando un correo electrónico con un archivo adjunto infectado.
4. Explotación
El arma infecta el sistema de la víctima y se instala en él, proporcionando acceso al atacante y otorgándole el control sobre el sistema comprometido.
5. Instalación
El atacante instala software adicional para mantener el acceso y posiblemente otorgar acceso remoto al sistema infectado.
6. Comando y control
Esta fase brinda al atacante acceso remoto al sistema infectado y puede implicar la instalación de más software o enviar directivas al sistema comprometido.
7. Acciones sobre objetivos
En la última fase, el atacante persigue sus objetivos, que pueden incluir robo de información, destrucción de datos, manipulación de sistemas o cualquier otro objetivo específico que haya establecido.
