Cyber Kill Chain

di
📋 Obiettivi di apprendimento
Spiegare cos’è la Cyber Kill Chain, chi l’ha sviluppata e qual è il suo scopo nella difesa informatica
Descrivere le sette fasi del modello indicando per ciascuna obiettivo dell’attaccante, tecniche usate e tracce rilevabili
Associare contromisure difensive specifiche a ciascuna fase della catena
Analizzare un attacco reale mappandone le fasi sul modello e individuando il punto di interruzione più efficace
📄
Slides
Cyber Kill Chain — slide complete con schema delle fasi

Cos’è la Cyber Kill Chain

La Cyber Kill Chain è un modello concettuale sviluppato da Lockheed Martin nel 2011, originariamente per il settore della difesa militare e poi adottato universalmente in ambito cybersecurity. Descrive le sette fasi sequenziali attraverso cui si sviluppa un attacco informatico mirato, dall’inizio alla fine.

Il nome deriva dal concetto militare di kill chain: la catena di azioni necessarie per identificare, decidere e colpire un bersaglio. Applicata all’informatica, l’idea fondamentale è che un attacco non avviene in un unico momento, ma attraverso una progressione logica e ordinata di passi.

📌 Il principio fondamentale

Ogni fase lascia tracce rilevabili. Se il difensore individua l’attacco in una fase precoce e interrompe la catena, l’attaccante non può raggiungere il suo obiettivo. Prima viene interrotto, minori saranno i danni. Questo cambia radicalmente l’approccio alla difesa: da reattiva a proattiva.

Le sette fasi — panoramica visuale

🔍
01
Ricogni-
zione
⚙️
02
Arma-
mento
📦
03
Distribu-
zione
💥
04
Sfrutta-
mento
🔧
05
Instal-
lazione
📡
06
C2
🎯
07
Azioni
obiettivo
◀ Zone difensive preventive
Zone di risposta reattiva ▶

Fase 1 — Ricognizione (Reconnaissance)

🔍 Obiettivo: mappare il bersaglio prima dell’attacco

L’attaccante raccoglie informazioni sul bersaglio per identificarne i punti deboli. Si distinguono ricognizione passiva (OSINT, senza contatto diretto — non rilevabile) e attiva (port scanning, banner grabbing — potenzialmente rilevabile).

Tecniche passive
  • OSINT: Google, LinkedIn, Shodan, Whois
  • Analisi sito web e offerte di lavoro
  • Social network dei dipendenti
Tecniche attive
  • Port scanning (nmap)
  • Vulnerability scanning
  • Banner grabbing sui servizi
🛡️ Difesa
Firewall, IDS/IPS, minimizzare informazioni pubbliche, disabilitare banner di versione
🔎 IoC rilevabile
Scansioni di porte, query DNS anomale, accessi ripetuti da IP sospetti

Fase 2 — Armamento (Weaponization)

⚙️ Obiettivo: costruire l’arma su misura per il bersaglio

L’attaccante combina un exploit (vulnerabilità specifica trovata nella fase 1) con un malware (payload) personalizzato per eludere i sistemi di sicurezza del target. Esempi: documento Word con macro malevola, PDF con shellcode, installer contraffatto con trojan.

🛡️ Difesa
Patch management sistematico (riduce gli exploit disponibili), threat intelligence, sandbox per analisi file sospetti

Fase 3 — Distribuzione (Delivery)

📦 Obiettivo: recapitare il payload alla vittima

Il payload viene consegnato al bersaglio. L’utente è spesso l’anello più debole: un click su un link, l’apertura di un allegato, l’inserimento di una USB trovata nel parcheggio sono sufficienti.

📧
Spear phishing
🌐
Watering hole
🔌
USB drop
📦
Supply chain
📱
Messaggistica
🕳️
Drive-by download
🛡️ Difesa
Filtri email anti-phishing, sandboxing allegati, web proxy con URL filtering, formazione utenti, policy USB

Fase 4 — Sfruttamento (Exploitation)

💥 Obiettivo: eseguire codice malevolo sul sistema vittima

Il codice viene eseguito sfruttando una vulnerabilità: software non aggiornato, zero-day, configurazione errata, credenziali deboli o errore umano. Il risultato è l’esecuzione di codice arbitrario sul sistema della vittima.

🛡️ Difesa
Patch management sistematico, EDR con analisi comportamentale, vulnerability assessment periodico, least privilege, hardening OS

Fase 5 — Installazione (Installation)

🔧 Obiettivo: garantirsi un accesso stabile e persistente

Il malware viene installato in modo persistente per sopravvivere a riavvii e aggiornamenti. Tecniche tipiche: backdoor, rootkit, chiavi di autorun nel registro Windows, servizi nascosti, disabilitazione degli antivirus.

🛡️ Difesa
Antivirus + EDR comportamentale, File Integrity Monitoring (FIM), monitoraggio chiavi di registro, controllo dei servizi attivi

Fase 6 — Comando e Controllo (C2)

📡 Obiettivo: prendere il controllo remoto del sistema compromesso

Il sistema infetto stabilisce un canale bidirezionale verso il server C2 dell’attaccante. Attraverso questo canale: invio di comandi, esfiltrazione di dati, aggiornamento del malware, coordinamento di botnet. La comunicazione è spesso mimetizzata: HTTP/HTTPS, DNS tunneling, social media come relay.

🛡️ Difesa
SIEM con regole di correlazione, blocco C2 noti via threat intelligence, monitoraggio DNS anomalo, SSL inspection, analisi comportamentale del traffico

Fase 7 — Azioni sull’obiettivo (Actions on Objectives)

🎯 Obiettivo: realizzare il danno finale — l’attacco è riuscito

È la fase finale. L’impatto reale sull’organizzazione: furto dati, ransomware, sabotaggio sistemi, spionaggio industriale, interruzione servizi. Se la catena è arrivata fin qui senza essere interrotta, il danno è già avvenuto.

🛡️ Difesa
Data Loss Prevention (DLP), backup offline testati regolarmente, segmentazione rete per limitare il lateral movement, piani di incident response già pronti e testati

Tabella riepilogativa — fasi, difese e IoC

Cyber Kill Chain — Contromisure per fase
FaseStrumenti difensiviIoC tipico
1 — RicognizioneFirewall, IDS/IPS, superficie esposta minimaPort scan ripetuti, query DNS anomale
2 — ArmamentoPatch management, threat intelligence feedHash malware noto nel threat feed
3 — DistribuzioneFiltri email, web proxy, formazione utenti, policy USBEmail con allegati .exe/.js, link sospetti
4 — SfruttamentoEDR, vulnerability scanning, hardening OSCrash applicativi, processi anomali
5 — InstallazioneAntivirus, EDR comportamentale, FIM, log registroNuove chiavi autorun, servizi sconosciuti
6 — C2SIEM, threat intelligence, DNS monitoring, SSL inspectionBeacon periodico verso IP/domini sospetti
7 — AzioniDLP, backup offline, segmentazione rete, IR planEsfiltrazione dati, cifratura massiva, log cancellati

Caso studio — WannaCry (2017) mappato sulla Kill Chain

WannaCry ha colpito oltre 200.000 sistemi in 150 paesi in un solo giorno (maggio 2017). Danni stimati: 4–8 miliardi di dollari. Ecco come si mappa sulla Kill Chain:

1 — Ricognizione
Scansione automatica di Internet alla ricerca di porta SMB 445 aperta su sistemi Windows
2 — Armamento
Integrazione dell’exploit EternalBlue (leaked dall’NSA da Shadow Brokers) con il modulo ransomware
3 — Distribuzione
Propagazione autonoma come worm via rete — nessun click richiesto, sfruttava direttamente la vulnerabilità SMB
4 — Sfruttamento
EternalBlue sfruttava CVE-2017-0144 su SMBv1 — la patch MS17-010 era disponibile da 2 mesi, ma milioni di sistemi non l’avevano applicata
5 — Installazione
Installazione del modulo ransomware + backdoor DoublePulsar per mantenere accesso persistente
6 — C2
Connessione a un dominio “kill switch” — un ricercatore (MalwareTech) registrò il dominio per soli 10$ bloccando la propagazione globale
7 — Azioni
Cifratura di tutti i file con RSA-2048, riscatto in Bitcoin. NHS britannico paralizzato, Telefónica, FedEx colpiti.
🔑 Punto di rottura più efficace — Fase 4
La patch MS17-010 era disponibile da febbraio 2017. L’attacco iniziò a maggio. Applicarla avrebbe interrotto la catena alla Fase 4 (Sfruttamento), prima di qualsiasi danno. Un aggiornamento da pochi minuti avrebbe risparmiato 8 miliardi di dollari di danni.
📌 Riepilogo — Punti chiave
  • La Cyber Kill Chain descrive 7 fasi sequenziali — un attacco può essere interrotto in qualsiasi fase
  • Le fasi 1-3 sono preventive (prima che il codice tocchi il sistema); le fasi 4-7 sono reattive
  • Ogni fase genera IoC rilevabili — un buon SIEM può intercettarli prima che la catena sia completata
  • La fase più trascurata è spesso la Ricognizione — ma è dove l’attacco si pianifica e si può intervenire prima
  • WannaCry dimostra che la difesa più efficace è spesso la più semplice: applicare le patch di sicurezza in tempo

Lascia un commento