Cyber Kill Chain. Diseccionar las 7 fases de un ciberataque dirigido
Tabla de contenidos
El pasado 5 de marzo, un ataque de ransomware logró secuestrar los datos de los pacientes del Hospital Clínic de Barcelona, uno de los centros médicos más importantes de España. Ello provocó la cancelación de miles de análisis y consultas, la desprogramación de cientos de cirugías y la derivación de muchos pacientes al resto de hospitales de la ciudad. Este ciberataque dirigido, obra del grupo Ransom House, trasladó al Clínic a la era analógica durante días. A cambio de devolver los datos, los delincuentes exigieron 4,25 millones de euros a la Generalitat. ¿Cómo pudo tener éxito el ataque? Para saberlo deberíamos conocer con precisión todas las fases de su Cyber Kill Chain.
El concepto Cyber Kill Chain hace referencia al ciclo de vida de un ciberataque. Es decir, el conjunto de fases, técnicas, procedimientos y operaciones que se despliegan para que los delincuentes puedan llevar a cabo sus propósitos. En el caso del Hospital Clínic, el objetivo era sustraer y encriptar los historiales de los pacientes para extorsionar al ejecutivo catalán.
Este incidente de seguridad, que ha tenido un impacto directo en la salud de miles de personas, evidencia la dificultad de prevenir, detectar y mitigar un ataque dirigido, así como la necesidad de contar con profesionales de ciberinteligencia y Threat Hunting para desentrañar la Cyber Kill Chain de un ciberataque y poder hacerle frente con éxito.
A continuación, vamos a analizar qué es la Cyber Kill Chain, cuáles son las siete fases que la conforman y cuál es su utilidad a la hora de entender cómo operan los delincuentes y poder armarse frente a los ataques. Y lo vamos a hacer sin citar a Sun Tzu ni una sola vez. Lo prometemos.
1. El origen de la Cyber Kill Chain: De lo militar a lo virtual
La Cyber Kill Chain es un framework desarrollado por la compañía de defensa Lockheed Martin. Esta multinacional, con más de 100 años de vida, es uno de los principales contratistas del ejército de Estados Unidos y, con el paso de los años, ha adaptado su modelo de negocio para atender a una de las mayores amenazas a las que tienen que hacer frente los estados, las empresas y los ciudadanos: los ciberataques.
Como parte de este proceso, Lockheed Martin ha diseñado la Cyber Kill Chain, un marco de trabajo que se emplea a nivel global en la investigación y prevención de los ataques dirigidos contra compañías y países. Este framework transpone al ámbito de la ciberseguridad los conocimientos y procedimientos de la inteligencia militar clásica.
Prometimos que no íbamos a citar a Sun Tzu, pero resulta evidente que la forma de operar de los humanos durante una guerra no ha cambiado con el paso de los siglos. Lo que se ha transformado son las herramientas y el terreno de combate, pero no la lógica detrás de las estrategias que ponen en marcha tanto los agresores como los actores que buscan defenderse con éxito.
Habida cuenta de lo que venimos de señalar, la Cyber Kill Chain funciona como una forma de sistematizar las acciones que llevan a cabo los ciberdelincuentes cuando ponen en marcha un ataque dirigido. Esta sistematización ayuda a los profesionales de ciberseguridad a entender, prevenir, detectar y combatir e interrumpir un ciberataque.
El framework es tan sencillo y sintético que se puede adaptar a cualquier tipo de ciberataque, sin importar las tácticas y técnicas empleadas en el mismo. Lo que ha facilitado que se haya convertido en una suerte de estándar de facto, empleado por los servicios de Red Team, Ciberinteligencia o Threat Hunting entre otros.
2. Combatir las amenazas persistentes avanzadas (APT)
La Cyber Kill Chain es de gran utilidad para abordar una investigación sobre los ataques dirigidos, ya que ayuda a los profesionales de ciberseguridad a sistematizar las fases de estos ciberataques sofisticados y categorizar las técnicas y tácticas empleadas en casa fase de una amenaza persistente avanzada (APT).
El concepto de APT es bastante gráfico, puesto que visibiliza las tres claves de las APT y de los grupos criminales que las ponen en marcha:
- Amenazas. Estos ciberataques ponen en jaque a las organizaciones contra las que se dirigen. Si se carece de una estrategia de seguridad eficiente y los procedimientos de detección y respuesta son ineficaces las consecuencias de un ataque APT pueden ser devastadoras.
- Persistentes. Una de las claves de las APT reside en que resulta difícil identificarlas. De tal manera que, si la organización contra la que va dirigido el ataque no cuenta con los mecanismos de detección idóneos, la amenaza puede persistir durante un largo periodo de tiempo, causando daños extraordinariamente graves en la compañía o institución.
- Avanzadas. La revolución tecnológica que vivimos tiene numerosas ventajas, pero también conlleva riesgos. Las innovaciones son empleadas por los delincuentes para diseñar e implementar ataques cada vez más sofisticados y complejos, que combinan múltiples técnicas, tácticas y procedimientos para vulnerar las defensas de una compañía o institución concreta. Lo que dificulta la ardua tarea de prevenirlos, detectarlos y mitigarlos.
2.1. Grupos de cibercriminales con recursos y altamente cualificados
Habida cuenta de su complejidad, las amenazas persistentes avanzadas son diseñadas y ejecutadas por grupos APT con recursos económicos y bastos conocimientos para ideas sus propios procedimientos y técnicas.
Asimismo, algunos grupos criminales no tienen por target a cualquier empresa, sino que sus ataques están dirigidos contra administraciones públicas y grandes compañías, de cara a realizar ciberespionaje de alto nivel o ejecutar actuaciones fraudulentas, o en otras ocasiones a la extorsión (recordemos el ataque al Clínic), que les reportan grandes beneficios económicos.
3. Los 7 pasos de la Cyber Kill Chain
Así como el software o el hardware tienen un ciclo de vida, los ataques dirigidos también lo tienen. La Cyber Kill Chain sirve para entender dicho ciclo de vida y desentrañar qué acciones se llevan a cabo en cada una de las fases por las que pasa un ciberataque hasta lograr sus objetivos.
La Cyber Kill Chain funciona como una hoja de ruta para que los profesionales de ciberinteligencia y Threat Hunting puedan investigar cómo actúan los delincuentes y, además, sea posible adaptar la estrategia de seguridad de una compañía o administración pública para detectar, prevenir y responder a las amenazas persistentes avanzadas.
¿Cómo operan los grupos criminales mejor entrenados y con más recursos? Comienzan por el reconocimiento de su víctima y terminan llevando a cabo sus acciones maliciosas.
3.1. Reconocimiento
La primera fase de la Cyber Kill Chain se centra en iniciar la preparación del ataque dirigido. Para ello, los delincuentes llevan a cabo una profusa investigación sobre la empresa o institución a la que desean atacar. El objetivo de esta fase consiste en establecer los targets que se pueden vulnerar para conseguir introducirse en la organización.
De ahí que, durante el reconocimiento, los criminales realicen estas acciones:
- Recopilen direcciones de emails de los profesionales que trabajan en la compañía o administración pública. Puesto que el correo electrónico es una herramienta de trabajo básica y uno de los principales vectores de ataque.
- Rastreen los perfiles de los profesionales en las redes sociales, con la vista puesta en emplear alguna técnica de Ingeniería Social.
- Recolecten información sobre la compañía o institución que pueda ser de utilidad en las siguientes fases de la Cyber Kill Chain, como las adjudicaciones de contratos públicos.
- Descubran servidores accesibles desde internet que puedan ser atacados.
Durante la fase de reconocimiento, los delincuentes se aprovechan de la falta de concienciación en materia de ciberseguridad que adolecen muchos profesionales y empresas.
La concienciación y la formación son esenciales para prevenir los ciberataques y para dificultar su puesta en marcha.
3.2. Armamento o preparación
Esta fase hace honor al origen militar de la Cyber Kill Chain y gira en torno a una cuestión capital para cualquier ejército: la necesidad de armarse antes de iniciar una guerra.
Si abandonamos el lenguaje bélico, podemos señalar que esta fase gira en torno a la preparación del ciberataque.
Para ello, los delincuentes:
- Definen el vector o vectores de ataque (credenciales inseguras, Ingeniería Social, explotación de vulnerabilidades…), en función de la información recopilada y analizada y de las vulnerabilidades detectadas.
- Obtienen o diseñan el malware que van a emplear.
- Desarrollan implantes y backdoors y preparan la infraestructura de comando y control que se usará en el ataque dirigido para mantener persistencia sobre la víctima.
En esta fase, los criminales definen y preparan sus armas, es decir, las técnicas que van a emplear para poner en marcha el ciberataque y lograr sus objetivos: malware personalizado, documentos que al abrirse ejecutan un determinado payload, phishing…
3.3. Distribución o entrega
La preparación del ciberataque ha llegado a su fin y llega el turno de lanzarlo contra la compañía o administración objetivo. Lockheed Martin diferencia dos escenarios de distribución. Por una parte, que la entrega del malware sea controlada por los delincuentes, como sucede cuando se ataca directamente a servidores webs.
Por otra, que la distribución sea iniciada por el propio objetivo. ¿Cómo? Por ejemplo, abriendo un enlace desde el mail o las redes sociales que conduce a una web maliciosa o accediendo a través del correo o de un USB a un archivo infectado.
En este segundo escenario juega un papel crucial la Ingeniería Social y los conocimientos y metodologías de ciberinteligencia del grupo criminal.
Si la distribución del malware tiene éxito, los malos podrán infiltrarse en la estructura de la organización a la que dirigen el ataque y, por lo tanto, proseguir con el siguiente paso de la Cyber Kill Chain.
Al igual que en las fases anteriores, durante la transmisión del ataque, los criminales sacan partido a los problemas de concienciación y formación de los trabajadores. Ya que, si estos son capaces de identificar los riesgos de seguridad, no procederían a descargarse o abrir un archivo potencialmente peligroso o acceder a una web desconocida.
3.4. Explotación
El objetivo de esta fase de la Cyber Kill Chain es obtener un primer acceso a los sistemas de la organización. Para ello, se debe explotar una vulnerabilidad en el software o servicio. O bien, sacar partido de una vulnerabilidad humana, ya sea por desconocimiento o por imprudencia.
Los exploits de zero-day, es decir, la explotación de vulnerabilidades que aún no han sido reveladas públicamente, son especialmente efectivos, puesto que se a menudo se carece de las medidas de seguridad adecuadas para detectarlos y frenarlos.
Como señalamos antes al hablar de la distribución, la explotación puede ser desencadenada directamente por los criminales, como en los ataques a vulnerabilidades del servidor o por las víctimas, como sucede cuando un trabajador se descarga y abre un archivo malicioso que venía en un correo electrónico.
¿Los miembros de la organización se dan cuenta en el momento de que el archivo que han abierto contiene un malware? En muchas ocasiones no, puesto que los grupos APT implementan medidas para ocultar el ataque, incrementando su potencial impacto en la organización.
Sin ir más lejos, en el caso del ataque de ransomware al Hospital Clínic, se cree que los atacantes ya estaban dentro de la organización desde el jueves, tres días antes de que se produjera el encriptado y secuestro del historial de los pacientes. Sin embargo, lograron no ser detectados por los mecanismos de seguridad.
3.5. Instalación
La explotación da paso, inmediatamente, a la instalación. Los delincuentes proceden a instalar backdoors que habiliten persistencias para mantener el acceso obtenido durante el máximo tiempo posible.
Con frecuencia se consigue establecer una comunicación entre el sistema interno y el exterior, con objetivo de permanecer en el Endpoint, sin ser detectado e incrementar el impacto en la organización. Para ello, los delincuentes pueden emplear una ámplia variedad de técnicas.
La clave radica en no llamar la atención para no ser detectado por los mecanismos y protocolos de seguridad de la organización.
Durante esta fase juegan un papel clave tácticas como el escalado de privilegios, para acceder a áreas e informaciones más relevantes y confidenciales o el movimiento lateral.
3.6. Comando y control
El malware y los backdoors instalados permiten a los malos manipular de forma remota a sus víctimas, haciéndose con el control de los sistemas. Esto implica que los delincuentes pueden, de forma remota, lanzar acciones maliciosas para sustraer credenciales, hacerse con información confidencial o instalar otra clase de programas como spyware o ransomware.
Se emplean canales de comunicación bidireccional entre el interior y el exterior, los cuales se a menudo se apoyan tanto en HTTP o DNS para lograr salir al exterior.
La fase de comando y control permite a los atacantes llegar al paso final del ataque: la puesta en marcha de acciones contra la organización.
3.7. Acciones
La última fase de la Cyber Kill Chain es netamente ejecutiva y se centra en lograr los objetivos de la misión:
- Obtener credenciales de usuarios para lanzar futuros ataques
- Escalar privilegios para obtener información top secret
- Secuestrar datos
- Exfiltrar información confidencial
- Destruir los sistemas de la organización
- Corromper datos o alterarlos de manera imperceptible…
Las actuaciones de los malos van encaminadas a dañar a la compañía o administración a la que han dirigido su ataque. Y las consecuencias pueden ser devastadoras, en función de la eficacia de los sistemas de seguridad y de la capacidad de detectar las acciones delictivas en el menor tiempo posible y disponer de las herramientas y el personal adecuado para interrumpirlas y recuperar la normalidad cuanto antes.
4. Ciberinteligencia y Threat Hunting para desentrañar y cortar la Cyber Kill Chain
Al describir las siete fases de la Cyber Kill Chain nos hemos centrado en desgranar las acciones que acometen los criminales para completar el ciclo de vida de un ciberataque. Pero… ¿y los defensores? ¿No pueden hacer nada para cortar la Cyber Kill Chain y evitar que un ataque tenga éxito? Por supuesto que sí. Los profesionales de ciberseguridad pueden actuar a lo largo de todas las fases del ciclo de vida de los ataques y evitar que los malos puedan pasar de una fase a otra hasta llevar a cabo las acciones finales.
En esta lucha por cortar la Cyber Kill Chain juegan un papel fundamental dos áreas centrales en la guerra contra las amenazas persistentes avanzadas: los servicios de ciberinteligencia y los servicios de Threat Hunting.
Los profesionales de ciberinteligencia son claves a la hora de investigar un ciberataque durante sus tres primeras fases: reconocimiento, preparación y distribución. Puesto que, al fin y al cabo, los propios criminales desarrollan acciones de ciberinteligencia durante estos pasos de la Cyber Kill Chain: investigación y recopilación de la información, detección de vectores de ataque y vulnerabilidades, diseño de técnicas de Ingeniería Social para distribuir el malware…
Mientras que los Threat Hunters disponen de los conocimientos y las metodologías más adecuadas para detectar los ataques a nivel Endpoint o a nivel de Identidad. De ahí que jueguen un papel esencial en las cuatro últimas fases de la Cyber Kill Chain: explotación, instalación, comando y control y acciones. Los servicios de Threat Hunting proactivo se centran en rastrear la presencia de ciberamenazas avanzas en las redes y sistemas de una organización:
- Investigando escenarios de compromiso no detectado.
- Analizando la actividad en los endpoints y servidores.
- Detectando amenazas a partir de hipótesis de compromiso y de la consulta de la telemetría.
4.1. Reconocimiento. ¿Qué información buscan los malos?
Resulta extraordinariamente difícil detectar un ciberataque en su fase inicial. Sin embargo, se pueden recopilar registros de visitas a los sitios web de la empresa para detectar comportamientos de navegación que se asocien a las tácticas y procedimientos de reconocimiento de los grupos APT.
Asimismo, cabe señalar que los profesionales de ciberinteligencia pueden llevar a cabo, a su vez, un reconocimiento de los grupos delictivos conocidos por lanzar amenazas persistentes avanzadas. De esta forma, se podría detectar cómo operan en esta fase inicial, qué tipo de información recopilan y en qué targets se focalizan.
Además, cabe destacar que, aunque no se pueda cortar la Cyber Kill Chain en esta fase iniciática, sí se puede analizar a posteriori los datos obtenidos durante el reconocimiento y extraer conclusiones útiles.
4.2. Armamento o preparación. Desnudando los malware usados en las APT
En la guerra, cuando un estado emplea un arma nueva logra sorprender inicialmente a sus oponentes. Sin embargo, cuando estos son capaces de analizar su funcionamiento, entender su forma de fabricación e ideas estrategias para mitigar sus efectos, su potencial devastador disminuye.
Pues bien, en lo que respecta a lucha contra las APT sucede exactamente lo mismo. El análisis de los malware empleados por los malos es esencial para prevenir futuros ataques y optimizar la capacidad de detectar y mitigar estos programas maliciosos.
Los servicios de ciberinteligencia permiten trazar una cronología del malware, para saber cuándo se diseñó y en qué ciberataques se ha empleado, pudiendo llegar a inventariar los malware más comunes que usan los grupos APT.
Todo este caudal de información de inteligencia sirve para adaptar las estrategias y mecanismos de seguridad de una empresa o institución a las técnicas más innovadoras.
Además de los programas usados por los criminales, es importante investigar cuáles son los vectores de ataque y las vulnerabilidades empleados por los grupos APT para lograr sus objetivos. ¿Por qué? Para incrementar su defensa, fortificando los puntos débiles de la organización.
4.3. Distribución o entrega. ¿Cómo se lanzan los ataques?
La fase de lanzamiento de la Cyber Kill Chain nos ofrece información sobre los procedimientos que emplean los criminales para distribuir sus malware: correo electrónico, redes sociales, ataques directos a servicios perimetrales…
Recolectar información sobre las estrategias de distribución empleadas por los grupos APT puede ser de gran utilidad para cortar la Cyber Kill Chain en esta fase o para fortalecer las medidas de seguridad relativas a la misma.
Por ejemplo, si el envío de un archivo infectado a través del correo electrónico es un procedimiento habitual en esta clase de ataques, se puede establecer un sistema de filtrado de emails para detectar documentos peligrosos.
Los delincuentes saben que la inteligencia es clave para tener éxito. ¿Son conscientes las compañías de la importancia de contar con servicios de ciberinteligencia para comprender cómo funcionan las primeras fases de la Cyber Kill Chain de las APT?
4.4. Explotación. Detener exploits de zero-day
Los exploits de vulnerabilidades zero-day requieren un técnicas y conocimientos avanzados para poder detenerlos. De ahí que sea de vital importancia contar con servicios de Threat Hunting proactivo, capaces de detectar estos ataques y frenarlos, mediante la exploración continua de los sistemas de la organización en busca de TTP’s e Indicadores de Amenazas.
Asimismo, también es importante incidir en restringir los privilegios no necesarios e implantar guias de bastionado en el endpoint para dificultar el éxito del ataque.
4.5. Instalación. Auditar los procesos de instalación
Como señalamos al abordar esta fase de la Cyber Kill Chain, los malos instalan implantes para establecer una comunicación con el exterior. La mejor forma de detectar un ataque durante esta fase y, por ende, cortar la Cyber Kill Chain en este paso es detectando ejecuciones maliciosas, tales como la carga de DLLs sospechosas, inyección de procesos o bypass de UAC entre muchas otras técnicas.
En situación de poder recuperar artefactos involucrados en el proceso de instalación se abre la posibilidad a su estudio mediante técnicas de sandboxing e ingeniería inversa, permitiendo de este modo ganar un conocimiento muy valioso sobre el malware en cuestión y optimizar de este modo los procesos de detección y respuesta.
4.6. Comando y control. Bloquear la comunicación con el exterior
La fase de Comando y control es la última de la Cyber Kill Chain antes de que se materialicen las acciones de los atacantes. O lo es que lo mismo, la última oportunidad de detección por parte de los equipos de seguridad de una compañía para romper la cadena.
¿Qué pueden hacer los defensores?
Descubrir la infraestructura y artefactos implantados por los malos, a través de un análisis exhaustivo del malware y telemetría disponible, entre otras fuentes. Controlar las comunicaciones de red, estableciendo, por ejemplo, el uso de proxies para tráfico web, detección de patrones de beaconing o incluso restricción de tráfico basado en listas blancas, entre otras muchas aproximaciones.
La clave reside en poner en marcha un sistema de detección eficaz a la hora de identificar patrones sospechosos en las comunicaciones con el exterior.
Cuanto más sofisticada sea la amenaza y mayores las capacidades de ocultación de los delincuentes, más difícil resultará detectar la presencia de intrusos en la red. Por lo que se requiere de un equipo de Threat Hunters altamente especializados en la detección de amenazas APT.
4.7. Acciones. Detectar y responder de forma inmediata
Si por desgracia se llega a la fase final de la Cyber Kill Chain, lo fundamental es detectar cuanto antes las acciones que están llevando a cabo los actores maliciosos y disponer de mecanismos para responder al ataque y ponerle fin.
Los controles de seguridad deben ser capaces de detectar la exfiltración de datos, el movimiento lateral de los atacantes y el uso ilegítimo de credenciales en el menor tiempo posible. En la gestión de un incidente de seguridad el tiempo es oro.
Toda estrategia de seguridad integral debe contar con un procedimiento de respuesta a incidentes, en el que se establezca con precisión el rol que debe jugar cada actor de la organización y en el que se tenga en cuenta cómo se ha de gestionar el incidente desde los puntos de vista comunicativo y legal.
Finalmente, es fundamental llevar a cabo una evaluación de los daños completa y precisa, llevada a cabo por profesionales de ciberseguridad con experiencia en esta labor.
5. Si no puedes con el enemigo… comienza por entenderlo
¿Para qué recurrir a Sun Tzu si tenemos a nuestra disposición el refranero popular? Comúnmente se argumenta que, si uno no puede con el enemigo, lo mejor que puede hacer es unirse a él. En el caso de los ciberataques esta opción no es posible por motivos obvios. Sin embargo, sí que podemos darle la vuelta al dicho y afirmar que para poder vencer al enemigo que nos ataca, hay que comenzar por entender cómo opera, cuáles son las tácticas, técnicas y procedimientos que emplea a la hora de diseñar e implementar un ciberataque.
Aunque no se logre romper la Cyber Kill Chain antes de que los malos consigan cumplir sus objetivos, se puede recopilar, sistematizar y analizar una gran cantidad de información de gran valor para investigar cómo operan los grupos de cibercriminales más avanzados.
A raíz del estudio de la Cyber Kill Chain de los ciberataques se pueden identificar patrones comunes a muchos de ellos y mejorar la capacidad de prevención y detección no solo de determinados grupos, sino de diferentes actores que emplean metodologías y técnicas similares.
En definitiva, la Cyber Kill Chain pone en valor la importancia de mejorar la resiliencia de las organizaciones frente a las amenazas persistentes avanzadas y los ataques dirigidos. Puesto que, de lo contrario, se exponen a sufrir daños que afecten a la continuidad de negocio y traigan consigo pérdidas económicas, menoscabo de la reputación empresarial y consecuencias legales de envergadura.