Cyber Kill Chain

Cyber Kill Chain (Lockheed Martin) #

Què és? #

  • model que descriu les etapes d’un atac cibernètic.
  • objectiu: ajudar a entendre com es desenvolupa un atac i en quins punts es pot detectar i aturar l’adversari.

Utilitzat en:

  • Defensa i detecció d’intrusions
  • SOC i equips de seguretat
  • Formació i conscienciació
  • Anàlisi d’atacs i informes forenses

Les 7 fases del Cyber Kill Chain #

  1. Reconnaissance (Reconeixement)

    • L’atacant busca informació sobre l’objectiu: xarxes, dominis, usuaris, vulnerabilitats.
    • Exemple: escanejar ports amb nmap o recollir dades d’un perfil de LinkedIn.

  2. Weaponization (Armat)

    • Es prepara una càrrega maliciosa aprofitant una vulnerabilitat coneguda.
    • Exemple: crear un PDF amb exploit integrat o un malware amb backdoor.

  3. Delivery (Lliurament)

    • La càrrega maliciosa s’envia a la víctima.
    • Exemple: correu de phishing amb adjunt, exploit a través d’una web vulnerable.

  4. Exploitation (Explotació)

    • El codi maliciós s’executa aprofitant la vulnerabilitat.
    • Exemple: macro d’Excel que instal·la malware.

  5. Installation (Instal·lació)

    • Es col·loca el malware al sistema per mantenir accés.
    • Exemple: instal·lació d’un troià o una backdoor persistent.

  6. Command & Control (C2)

    • El malware estableix connexió amb el servidor de l’atacant.
    • Exemple: connexió HTTPS cap a un domini controlat per l’adversari.

  7. Actions on Objectives (Accions sobre els objectius)

    • L’atacant compleix la seva finalitat: robar dades, xifrar fitxers, sabotejar.
    • Exemple: exfiltració de bases de dades o llançament de ransomware.
flowchart LR
    A1[Reconnaissance] --> A2[Weaponization] --> A3[Delivery] --> A4[Exploitation] --> A5[Installation] --> A6[Command & Control] --> A7[Actions on Objectives]

Punts de detecció i defensa #

Cada fase és una oportunitat per detectar l’atac:

Reconnaissance → Monitoritzar escanejos i intents d’accés.

Delivery → Filtrar correus i adjunts sospitosos.

Exploitation → Parches de seguretat i restricció de macros.

C2 → Bloquejar connexions sospitoses a dominis externs.

Actions → Monitoritzar moviments laterals i exfiltració de dades.