La Cyber Kill Chain è un framework sviluppato da Lockheed Martin nel 2011 — ispirato al concetto militare di Kill Chain — che modella gli attacchi informatici avanzati come una sequenza ordinata di sette fasi. Il valore del framework è difensivo: interrompere la catena in qualsiasi punto — non necessariamente al perimetro — vanifica l’attacco e impedisce all’attaccante di raggiungere il proprio obiettivo finale.
Le sette fasi
1. Reconnaissance (Ricognizione): raccolta di informazioni sul target prima di qualsiasi azione tecnica. Include OSINT (LinkedIn, siti aziendali, Shodan, WHOIS, Google Dork), identificazione delle tecnologie usate (stack web, VPN, mail server), mappatura dell’organigramma per identificare target di spear phishing, scansione passiva dei range IP pubblici. Obiettivo: capire la superficie di attacco senza generare alert.
2. Weaponization (Armamento): creazione del payload malevolo adatto alle vulnerabilità identificate nella fase di ricognizione. Combinazione di un exploit (che sfrutta una vulnerabilità informatica specifica) con un malware (backdoor, RAT) in un vettore di consegna (documento Office con macro, PDF malevolo, exploit kit).
3. Delivery (Consegna): trasmissione del payload al target tramite il vettore scelto. I vettori più comuni: email di spear phishing con allegato o link, watering hole (sito compromesso frequentato dalla vittima), USB drop (chiavetta lasciata in un parcheggio aziendale), exploit diretto di servizi esposti.
4. Exploitation (Sfruttamento): attivazione dell’exploit sul sistema della vittima. Il codice dell’exploit si esegue sfruttando la vulnerabilità del sistema target (buffer overflow, macro Office, RCE web), ottenendo un primo punto di esecuzione.
5. Installation (Installazione): installazione di una backdoor o di un RAT per garantire l’accesso persistente al sistema, indipendente dal vettore di infezione iniziale. Include la creazione di meccanismi di persistenza (chiavi di registro, servizi di sistema, cron job, task scheduler) che riattivano il malware dopo i riavvii.
6. Command & Control (C2): il malware installato stabilisce un canale di comunicazione bidirezionale con l’infrastruttura dell’attaccante. Tecniche di evasione del C2: uso di protocolli leciti (HTTPS, DNS tunneling), DGA, fast-flux, comunicazione tramite piattaforme legittime (Telegram, Twitter, Google Docs usati come canali C2 nascosti).
7. Actions on Objectives (Azioni sugli obiettivi): raggiungimento dell’obiettivo finale, che può variare enormemente: esfiltrazione di dati, cifratura ransomware, sabotaggio di sistemi OT/SCADA, spionaggio prolungato, movimento laterale verso target di maggior valore (es. dalla workstation del dipendente al domain controller).
Utilizzo difensivo
Il framework permette di valutare le difese esistenti rispetto a ogni fase e identificare i gap. Per ogni fase esistono controlli specifici: nella Reconnaissance — monitoring delle scansioni passive e dei leak di informazioni; nella Delivery — filtri antispam e sandbox email; nell’Exploitation — patch management e EPP/EDR; nell’Installation — application allowlisting e monitoraggio delle persistenze; nel C2 — analisi del traffico DNS e HTTPS anomalo; nelle Actions — DLP, UEBA, segmentazione.
Limiti e integrazioni
Il modello è lineare — assume che le fasi si succedano in ordine — mentre gli attacchi reali possono iterare tra fasi, saltarle o eseguirle in parallelo. Il framework MITRE ATT&CK è complementare: mappa tecniche specifiche (oltre 400) alle tattiche, offrendo granularità molto maggiore per detection engineering e threat hunting.