Nell’articolo precedente abbiamo elencato le prime fasi di un attacco hacker ricorrendo alla metodologia della Mitre Corporation chiamata ATT&CK. In questo articolo continueremo con il descrivere altre fasi che a differenza di quelle già elencate non hanno una precisa collocazione temporale all’interno di una azione d’hacking, possono anche non esserci, ma soprattutto negli attacchi più pericolosi possono ripetersi varie volte portando alla violazione di altri sistemi interni all’obbiettivo violato.
Execution (esecuzione)
Qualsiasi tecnica utilizzata dagli hacker per eseguire comandi e codice sulle macchine violate rientra nella definizione di execution.Ad esempio caricare su un computer del malware e attivarlo è una forma di execution.
Photo by Glenn Carstens-Peters on Unsplash
Persistence & C2 (Persistenza e Comando&Controllo )
Quando un hacker viola un sistema di norma lo fa da remoto e questo rende l’attacco suscettibile di fallimento se la macchina viene spenta, va offline o l’utente violato si disconnette. Per evitare di perdere il controllo sul proprio obbiettivo l’hacker cercherà di installare software, modificare le impostazioni utente, creare nuovi utenti, programmare l’execution di determinati programmi cosi da accedere al sistema violato quando tornerà online oppure manipolare determinati protocolli, quali http o dns, per stabilire una connessione remota.
Privilege Escalation
Di norma il primo accesso ad un sistema è un accesso di basso livello che permette all’hacker interazioni molto limitate: per questo motivo parte del tempo verrà impiegato nel cercare di “diventare” un utente con maggiori privilegi, sino ad arrivare ad essere l’utente amministratore.
Defense Evasion (Evitare le difese)
Ogni sistema ha come minimo un antivirus installato che a cadenze fisse analizzerà i file presenti alla ricerca di malware. La Defense Evasion è la fase che raggruppa tutte le tecniche necessarie per evitare di essere individuati dai sistemi di difesa dell’obbiettivo violato che possono essere Anti-Virus, sistemi di identificazione o prevenzioni delle intrusioni (IDS/IPS), Firewall e cosi via.
Credential Access (accesso alle credenziali)
Questa fase racchiude tutte le attività attraverso le quali è possibile scoprire username/password degli utenti di un sistema; dalla semplice consultazione di un elenco di credenziali stampate e lasciate su una scrivania oppure salvate sul desktop, al cracking delle password sino all’acquisto nel dark-web di elenchi già pronti.
Discovery & Lateral Movement (scoperta e movimento laterale)
Uno dei difetti principali delle descrizioni classiche di un attacco derivate dall’esperienza militare (Cyber Kill Chain) è l’intendere l’attacco come un’azione rigidamente definita che punta ad un obbiettivo preciso, conquistato il quale l’attacco si conclude. In realtà l’esperienza ha suggerito che gli hacker una volta violato un sistema sfruttino spesso quello stesso sistema per muoversi all’interno della rete; in primis effettuando una nuova fase di ricognizione (discovery) e poi cercando di spostarsi dalla macchina violata alle nuove macchine scoperte (lateral movement). E’ interessante notare come queste mansioni diventino teoricamente molto più semplici perché lanciate da un sistema interno alla rete attaccata e quindi considerato affidabile.
Collection (raccolta)
Sino a questo punto abbiamo discusso di come violare un sistema, di come tenersi nascosti senza mai arrivare al nocciolo della questione che è l’obbiettivo ultimo di quasi tutti i Cyber attacchi esclusi quelli che mirano a rendere inutilizzabile un servizio (DoS, denial of service)ossia raccogliere informazioni. Di norma è uno dei momenti nei quali è alto il rischio di essere scoperti perché le informazioni trafugate devono essere accumulate in qualche cartella del sistema e quindi possono essere facilmente scoperte.
Exfiltration (esfiltrazione)
Derivata dal gergo dei servizi segreti come contrario di infiltrazione, l’esfiltrazione è la fase nella quale gli attaccanti cercano di portare fuori dal sistema compromesso i dati raccolti durante la fase di collection. Il cardine di questa fase è il mantenimento della segretezza e quindi verrà utilizzata ogni tecnica possibile per nascondere i dati durante il transito.
Foto Pinacoteca di Brera – Bombardamento di Guernica
Impact
Benché non sempre presente la fase di Impact è dalla prospettiva di chi difende una fase dalla massima criticità perché prevede la distruzione del sistema da parte degli attaccanti o per nascondere le proprie tracce o per causare il maggior danno possibile.
Quest’ultima fase, come altre, avvicina le attività degli hacker alle attività di Intelligence più che all’operatività di un attacco con modalità militari. Per questo motivo se la prima descrizione accademica degli attacchi hacker era di derivazione militare l’esperienza sul campo ha cambiato e di molto il punto di vista portando alla definizione oggi comunemente accettata dell’ATT&CK.
F.Kko Viviani
Header Photo by Markus Spiske on Unsplash
