Cyber Kill Chain

La Cyber Kill Chain es una forma organizada de entender cómo piensan y actúan los atacantes cuando intentan vulnerar un sistema. Imagina una cadena de pasos que debe seguir el atacante desde el primer momento hasta que logra su objetivo. Si rompes esa cadena en cualquier fase, ¡evitas el ataque!

Fue creada en 2011 por Lockheed Martin, inspirándose en tácticas militares. Esta cadena te permite:

• Detectar amenazas antes de que causen daño

• Prevenir el avance del atacante en la red

• Fortalecer los puntos débiles de la seguridad interna

Conocer esta cadena es muy útil si trabajas como analista SOC, cazador de amenazas o en respuesta a incidentes, porque te ayuda a identificar señales tempranas y responder con estrategia.

2. ⚔️ Análisis técnico del marco Cyber Kill Chain

📌 ¿Qué es la Cyber Kill Chain?

Desarrollada por Lockheed Martin, la Cyber Kill Chain® representa las fases secuenciales que un actor malicioso debe completar para ejecutar con éxito un ataque.

Objetivo principal: Permitir a los defensores detectar, interrumpir y neutralizar un ataque en cualquier fase antes de que se complete.

🔁 Las 7 fases del Cyber Kill Chain

Fase Descripción Técnicas del atacante Herramientas o defensas recomendadas
1. Reconocimiento (Reconnaissance) 

Recolección de información sobre el objetivo. 

Google Dorking, escaneo DNS, OSINT. 

Honeypots, detección de escaneo, firewall con IDS.

2. Armamentización (Weaponization) 

Creación del payload (malware + exploit). 

Generación de malware, empaquetado con exploit. 

Análisis estático de malware, sandboxing.

3. Entrega (Delivery) 

Transmisión del payload al objetivo. 

Phishing, USB infectado, adjuntos maliciosos. 

Filtros de correo, bloqueo de puertos USB, EDR.

4. Explotación (Exploitation) 

Activación del código malicioso. 

Explotación de vulnerabilidades (0-days, RCE, XSS). 

Parches, hardening, WAF, políticas de mínimo privilegio.

 
5. Instalación (Installation) 

Instalación del backdoor para persistencia. 

Instalación de RATs, cambios en el sistema. 

Monitorización de integridad, EDR, whitelisting.

 
6. Comando y Control (C2) 

Canal para controlar el sistema comprometido. 

Comunicaciones con servidor C2, tunelización. 

Detección de tráfico anómalo, DNS sinkhole.

 
7. Acciones sobre el objetivo (Actions on Objectives) 

El atacante cumple su objetivo: robo, cifrado, espionaje, etc. 

Exfiltración de datos, ransomware, sabotaje. 

DLP, monitoreo de salida, respuesta a incidentes.

🎯 Aplicaciones prácticas del marco

• Análisis de amenazas persistentes avanzadas (APT)

• Detección temprana de ransomware

• Evaluación de controles de seguridad existentes

• Simulación de ataques en entornos red team/purple team

• Entrenamiento para SOC y CIRT

⚠️ Ventajas y desventajas

✅ Ventajas

• Permite descomponer el ataque en fases entendibles

• Ideal para diseñar defensa en profundidad

• Buen punto de partida para Threat Hunting

❌ Desventajas

• Modelo lineal: no refleja bien ataques modernos (multifase o paralelos)

• No se adapta a entornos cloud, móviles o DevOps sin adaptación

• Falta de enfoque en la post-explotación interna (lateral movement, privilegios)

💡 Sugerencia : Complementa este modelo con MITRE ATT&CK para una visión más granular de TTPs modernas.

🧩 Resultado del aprendizaje

Con este conocimiento:

• Detectas y cortas un ataque en cualquier fase.

• Reconoces señales de alerta específicas de cada etapa.

• Puedes aplicar contramedidas en puntos clave para proteger tu red.

Fase 1 – Reconocimiento (Reconnaissance) 

El reconocimiento es el primer paso que da un atacante: espiar e investigar. Antes de lanzar un ataque, necesita saber a quién va a atacar, dónde están sus debilidades y cómo puede entrar.

Imagina que un ladrón observa una casa durante días: toma nota de cuándo hay gente, cuántas ventanas hay, si hay cámaras, etc. En ciberseguridad, pasa igual, pero el atacante revisa:

• Páginas web públicas,

• Correos electrónicos filtrados,

• Dominios y subdominios,

• Servicios expuestos a Internet,

• Empleados en LinkedIn…

💡 Si evitamos que el atacante obtenga esta información o detectamos que está espiando, podemos frenarlo antes de que actúe.

Análisis técnico – Reconocimiento en profundidad

🧠 Objetivo del atacante

Recolectar información detallada sobre el objetivo para planificar las siguientes fases del ataque.

Puede incluir tanto datos técnicos (IPs, puertos, servidores) como datos humanos (nombres, correos, estructura de la empresa).

🧰 Técnicas utilizadas (OSINT + Footprinting)

Passive Recon: No interactúa directamente con el objetivo. Se basa en fuentes públicas.
Active Recon: Implica escaneo activo o interacción con los sistemas del objetivo.

Ejemplos de OSINT:

• 🔎 Búsqueda de correos y leaks:

  • HaveIBeenPwned

  • Dehashed

  • IntelX

• 🌐 Análisis de dominios y subdominios:

  • crt.sh

  • SecurityTrails

  • Amass

  • Sublist3r

• 🧠 Recopilación de personal:

  • LinkedIn, Hunter.io, RocketReach

  • Google Dorking:
    site:linkedin.com "empresa" AND ("IT" OR "Security")

• 📡 Recolección de infraestructura técnica:

  • Shodan.io

  • Censys.io

  • Nmap (modo sigiloso o verbose)

• Herramientas:
• theHarvester: Recopila correos, subdominios, IPs y nombres de múltiples fuentes públicas.
• Hunter.io: Encuentra correos electrónicos asociados a un dominio.
• OSINT Framework: Directorio de herramientas clasificadas por categoría: correos, metadatos, redes sociales, etc.
• Shodan/Censys: Exploran dispositivos expuestos a internet (IoT, cámaras, servidores, routers…).
• Google Dorks: Consultas avanzadas para encontrar información indexada específica. Ejemplo: site:example.com filetype:xls intext:@example.com
• LinkedIn, Facebook, Twitter: Recolectan datos personales, estructura empresarial y relaciones entre empleados.

✉️ Recolección de correos electrónicos

Uno de los objetivos más valiosos del reconocimiento. ¿Por qué?

• Permite lanzar ataques de phishing

• Ayuda a identificar empleados reales

• Sirve para suplantar identidades

🔧 Ejem. plo con theHarvester:

bash: theHarvester -d examplecorp.com -b all

Obtendrá resultados de correos encontrados en:

• Google

• LinkedIn

• Bing

• Twitter

• etc.

🔧 Hunter.io:

url:https://hunter.io/domain-search/examplecorp.com

Devuelve correos como:

graphql:sistemas@examplecorp.com j.garcia@examplecorp.com

📱 Recolección desde redes sociales

La información encontrada en redes sociales permite:

• Construir ataques de ingeniería social

• Crear mensajes de phishing más creíbles

• Identificar estructura de jerarquía interna

Ejemplo de uso ofensivo:

"Hola Marta, te escribo desde IT. Hemos detectado actividad extraña en tu Teams. Abre el informe adjunto."
(Sabe que Marta trabaja en ciberseguridad gracias a LinkedIn)

🧪 Ejemplo real de uso (en un entorno de laboratorio):

En un entorno de lab, un atacante empieza buscando dominios relacionados con una empresa ficticia:

amass enum -d examplecorp.com

Luego verifica la exposición pública con:

shodan search "hostname:examplecorp.com"

Y recopila correos de empleados con:

theHarvester -d examplecorp.com -b all

🛡️ ¿Cómo se defiende un SOC o un Blue Team?

Desde el SOC o el Blue Team, debes:

• Detectar escaneos tempranos (Nmap, Masscan, Zmap)

• Analizar logs web para buscar scraping o crawling inusual

• Crear alertas en el SIEM para tráfico hacia endpoints públicos sospechosos

• Limitar exposición en redes sociales y eliminar metadatos

• Monitorizar fugas con servicios como:

  • HaveIBeenPwned

  • LeakIX

  • SpyCloud

  • Pastebin + Google Alerts




🧩 Resultado esperado como analista SOC

✔️ Reconozco patrones de escaneo y footprinting en los logs.
✔️ Detecto campañas de phishing dirigidas gracias a correos expuestos.
✔️ Mitigo el acceso OSINT ocultando datos sensibles y segmentando servicios.
✔️ Implemento alertas que disparan si se usa Shodan contra mis activos.
✔️ Identifico fuentes comunes de recolección y las bloqueo o monitorizo.

Fase 2 – Armamentización (Weaponization)

Una vez que el atacante ha recopilado información sobre su objetivo (fase 1), ahora toca preparar el arma.

En esta fase, el atacante crea o configura una herramienta maliciosa, como un archivo PDF con malware, una página web con un exploit o un documento de Word infectado.

No lanza el ataque aún… Solo combina una vulnerabilidad con un código malicioso (malware) y lo empaqueta de forma que parezca inofensivo para que la víctima lo abra sin sospechar.

Imagina que el atacante crea una carta de "oferta de empleo" en PDF que, al abrirse, instala un troyano sin que lo sepas.

Análisis técnico – Weaponization en profundidad

¿Qué es la armamentización?

Es la fase de preparación: se desarrolla, modifica o selecciona un payload malicioso que luego será entregado en la Fase 3.

El objetivo es combinar un vector de ataque (exploit) con un código malicioso (malware), logrando un archivo, enlace o paquete ejecutable que aproveche las debilidades descubiertas.

🛠️ Ejemplos técnicos

• Exploit Código que aprovecha una vulnerabilidad (ej: CVE-2021-40444 en MS Office).
• Malware Carga maliciosa (ej: RAT, keylogger, ransomware, dropper).
• Payload Resultado combinado del exploit y malware (por ejemplo, un .docx con macro + reverse shell).
• Dropper Código ligero cuya única función es descargar o activar otro malware más grande.

Ejemplo de arma:

• Un archivo PDF (aparentemente legítimo)

• Exploita una vulnerabilidad conocida en Adobe Reader

• Instala un RAT (Remote Access Trojan) que conecta con el atacante

🧪 Escenario ofensivo: El atacante sigue avanzando

El Atacante, tras identificar a la empresa ExampleCorp y obtener correos de empleados, elige a su víctima: Marta, analista de IT.

1. Encuentra una vulnerabilidad en la versión de Adobe Acrobat usada en la empresa.

2. Usa Metasploit Framework para crear un PDF malicioso con un exploit embebido.

3. Inserta su RAT personalizado (malware) dentro del archivo.

4. Renombra el archivo como informe_salarial_Q2.pdf.

Ahora tiene su arma lista para entregar en la siguiente fase.

🧰 Herramientas usadas por atacantes en esta fase

• Metasploit Generación de payloads con exploits conocidos.
• MSFvenom Crear ejecutables maliciosos (.exe, .doc, .apk, etc.) con código personalizado.
• Veil Framework Evadir antivirus con payloads ofuscados.
• Unicorn Generar scripts PowerShell reversos.
• Social-Engineer Toolkit (SET) Crear páginas falsas con payloads integrados.
• ExploitDB Buscar vulnerabilidades con código explotable.

🛡️ ¿Cómo se defiende un Blue Team?

La defensa en esta fase no detecta la acción del atacante directamente, ya que aún no ha interactuado con la red. Pero puedes aplicar:

• Segmentación de sistemas críticos (evita que se propague).

• Bloqueo de tipos de archivos en el correo (ej: .js, .exe, .scr, .lnk).

• EDR con análisis de comportamiento para detectar procesos anómalos al ejecutarse.

• Sandboxing de documentos adjuntos para análisis previo.

• Revisión y validación de macros o scripts en documentos de Office.

• Educación continua en ingeniería social y phishing.

Defensa proactiva:

• Detectar variantes de malware empaquetadas con herramientas como YARA.

• Integrar Threat Intelligence para anticipar campañas activas.

• Mantener actualizado el inventario de CVEs y parches.

🔒 Resultado esperado como analista

✔️ Reconozco los indicadores de payloads maliciosos (extensiones, hashes, heurística).
✔️ Comprendo cómo funciona un dropper y cómo detectar su ejecución.
✔️ Identifico patrones de evasión como ofuscación, ejecución en memoria, bypass de UAC.
✔️ Aíslo endpoints que ejecutaron archivos sospechosos antes de la fase de entrega.

Tip profesional Purple Team

💡 Un buen ejercicio Purple es crear un ataque simulado con un payload personalizado, luego verificar si el SOC es capaz de detectarlo antes de su entrega.
Puedes usar Metasploit + MSFvenom y ver cómo reacciona el EDR.