Analise de Malwares — Cyber Kill Chain Model
O que é o Cyber Kill Chain?
A cadeia de morte cibernética (CKC) é um modelo clássico de segurança cibernética desenvolvido pela equipe de resposta a incidentes de segurança de computadores (CSIRT) da Lockheed Martin.
O objetivo do modelo é entender melhor os estágios pelos quais um ataque deve passar para conduzi-lo e ajudar as equipes de segurança a interromper um ataque em cada estágio.
O modelo da cadeia de morte descreve um ataque de um invasor externo tentando obter acesso a dados ou ativos dentro do perímetro de segurança. O invasor realiza reconhecimento, invasão do perímetro de segurança, exploração de vulnerabilidades, ganho e escalada de privilégios, movimento lateral para obter acesso a alvos mais valiosos, tentativas de ofuscar sua atividade e finalmente filtrar dados da organização.
07 Fases do Cyber Kill Chain
De acordo com o modelo LM-CIRT CKC . Em cada estágio, mostramos uma breve lista de ataques retirados do MITRE ATT & CK Framework, que é uma base de conhecimento acessível globalmente de táticas e técnicas de adversários com base em observações do mundo real.
1. Reconhecimento : O atacante reúne informações sobre o alvo antes do início do ataque. Muitos profissionais de segurança acham que não há nada que possa ser feito sobre esse estágio, mas isso está além do errado. Muitas vezes, os cibercriminosos coletam informações sobre seus alvos pretendidos pesquisando sites da Internet como LinkedIn ou Instagram. Eles também podem tentar coletar informações por meio de técnicas como ligar para funcionários, interações por email ou mergulhar no lixo.
É aqui que comportamentos seguros podem ter um grande impacto. Uma força de trabalho consciente saberá que eles são um alvo e limitará o que eles compartilham publicamente. Eles autenticam as pessoas por telefone antes de compartilharem informações confidenciais. Eles descartam e fragmentam documentos confidenciais com segurança. Isso neutraliza totalmente esse estágio? Absolutamente não, mas, novamente, nenhum controle é suficiente. No entanto, isso pode prejudicar os recursos do invasor para coletar informações. Uma força de trabalho devidamente treinada pode relatar atividades suspeitas, como telefonemas estranhos que procuram mais informações.
2. Armamento: O invasor cibernético não interage com a vítima pretendida. Em vez disso, eles criam seu ataque. Por exemplo, o invasor pode criar um documento infectado do Microsoft Office associado a um email de phishing personalizado ou talvez criar uma nova variedade de malware auto-replicante a ser distribuído via unidade USB. Existem poucos controles de segurança, incluindo o reconhecimento da segurança, que podem impactar ou neutralizar esse estágio, a menos que o ciber-invasor faça alguns testes limitados no destino pretendido.
3. Entrega : transmissão do ataque à (s) vítima (s) pretendida (s). Por exemplo, isso seria enviar o e-mail de phishing real ou distribuir as unidades USB infectadas em uma cafeteria ou café local. Embora exista toda uma indústria técnica dedicada a interromper esse estágio, as pessoas também desempenham um papel crítico.
Embora as pessoas não sejam capazes de lembrar muitas informações novas, elas são muito boas em serem adaptáveis. Eles geralmente seguem que o instinto “isso simplesmente não parece certo”. Não a tecnologia, a primeira linha de defesa na detecção e interrupção de muitos desses ataques, para incluir ataques novos ou personalizados, como Spear Phishing. Além disso, as pessoas podem identificar e interromper ataques que a maioria das tecnologias não pode sequer filtrar, como ataques por telefone. Uma força de trabalho treinada reduz bastante essa área de superfície de ataque.
4. Exploração : Isso implica em ‘detonação’ real do ataque, como a exploração em execução no sistema. Pessoas treinadas garantem que os sistemas que estão executando sejam atualizados e atualizados. Eles garantem que o antivírus está em execução e ativado. Eles garantem que todos os dados confidenciais com os quais estão trabalhando estejam em sistemas protegidos, tornando-os muito mais seguros contra a exploração.
5. Instalação : o invasor instala malware na vítima. Nem todos os ataques exigem malware, como um ataque de fraude ou a obtenção de credenciais de login. No entanto, assim como a exploração quando há malware, uma força de trabalho treinada e segura pode ajudar a garantir que eles estejam usando dispositivos seguros atualizados, atuais e com antivírus ativado, o que interromperia muitas tentativas de instalação de malware. Além disso, é aqui que começamos a ir além do “firewall humano” e a alavancar o “sensor humano”. Uma etapa fundamental na detecção de um sistema infectado é procurar comportamento anormal. Quem melhor para detectar comportamentos anormais do que as pessoas que usam o sistema todos os dias?
6. Comando e controle : isso implica que, uma vez que um sistema seja comprometido e / ou infectado, o sistema precisará chamar de lar para um sistema de comando e controle (C&C) para que o cibercriminoso obtenha controle. É por isso que a “caça” se tornou tão popular. Eles estão procurando atividades de saída anormais como esta.
7. Ações sobre os objetivos : uma vez que o invasor cibernético estabelece acesso à organização, ele pode executar ações para atingir seus objetivos. As motivações variam muito, dependendo do ator da ameaça. Pode incluir ganhos políticos, financeiros ou militares, por isso é muito difícil definir quais serão essas ações.
Referencias:
https://attack.mitre.org/
https://sbscyber.com/
https://www.sans.org/
