Prévia do material em texto
Inteligência de Ameaças Cibernéticas Aula 08: Modelo Cyber Kill Chain Apresentação: Nesta aula conheceremos mais sobre o que é o modelo Cyber Kill Chain e como ele é utilizado na inteligência de ameaças cibernéticas. Objetivos: Analisar o modelo Cyber Kill Chain, quais são suas fases e como cada uma delas pode ser mapeada a uma fase de um ataque real; Demonstrar como utilizar o modelo de Cyber Kill Chain na criação de um produto de inteligência para a organização. O modelo Cyber Kill Chain Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online O modelo Cyber Kill Chain foi criado pela empresa Lockheed Martin como parte de um modelo de defesa voltado para inteligência, focado em identi�cação e prevenção de ataques cibernéticos. Histórico O modelo chamado Cyber Kill Chain foi criado e publicado em um artigo, em 2011, para descrever as fases que um atacante executa para efetuar um ataque a uma organização. Seguindo o modelo, cada ataque consiste em diversas fases e cada uma delas pode utilizar controles para barrá-los. A ideia é que, ao entendermos esse processo, possamos criar um mecanismo de defesa para parar ou di�cultar o ataque. Segundo o modelo original criado pela Lockheed Martin, o Cyber Kill Chain consiste em sete fases: Reconnaissance (Reconhecimento). Weaponization (Armamento). Delivery (Entrega). Exploitation (Exploração). Installation (Instalação). Command & Control (Comando e Controle). Actions on Objectives (Atuar nos Objetivos). Cyber Kill Chain (Fonte: SANS Institute). Fases do Cyber Kill Chain Clique nos botões para ver as informações. Na primeira fase o atacante vai buscar todas as informações necessárias sobre seu alvo. As informações são colhidas na maioria das vezes a partir de OSINT. Reconnaissance Na segunda fase, com base em informações obtidas na fase de reconhecimento, o atacante vai escolher que tipo de ataque irá realizar, focando na infraestrutura descoberta na fase anterior. Ele, então, poderá criar um exploit ou malware para ser entregue à vítima. Weaponization Na Terceira fase, com base em informações obtidas na fase anterior, o atacante irá planejar e executar a entrega do “pacote” malicioso. Apesar de a forma mais comum utilizada pelos grupos de APT ainda ser o e-mail, outras formas podem ser usadas também, como um pen-drive USB deixado perto da vítima. Delivery Na quarta fase, depois que o “pacote” foi entregue, ele executará as ações planejadas e criadas na fase de weaponization, possivelmente pela exploração de uma vulnerabilidade, que pode ser tanto uma vulnerabilidade técnica (em uma aplicação ou no sistema operacional) ou uma vulnerabilidade humana (por meio de engenharia social). Exploitation Na quinta fase, depois que o “pacote” foi entregue e executado no ambiente da vítima, ocorre a instalação dele. Os objetivos das fases anteriores convergem todos para que se chegue ao momento no qual o “pacote” (geralmente um malware que possui capacidade de se comunicar remotamente com o atacante) possa ser instalado no sistema. O método de instalação pode variar de acordo com o sistema e com o objetivo. Installation Na sexta fase, após a instalação do “pacote”, é estabelecido um canal de comando e controle (C&C), por meio do qual o malware se comunicará com o atacante e receberá instruções de como agir dentro do ambiente. Essas instruções podem variar de acordo com o tipo do malware e podem ser desde procurar documentos, capturar telas, até abrir uma conexão remota para propiciar controle ao atacante. Command & Control A última fase é quando o atacante vai tomar as ações de acordo com o seu objetivo. Se é roubo de informações e documentos, ele pode fazer o malware realizar o upload dos documentos para um servidor remoto. Se é entrar remotamente na rede da organização, ele poderá abrir um shell remoto e circular dentro da rede. Actions on Objectives Aplicando defesa dentro do Kill Chain Para cada fase mencionada anteriormente dentro do Cyber Kill Chain podemos pensar em como evitar que haja sucesso. Para isso, temos que pegar cada fase e mapeá-la com possíveis métodos que possibilitem parar completamente o ataque ou causar atraso no curso do ataque. Para isso foi criado o curso de ações para o Cyber Kill Chain, que basicamente faz um mapeamento de tipos de ferramentas que podem ser empregadas em cada fase do ataque e com diferentes objetivos. O curso de ação mapeia as ferramentas com seus objetivos. Como cada ferramenta tem um objetivo diferente, podemos descrevê-los da seguinte forma: 1 Ferramenta para Detecção (Detect). 2 Ferramenta para Bloqueio (Deny). 3 Ferramenta para Disrupt (Disrupt). 4 Ferramenta para Atraso (Degrade). 5 Ferramenta para Enganar (Deceive). 6 Ferramenta para Contenção (Destroy). Nem toda ferramenta encontra seu par no processo de Kill Chain. Para exempli�car, foi criada uma matrix, como no exemplo a seguir: Phase Detect Deny Disrupt Degrade Deceive Contain Reconnaissance Web Analytics Firewall ACL Firewall ACL Weaponization NIDS NIPS NIPS Delivery Vigilant User Proxy Filter Inline AV Queuing App-Aware Firewall Exploitation HIDS Patch DEP Inter-Zone NIPS Installation HIDS 'chroot' jail AV EPP Command & Control NIDS Firewall ACL NIPS Tarpit DNS Redirect Trust Zones Actions on Targets Audit Logs Outbound ACL DLP Quality of Service Honeypot Trust Zones Exemplo de Caso Iremos simular a seguir um ataque e identi�car quais ferramentas poderiam ser utilizadas para as fases do modelo de Cyber Kill Chain. Um grupo hacker decide atacar a empresa ACME Petróleo do Brasil. Fase 1 – Reconhecimento Nesta fase, o grupo tentará recolher o maior número de informações sobre a empresa ACME, como identi�car seus funcionários em redes sociais — LinkedIn, Facebook, Instagram. Por meio dessas redes, poderá identi�car nomes e cargos de pessoas que trabalham na ACME, assim como suas posições na empresa, amigos, hobbies. O grupo, então, tentará encontrar informações sobre a rede da ACME, como as redes, servidores e tipos de tecnologias usadas. Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online Ferramenta para Detecção – Ferramentas como IDS podem ajudar a detectar scans para saber quais vulnerabilidades estão no ambiente. Ferramentas como Shodan ou Maltego podem ajudar a descobrir que tipo de informações sobre a organização está visível publicamente, incluindo banners de servidores que podem revelar a versão do software. Ferramenta para Bloqueio – Firewall, Web Application Firewall e Intrusion Prevention System podem ajudar a bloquear scans que revelem informações sobre a rede/serviços. Ferramenta para Interrupção do ataque (Disruption) – Não se aplica. Ferramenta para Atraso - Não se aplica. Ferramenta para Enganar – Honeypots podem ser usados para criar sistemas falsos com versões falsas para confundir o atacante. Ferramenta para Contenção – Não se aplica. Fase 2 – Weaponization Na fase de weaponization o grupo irá planejar e criar o malware ou ferramenta que será entregue para a vítima, geralmente por meio de um phishing. Um exemplo pode ser a criação de um arquivo PDF com ume exploit que será enviado via e-mail. Essa fase é criada do lado do atacante, então as ferramentas de defesa não se aplicam a essa fase. Ferramenta para Detecção – Não se aplica. Ferramenta para Bloqueio - Não se aplica. Ferramenta para Interrupção do ataque (Disruption) - Não se aplica. Ferramenta para Atraso - Não se aplica. Ferramenta para Enganar - Não se aplica. Ferramenta para Contenção - Não se aplica. Fase 3 – Delivery No nosso cenário, na fase de delivery o grupo hacker irá enviar um phishing para a vítima ou grupo de vítimas. Em outro cenário, o grupo hacker poderia utilizar outras técnicas para delivery, como um USB deixado perto da vítima para fazer com que ela o insira diretamente no laptop. No exemplo anterior o phishing usa uma mensagem fazendo-se passar pela Caixa Econômica Federal, indicando que existe um valor na conta do usuário e pedindo queele o valide por intermédio do extrato que está no link. Ao clicar no link, a pessoa irá baixar um arquivo malicioso para o computador. Ferramenta para Detecção - Usuário. Treinamentos para o usuário reconhecer e reportar um phishing. Ferramenta para Bloqueio – Ferramentas de Anti-spam, Ferramenta de Proxy. Ferramenta para Interrupção do ataque (Disruption) – Ferramentas que realizam testes com arquivos em anexo ou URLs em sandbox para detectar e bloquear arquivos suspeitos. Ferramenta para Atraso – Não se aplica. Ferramenta para Enganar – Não se aplica. Ferramenta para Contenção – Não se aplica. FGTS (Fonte: 3 elos). Fase 4 – Exploitation No nosso cenário, na fase de exploitation o usuário abrirá o arquivo malicioso em anexo em sua máquina local. No caso de um link, o arquivo deverá ser diretamente um binário executável. Em outros casos, ele irá se passar por um arquivo de documento, como um PDF, Word, Excel, Powerpoint. Todos esses são conhecidos por conterem exploits para o Adobe Reader ou Microsoft O�ce. Ambos softwares lançam várias correções (patches) por mês, e é necessário que estejam sempre atualizados para evitar ataques que explorem suas vulnerabilidades. Em outros casos, o grupo hacker pode utilizar exploits chamados 0day para explorar vulnerabilidades que ainda não são conhecidas. Portanto, não existem correções disponíveis. Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online Ferramenta para Detecção – Ferramenta de Antivírus. Ferramenta para Bloqueio – Ferramentas de Host IPS (HIDS), Ferramentas de aplicação de patches. Ferramenta para Interrupção do ataque (Disruption) – Ferramentas de EDR (Endpoint Detection & Response), Ferramentas de proteção de memória (DEP, ASLR...). Ferramenta para Atraso - Não se aplica. Ferramenta para Enganar - Não se aplica. Ferramenta para Contenção - Não se aplica. Fase 5 – Installation No nosso cenário, o arquivo malicioso foi executado com sucesso e irá realizar a instalação no sistema. Dependendo do sistema operacional, o malware irá se instalar em um local em que possa passar despercebido pelo usuário ou se passará como um software legítimo. Em sistemas Windows, os locais preferidos são em diretórios dentro de C:Windows, C:Program Files , e AppData/AppDataRoaming, juntamente com uma modi�cação nas chaves de registro para que o malware possa ser iniciado juntamente com o sistema operacional. Ferramenta para Detecção – Ferramentas de EDR (Endpoint Detection & Response). Ferramenta para Bloqueio – Chroot jail, ferramentas que restrigem acesso administrador no sistema. Ferramenta para Interrupção do ataque (Disruption) – Ferramenrtas de EDR, Ferramentas de antivírus. Ferramenta para Atraso - Não se aplica. Ferramenta para Enganar - Não se aplica. Ferramenta para Contenção - Não se aplica. Fase 6 - Command & Control No nosso cenário, o arquivo foi executado e instalado no sistema. A próxima fase do malware é estabelecer contato com o servidor remoto de Comando e Controle (C&C) para envio de informações e receber comandos para serem executados na máquina da vítima. O malware irá estabelecer uma comunicação com sua central de comando, que, na maioria das vezes, é um website programado para receber a comunicação do malware. Um exemplo é o L0rdix [5] : L0rdix [5] (Fonte: Cafe com Redes). Seu painel de controle é capaz de dar várias informações para o grupo hacker. Por exemplo, o número de máquinas que estão infectadas com o malware, onde geogra�camente estão essas máquinas, além de possibilitar o envio de oito comandos para o malware. Ferramenta para Detecção – Ferramentas de análise de tráfego como NIDS (Network Intrusion Detection System). Ferramenta para Bloqueio – Ferramentas de Proxy, Ferramentas de NIPS (Network Intrusion Prevention System). Ferramenta para Interrupção do ataque (Disruption) – Ferramentas de EDR, Ferramentas de antivírus. Ferramenta para Atraso - Não se aplica. Ferramenta para Enganar - Não se aplica. Ferramenta para Contenção - Não se aplica. Action on Targets Seguindo o nosso cenário, na fase �nal do Cyber Kill Chain temos a fase em que o malware irá realizar as ações para as quais ele foi programado ou recebeu os comandos para fazê-la, como busca por folders compartilhados, capturar credenciais de acesso, busca por documentos, envio de dados, captura de tela e áudio. Na fase anterior mencionamos o malware L0rdix. Esse malware é capaz de fornecer acesso remoto ao grupo hacker a partir da execução de vários comandos: Download and execute: para baixar e executar um executável. Update: realizar sua atualização. Open page (visible): abrir uma página em modo visível. Open page (invisible) – abrir uma página em modo invisível. Cmd: executar um commando. Kill process: fechar/matar um processo. Upload �le: realizar o upload de um arquivo. HTTP Flood. realizar um ataque HTTP �ood. Caso o grupo hacker não queira apenas executar comandos através do comando Cmd, pode pedir para o malware baixar e executar um outro malware, cujo objetivo é simplesmente realizar scans na rede interna, ou se conectar a outros folders compartilhados, etc... Ferramenta para Detecção: ferramentas de EDR, ferramentas de Deception/HoneyPots, ferramentas de NIDS (Network Intrusion Detection System). Ferramenta para Bloqueio: ferramentas de NIPS (Network Intrusion Prevention System), Ferramentas de DLP (Data Loss Prevention). Ferramenta para Interrupção do ataque (Disruption): Ferramenrtas de EDR. Ferramenta para Atraso: Não se aplica. Ferramenta para Enganar: Ferramentas de Deception/Honeypots. Ferramenta para Contenção: ACL/Regras de Firewall para Segregação das Redes. Atividades 1. O que é o Cyber Kill Chain? a) Uma expressão para definir os pontos fracos de uma organização b) São os estágios de um cyber attack em uma organização. c) Uma forma de responder a incidentes de segurança. d) Monitoração de ataques hackers. e) Nenhuma das alternativas 2. Quando a empresa Lockheed Martin criou e publicou o modelo de Cyber Kill Chain, quais foram as sete fases de um cyber attack citadas? a) Reconnaissance, Delivery, Weaponization, Exploitation, Installation, Command & Control, Actions on Objectives. b) Delivery, Weaponization, Exploitation, Installation, Reconnaissance, Command & Control, Actions on Objectives. c) Reconnaissance, Delivery, Weaponization, Exploitation, Installation, Command & Control, Actions on Objectives. d) Reconnaissance, Weaponization, Delivery, Exploitation, Installation, Command & Control, Actions on Objectives. . e) Exploitation, Reconnaissance, Delivery, Weaponization, Installation, Command & Control, Actions on Objectives. 3. O que é o Curso de Ações para Cyber Kill Chain? a) É a lista de ações a serem tomadas em caso de um ataque. b) É o mapeamento de possíveis ferramentas para serem usadas em cada fase de um ataque, com diferentes objetivos. c) É um playbook de como se responder a um incidente de segurança. d) É uma série de ações para garantir a monitoração do ambiente. e) Nenhuma das alternativas. 4. No estacionamento da empresa um funcionário achou um usb drive (pendrive) com adesivo escrito ‘Planilha de Salários’. Chegando na sua mesa o funcionário inseriu o pendrive e viu que continha o arquivo “Planilha.xls” . Em qual fase do Cyber Kill Chain esse cenário se enquadra? a) Delivery. b) Reconnaissance. c) Exploitation. d) Installation. e) Nenhuma das anteriores. 5. Dentro de uma matrix do Curso de Ações, durante a fase 6 (Command & Control), uma ferramenta de Proxy entraria como qual categoria de Ferramenta? a) Ferramenta de Detecção. b) Ferramenta de Interrupção de Ataques. c) Ferramenta de Atraso. d) Ferramenta para Enganar. e) Nenhuma das anteriores.Referências LOCKHEED, M. L. Cyber Kill - Chain Lockheed Martin. Disponível em: https://www.lockheedmartin.com/en- us/capabilities/cyber/cyber-kill-chain.html <https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html> . Acesso em: 14 nov. 2019. LOCKHEED, M. L. Intelligence-DrivenComputer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill. Lockheed Martin.com. Disponível em: https://www.lockheedmartin.com/content/dam/lockheed- martin/rms/documents/cyber/LM-White-Paper-Intel-Driven-Defense.pdf <https://www.lockheedmartin.com/content/dam/lockheed-martin/rms/documents/cyber/LM-White-Paper-Intel-Driven- Defense.pdf> . Acesso em: 14 nov. 2019. SAEED. Most common registry key to check while dealing with Virus issue. Symantec Connect. Disponível em: https://www.symantec.com/connect/articles/most-common-registry-key-check-while-dealing-virus-issue <https://www.symantec.com/connect/articles/most-common-registry-key-check-while-dealing-virus-issue> . Acesso em: 14 nov. 2019. Próxima aula https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html https://www.lockheedmartin.com/content/dam/lockheed-martin/rms/documents/cyber/LM-White-Paper-Intel-Driven-Defense.pdf https://www.symantec.com/connect/articles/most-common-registry-key-check-while-dealing-virus-issue Próxima aula Modelo MITRE ATT&CK Explore mais Assista aos vídeos What’s the Cyber Kill Chain The Cyber Krill Chain in More Detail javascript:void(0); javascript:void(0);