Conteúdo Interativo 8 - 11

Prévia do material em texto

Inteligência de Ameaças Cibernéticas
Aula 08: Modelo Cyber Kill Chain
Apresentação:
Nesta aula conheceremos mais sobre o que é o modelo Cyber Kill Chain e como ele é utilizado na inteligência de ameaças
cibernéticas.
Objetivos:
Analisar o modelo Cyber Kill Chain, quais são suas fases e como cada uma delas pode ser mapeada a uma fase de
um ataque real;
Demonstrar como utilizar o modelo de Cyber Kill Chain na criação de um produto de inteligência para a organização.
O modelo Cyber Kill Chain
Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online
O modelo Cyber Kill Chain foi criado pela empresa Lockheed Martin
como parte de um modelo de defesa voltado para inteligência,
focado em identi�cação e prevenção de ataques cibernéticos.
Histórico
O modelo chamado Cyber Kill Chain foi criado e publicado em um artigo, em 2011, para descrever as fases que um
atacante executa para efetuar um ataque a uma organização. Seguindo o modelo, cada ataque consiste em diversas fases
e cada uma delas pode utilizar controles para barrá-los.
A ideia é que, ao entendermos esse processo, possamos criar um mecanismo de defesa para parar ou di�cultar o ataque.
Segundo o modelo original criado pela Lockheed Martin, o Cyber Kill Chain consiste em sete fases:
Reconnaissance (Reconhecimento).
Weaponization (Armamento).
Delivery (Entrega).
Exploitation (Exploração).
Installation (Instalação).
Command & Control (Comando e Controle).
Actions on Objectives (Atuar nos Objetivos).
 Cyber Kill Chain (Fonte: SANS Institute).
Fases do Cyber Kill Chain
Clique nos botões para ver as informações.
Na primeira fase o atacante vai buscar todas as informações necessárias sobre seu alvo. As informações são
colhidas na maioria das vezes a partir de OSINT.
Reconnaissance 
Na segunda fase, com base em informações obtidas na fase de reconhecimento, o atacante vai escolher que tipo de
ataque irá realizar, focando na infraestrutura descoberta na fase anterior. Ele, então, poderá criar um exploit ou
malware para ser entregue à vítima.
Weaponization 
Na Terceira fase, com base em informações obtidas na fase anterior, o atacante irá planejar e executar a entrega do
“pacote” malicioso. Apesar de a forma mais comum utilizada pelos grupos de APT ainda ser o e-mail, outras formas
podem ser usadas também, como um pen-drive USB deixado perto da vítima.
Delivery 
Na quarta fase, depois que o “pacote” foi entregue, ele executará as ações planejadas e criadas na fase de
weaponization, possivelmente pela exploração de uma vulnerabilidade, que pode ser tanto uma vulnerabilidade
técnica (em uma aplicação ou no sistema operacional) ou uma vulnerabilidade humana (por meio de engenharia
social).
Exploitation 
Na quinta fase, depois que o “pacote” foi entregue e executado no ambiente da vítima, ocorre a instalação dele. Os
objetivos das fases anteriores convergem todos para que se chegue ao momento no qual o “pacote” (geralmente um
malware que possui capacidade de se comunicar remotamente com o atacante) possa ser instalado no sistema. O
método de instalação pode variar de acordo com o sistema e com o objetivo.  
Installation 
Na sexta fase, após a instalação do “pacote”, é estabelecido um canal de comando e controle (C&C), por meio do qual
o malware se comunicará com o atacante e receberá instruções de como agir dentro do ambiente. Essas instruções
podem variar de acordo com o tipo do malware e podem ser desde procurar documentos, capturar telas, até abrir
uma conexão remota para propiciar controle ao atacante.  
Command & Control 
A última fase é quando o atacante vai tomar as ações de acordo com o seu objetivo. Se é roubo de informações e
documentos, ele pode fazer o malware realizar o upload dos documentos para um servidor remoto. Se é entrar
remotamente na rede da organização, ele poderá abrir um shell remoto e circular dentro da rede.
Actions on Objectives 
Aplicando defesa dentro do Kill Chain
Para cada fase mencionada anteriormente dentro do Cyber Kill Chain podemos pensar em como evitar que haja sucesso.
Para isso, temos que pegar cada fase e mapeá-la com possíveis métodos que possibilitem parar completamente o ataque
ou causar atraso no curso do ataque.
Para isso foi criado o curso de ações para o Cyber Kill Chain, que basicamente faz um mapeamento de tipos de
ferramentas que podem ser empregadas em cada fase do ataque e com diferentes objetivos.
O curso de ação mapeia as ferramentas com seus objetivos. Como cada ferramenta tem um objetivo diferente, podemos
descrevê-los da seguinte forma:
1 Ferramenta para Detecção (Detect).
2 Ferramenta para Bloqueio (Deny).
3 Ferramenta para Disrupt (Disrupt).
4 Ferramenta para Atraso (Degrade).
5 Ferramenta para Enganar (Deceive).
6 Ferramenta para Contenção (Destroy).
Nem toda ferramenta encontra seu par no processo de Kill Chain. Para exempli�car, foi criada uma matrix, como no
exemplo a seguir:
Phase Detect Deny Disrupt Degrade Deceive Contain
Reconnaissance Web Analytics Firewall ACL Firewall ACL
Weaponization NIDS NIPS NIPS
Delivery Vigilant User Proxy Filter Inline AV Queuing App-Aware Firewall
Exploitation HIDS Patch DEP Inter-Zone NIPS
Installation HIDS 'chroot' jail AV EPP
Command & Control NIDS Firewall ACL NIPS Tarpit DNS Redirect Trust Zones
Actions on Targets Audit Logs Outbound ACL DLP Quality of Service Honeypot Trust Zones
Exemplo de Caso
Iremos simular a seguir um ataque e identi�car quais ferramentas poderiam ser utilizadas para as fases do modelo de
Cyber Kill Chain.
Um grupo hacker decide atacar a empresa ACME Petróleo do Brasil.
Fase 1 – Reconhecimento
Nesta fase, o grupo tentará recolher o maior número de informações sobre a empresa ACME, como identi�car seus
funcionários em redes sociais — LinkedIn, Facebook, Instagram. Por meio dessas redes, poderá identi�car nomes e cargos
de pessoas que trabalham na ACME, assim como suas posições na empresa, amigos, hobbies.
O grupo, então, tentará encontrar informações sobre a rede da ACME, como as redes, servidores e tipos de tecnologias
usadas.
Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online
Ferramenta para Detecção – Ferramentas como IDS podem ajudar a
detectar scans para saber quais vulnerabilidades estão no ambiente.
Ferramentas como Shodan ou Maltego podem ajudar a descobrir que
tipo de informações sobre a organização está visível publicamente,
incluindo banners de servidores que podem revelar a versão do
software.
Ferramenta para Bloqueio – Firewall, Web Application Firewall e
Intrusion Prevention System podem ajudar a bloquear scans que
revelem informações sobre a rede/serviços.
Ferramenta para Interrupção do ataque (Disruption) – Não se aplica.
Ferramenta para Atraso - Não se aplica.
Ferramenta para Enganar – Honeypots podem ser usados para criar
sistemas falsos com versões falsas para confundir o atacante.
Ferramenta para Contenção – Não se aplica.
Fase 2 – Weaponization
Na fase de weaponization o grupo irá planejar e criar o malware ou ferramenta que será entregue para a vítima, geralmente
por meio de um phishing. Um exemplo pode ser a criação de um arquivo PDF com ume exploit que será enviado via e-mail.
Essa fase é criada do lado do atacante, então as ferramentas de defesa não se aplicam a essa fase.
Ferramenta para Detecção – Não se aplica.
Ferramenta para Bloqueio - Não se aplica.
Ferramenta para Interrupção do ataque (Disruption) - Não se aplica.
Ferramenta para Atraso - Não se aplica.
Ferramenta para Enganar - Não se aplica.
Ferramenta para Contenção - Não se aplica.
Fase 3 – Delivery
No nosso cenário, na fase de delivery o grupo hacker irá
enviar um phishing para a vítima ou grupo de vítimas. Em
outro cenário, o grupo hacker poderia utilizar outras
técnicas para delivery, como um USB deixado perto da
vítima para fazer com que ela o insira diretamente no
laptop.
No exemplo anterior o phishing usa uma mensagem
fazendo-se passar pela Caixa Econômica Federal,
indicando que existe um valor na conta do usuário e
pedindo queele o valide por intermédio do extrato que
está no link. Ao clicar no link, a pessoa irá baixar um
arquivo malicioso para o computador.
Ferramenta para Detecção - Usuário. Treinamentos para o usuário reconhecer e reportar um phishing.
Ferramenta para Bloqueio – Ferramentas de Anti-spam, Ferramenta de Proxy.
Ferramenta para Interrupção do ataque (Disruption) – Ferramentas que realizam testes com arquivos em anexo ou
URLs em sandbox para detectar e bloquear arquivos suspeitos.
Ferramenta para Atraso – Não se aplica.
Ferramenta para Enganar – Não se aplica.
Ferramenta para Contenção – Não se aplica.
 FGTS (Fonte: 3 elos).
Fase 4 – Exploitation
No nosso cenário, na fase de exploitation o usuário abrirá o arquivo malicioso em anexo em sua máquina local. No caso
de um link, o arquivo deverá ser diretamente um binário executável. Em outros casos, ele irá se passar por um arquivo de
documento, como um PDF, Word, Excel, Powerpoint. Todos esses são conhecidos por conterem exploits para o Adobe
Reader ou Microsoft O�ce. Ambos softwares lançam várias correções (patches) por mês, e é necessário que estejam
sempre atualizados para evitar ataques que explorem suas vulnerabilidades.
Em outros casos, o grupo hacker pode utilizar exploits chamados 0day para explorar vulnerabilidades que ainda não são
conhecidas. Portanto, não existem correções disponíveis.
Atenção! Aqui existe uma videoaula, acesso pelo conteúdo online
Ferramenta para Detecção – Ferramenta de Antivírus.
Ferramenta para Bloqueio – Ferramentas de Host IPS (HIDS),
Ferramentas de aplicação de patches.
Ferramenta para Interrupção do ataque (Disruption) – Ferramentas de
EDR (Endpoint Detection & Response), Ferramentas de proteção de
memória (DEP, ASLR...).
Ferramenta para Atraso - Não se aplica.
Ferramenta para Enganar - Não se aplica.
Ferramenta para Contenção - Não se aplica.
Fase 5 – Installation
No nosso cenário, o arquivo malicioso foi executado com sucesso e irá realizar a instalação no sistema.
Dependendo do sistema operacional, o malware irá se instalar em um local em que possa passar despercebido pelo
usuário ou se passará como um software legítimo. Em sistemas Windows, os locais preferidos são em diretórios dentro
de C:Windows, C:Program Files , e AppData/AppDataRoaming, juntamente com uma modi�cação nas chaves de registro
para que o malware possa ser iniciado juntamente com o sistema operacional.
Ferramenta para Detecção – Ferramentas de EDR (Endpoint Detection
& Response).
Ferramenta para Bloqueio – Chroot jail, ferramentas que restrigem
acesso administrador no sistema.
Ferramenta para Interrupção do ataque (Disruption) – Ferramenrtas de
EDR, Ferramentas de antivírus.
Ferramenta para Atraso - Não se aplica.
Ferramenta para Enganar - Não se aplica.
Ferramenta para Contenção - Não se aplica.
Fase 6 - Command & Control
No nosso cenário, o arquivo foi executado e instalado no sistema. A próxima fase do malware é estabelecer contato com o
servidor remoto de Comando e Controle (C&C) para envio de informações e receber comandos para serem executados na
máquina da vítima. O malware irá estabelecer uma comunicação com sua central de comando, que, na maioria das vezes,
é um website programado para receber a comunicação do malware.
Um exemplo é o L0rdix [5] :
 L0rdix [5] (Fonte: Cafe com Redes).
Seu painel de controle é capaz de dar várias informações para o grupo hacker. Por exemplo, o número de máquinas que
estão infectadas com o malware, onde geogra�camente estão essas máquinas, além de possibilitar o envio de oito
comandos para o malware.
Ferramenta para Detecção – Ferramentas de análise de tráfego como
NIDS (Network Intrusion Detection System).
Ferramenta para Bloqueio – Ferramentas de Proxy, Ferramentas de
NIPS (Network Intrusion Prevention System).
Ferramenta para Interrupção do ataque (Disruption) – Ferramentas de
EDR, Ferramentas de antivírus.
Ferramenta para Atraso - Não se aplica.
Ferramenta para Enganar - Não se aplica.
Ferramenta para Contenção - Não se aplica.
Action on Targets
Seguindo o nosso cenário, na fase �nal do Cyber Kill Chain temos a fase em que o malware irá realizar as ações para as
quais ele foi programado ou recebeu os comandos para fazê-la, como busca por folders compartilhados, capturar
credenciais de acesso, busca por documentos, envio de dados, captura de tela e áudio. Na fase anterior mencionamos o
malware L0rdix. Esse malware é capaz de fornecer acesso remoto ao grupo hacker a partir da execução de vários
comandos:
Download and execute: para baixar e executar um executável.
Update: realizar sua atualização.
Open page (visible): abrir uma página em modo visível.
Open page (invisible) – abrir uma página em modo invisível.
Cmd: executar um commando.
Kill process: fechar/matar um processo.
Upload �le: realizar o upload de um arquivo.
HTTP Flood. realizar um ataque HTTP �ood.
Caso o grupo hacker não queira apenas executar comandos através do comando Cmd, pode pedir para o malware baixar e
executar um outro malware, cujo objetivo é simplesmente realizar scans na rede interna, ou se conectar a outros folders
compartilhados, etc...
Ferramenta para Detecção: ferramentas de EDR, ferramentas de
Deception/HoneyPots, ferramentas de NIDS (Network Intrusion
Detection System).
Ferramenta para Bloqueio: ferramentas de NIPS (Network Intrusion
Prevention System), Ferramentas de DLP (Data Loss Prevention).
Ferramenta para Interrupção do ataque (Disruption): Ferramenrtas de
EDR.
Ferramenta para Atraso: Não se aplica.
Ferramenta para Enganar: Ferramentas de Deception/Honeypots.
Ferramenta para Contenção: ACL/Regras de Firewall para Segregação
das Redes.
Atividades
1. O que é o Cyber Kill Chain?
a) Uma expressão para definir os pontos fracos de uma organização
b) São os estágios de um cyber attack em uma organização.
c) Uma forma de responder a incidentes de segurança.
d) Monitoração de ataques hackers.
e) Nenhuma das alternativas
2. Quando a empresa Lockheed Martin criou e publicou o modelo de Cyber Kill Chain, quais foram as sete fases de um cyber
attack citadas?
a) Reconnaissance, Delivery, Weaponization, Exploitation, Installation, Command & Control, Actions on Objectives.
b) Delivery, Weaponization, Exploitation, Installation, Reconnaissance, Command & Control, Actions on Objectives.
c) Reconnaissance, Delivery, Weaponization, Exploitation, Installation, Command & Control, Actions on Objectives.
d) Reconnaissance, Weaponization, Delivery, Exploitation, Installation, Command & Control, Actions on Objectives. .
e) Exploitation, Reconnaissance, Delivery, Weaponization, Installation, Command & Control, Actions on Objectives.
3. O que é o Curso de Ações para Cyber Kill Chain?
a) É a lista de ações a serem tomadas em caso de um ataque.
b) É o mapeamento de possíveis ferramentas para serem usadas em cada fase de um ataque, com diferentes objetivos.
c) É um playbook de como se responder a um incidente de segurança.
d) É uma série de ações para garantir a monitoração do ambiente.
e) Nenhuma das alternativas.
4. No estacionamento da empresa um funcionário achou um usb drive (pendrive) com adesivo escrito ‘Planilha de Salários’.
Chegando na sua mesa o funcionário inseriu o pendrive e viu que continha o arquivo “Planilha.xls” . Em qual fase do Cyber Kill
Chain esse cenário se enquadra?
a) Delivery.
b) Reconnaissance.
c) Exploitation.
d) Installation.
e) Nenhuma das anteriores.
5. Dentro de uma matrix do Curso de Ações, durante a fase 6 (Command & Control), uma ferramenta de Proxy entraria como
qual categoria de Ferramenta?
a) Ferramenta de Detecção.
b) Ferramenta de Interrupção de Ataques.
c) Ferramenta de Atraso.
d) Ferramenta para Enganar.
e) Nenhuma das anteriores.Referências
LOCKHEED, M. L. Cyber Kill - Chain Lockheed Martin. Disponível em: https://www.lockheedmartin.com/en-
us/capabilities/cyber/cyber-kill-chain.html <https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html> .
Acesso em: 14 nov. 2019.
 
LOCKHEED, M. L. Intelligence-DrivenComputer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion
Kill. Lockheed Martin.com. Disponível em: https://www.lockheedmartin.com/content/dam/lockheed-
martin/rms/documents/cyber/LM-White-Paper-Intel-Driven-Defense.pdf
<https://www.lockheedmartin.com/content/dam/lockheed-martin/rms/documents/cyber/LM-White-Paper-Intel-Driven-
Defense.pdf> . Acesso em: 14 nov. 2019.
 
SAEED. Most common registry key to check while dealing with Virus issue. Symantec Connect. Disponível em:
https://www.symantec.com/connect/articles/most-common-registry-key-check-while-dealing-virus-issue
<https://www.symantec.com/connect/articles/most-common-registry-key-check-while-dealing-virus-issue> . Acesso em: 14
nov. 2019.
Próxima aula
https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html
https://www.lockheedmartin.com/content/dam/lockheed-martin/rms/documents/cyber/LM-White-Paper-Intel-Driven-Defense.pdf
https://www.symantec.com/connect/articles/most-common-registry-key-check-while-dealing-virus-issue
Próxima aula
Modelo MITRE ATT&CK
Explore mais
Assista aos vídeos
What’s the Cyber Kill Chain
The Cyber Krill Chain in More Detail
javascript:void(0);
javascript:void(0);