Etapas da cadeia de morte cibernética

Cadeia de morte cibernética

A cadeia de eliminação cibernética (CKC) é um modelo de segurança tradicional que descreve um cenário da velha escola, um invasor externo tomando medidas para penetrar em uma rede e roubar seus dados, decompondo as etapas de ataque para ajudar as organizações a se preparar. CKC é desenvolvido por uma equipe conhecida como equipe de resposta de segurança de computador. A cadeia de destruição cibernética descreve um ataque de um invasor externo tentando obter acesso aos dados dentro do perímetro da segurança

Cada estágio da cadeia de destruição cibernética mostra um objetivo específico junto com o do atacante. Projetar seu plano de vigilância e resposta da cadeia de destruição do Cyber ​​Model é um método eficaz, pois se concentra em como os ataques acontecem. As etapas incluem:

• Reconhecimento
• Armamento
• Entrega
• Exploração
• Instalação
• Comando e controle
• Ações sobre os objetivos

As etapas da cadeia de morte cibernética serão agora descritas:

Etapa 1: Reconhecimento

Inclui a coleta de endereços de e-mail, informações sobre a conferência, etc. Ataque de reconhecimento significa que é um esforço de ameaças para coletar dados sobre sistemas de rede tanto quanto possível antes de iniciar outros tipos de ataques hostis mais genuínos. Os atacantes de reconhecimento são de dois tipos, reconhecimento passivo e reconhecimento ativo. O invasor de reconhecimento se concentra em “quem” ou rede: quem provavelmente se concentrará nas pessoas privilegiadas para acesso ao sistema ou acesso a dados confidenciais de “rede” com foco na arquitetura e no layout; ferramenta, equipamento e os protocolos; e a infraestrutura crítica. Entenda o comportamento da vítima e arrombe uma casa para a vítima.

Etapa 2: Armamento

Fornece carga útil acoplando exploits com uma porta dos fundos.

Em seguida, os invasores usarão técnicas sofisticadas para reprojetar alguns malwares essenciais que atendam a seus propósitos. O malware pode explorar vulnerabilidades anteriormente desconhecidas, também conhecidas como exploits de “dia zero”, ou alguma combinação de vulnerabilidades para derrotar silenciosamente as defesas de uma rede, dependendo das necessidades e habilidades do invasor. Ao fazer a reengenharia do malware, os invasores reduzem as chances de que as soluções de segurança tradicionais o detectem. “Os hackers usaram milhares de dispositivos da Internet que foram infectados anteriormente com um código malicioso - conhecido como“ botnet ”ou, brincando, um“ exército de zumbis ”- forçando uma negação distribuída de serviço Angriff (DDoS) particularmente poderosa.

Etapa 3: entrega

O invasor envia a carga maliciosa da vítima usando e-mail, que é apenas um dos muitos que o invasor pode empregar métodos de intrusão. Existem mais de 100 métodos de entrega possíveis.

Alvo:
Os invasores iniciam a intrusão (armas desenvolvidas na etapa 2 anterior). Os dois métodos básicos são:

• Entrega controlada, que representa entrega direta, hackeando uma porta aberta.
• A entrega é liberada para o oponente, que transmite o malware ao alvo por meio de phishing.

Este estágio mostra a primeira e mais significativa oportunidade para os defensores obstruírem uma operação; no entanto, alguns recursos-chave e outras informações de dados altamente valiosos são derrotados com isso. Nesta etapa, medimos a viabilidade das tentativas de intrusão fracionada, que são dificultadas no ponto de transporte.

Etapa 4: Exploração

Depois que os invasores identificam uma mudança em seu sistema, eles exploram a fraqueza e executam o ataque. Durante o estágio de exploração do ataque, o invasor e a máquina host estão comprometidos. O mecanismo de entrega normalmente tomará uma de duas medidas:

• Instale o Malware (um dropper), que permite a execução do comando do atacante.
• Instale e baixe malware (um downloader)

Nos últimos anos, isso se tornou uma área de especialização dentro da comunidade de hackers, frequentemente demonstrada em eventos como Blackhat, Defcon e outros.

Etapa 5: Instalação

Nesta fase, a instalação de um trojan ou backdoor de acesso remoto no sistema da vítima permite que o contendor mantenha a perseverança no ambiente. A instalação de malware no ativo requer o envolvimento do usuário final, habilitando involuntariamente o código malicioso. A ação pode ser vista como crítica neste ponto. Uma técnica para fazer isso seria implementar um sistema de prevenção de intrusão baseado em host (HIPS) para alertar ou colocar uma barreira para caminhos comuns, por exemplo. Trabalho NSA, RECYCLER. Entender se o malware requer privilégios do administrador ou apenas do usuário para executar o alvo é fundamental. Os defensores devem compreender o processo de auditoria de endpoint para descobrir criações anormais de arquivos. Eles precisam saber como compilar o tempo do malware para determinar se ele é antigo ou novo.

Etapa 6: Comando e controle

Ransomware usa conexões para controlar. Baixe as chaves de criptografia antes de apreender os arquivos. O acesso remoto de Trojans, por exemplo, abre um comando e controla a conexão para que você possa acessar os dados do sistema remotamente. Isso permite conectividade contínua para o meio ambiente e a atividade de medição de detetive na defesa.

Como funciona?

O plano de comando e controle é geralmente executado por meio de um farol fora da grade sobre o caminho permitido. Os beacons assumem muitas formas, mas tendem a ser na maioria dos casos:

HTTP ou HTTPS

Parece tráfego benigno por meio de cabeçalhos HTTP falsificados

Nos casos em que a comunicação é criptografada, os beacons tendem a usar certificados assinados automaticamente ou criptografia personalizada.

Etapa 7: Ações com base nos objetivos

Ação refere-se à maneira pela qual o atacante atinge seu alvo final. O objetivo final do invasor pode ser qualquer coisa para extrair um resgate de você para descriptografar arquivos para as informações do cliente da rede. No conteúdo, o último exemplo poderia interromper a exfiltração de soluções de prevenção contra perda de dados antes que os dados deixem sua rede. Caso contrário, os ataques podem ser usados ​​para identificar atividades que se desviam das linhas de base definidas e notificar a TI de que algo está errado. Este é um processo de assalto complexo e dinâmico que pode ocorrer em meses e centenas de pequenos passos para cumprir. Uma vez que esta fase é identificada dentro de um ambiente, é necessário iniciar a implementação dos planos de reação preparados. No mínimo, um plano de comunicação inclusivo deve ser planejado, o que envolve a evidência detalhada de informações que devem ser levantadas para o oficial de mais alto escalão ou conselho administrativo, a implantação de dispositivos de segurança de endpoint para bloquear a perda de informações e a preparação para informar um grupo CIRT. Ter esses recursos bem estabelecidos com antecedência é uma “OBRIGAÇÃO” no cenário de ameaças de segurança cibernética em rápida evolução de hoje.