É usada para descrever as várias etapas de um ataque cibernético no que diz respeito à segurança da rede. O modelo atual, a estrutura da Cyber Kill Chain, foi desenvolvido pela Lockheed Martin e é usado para identificação e prevenção de invasões cibernéticas.
Os passos reais em uma Kill Chain traçam os estágios típicos de um ataque cibernético desde o reconhecimento precoce até a conclusão em que o intruso consegue a invasão cibernética. Os analistas utilizam a cadeia para detectar e prevenir ameaças persistentes avançadas (APT).
- Reconnaissance/Reconhecimento - Exemplo: colheita de contas de e-mail
- Weaponization/Armação - Exemplo: acampar um exploit com uma porta traseira
- Delivery/Entrega - Exemplo: entrega do pacote por e-mail ou Web
- Exploitation/Explotação - Exemplo: explorar uma vulnerabilidade para executar o código
- Installation/Instalação - Exemplo: instalar malware no alvo
- Command and Control/Comando e controle - Exemplo: canal de comando para manipulação remota
- Actions on Objectives/Ações em Objetivos - Exemplo: Acesso para intruso para atingir o objetivo
Hunting:
Duas maneiras de começar a caça ...
Você sabe algo sobre a ameaça (outra inteligência)
Você sabe que há ameaças na sua rede
Dwell Time:
- O tempo de permanência geralmente é a parte mais longa de uma intrusão não detectada
- Muitas vezes até 180 dias
- Importante para reduzir o tempo de espera
- Command and Control (C2)
- Lateral Movement
- Data-exflitation
Intrusion Kill Chain:
- Reconnaissance
- Weaponization
- Delivery
- Exploitation
PCAP vs FLOW:
A visibilidade é segurança
- PCAP = profundidade de visibilidade
- FLOW = amplitude de visibilidade
Ambos são igualmente importantes.
A visibilidade do nível do pacote é impraticável em cada segmento de rede
A visibilidade baseada no fluxo utiliza a infra-estrutura de rede como probe
Tipos de Ameaças:
Malware
Malware é um termo guarda-chuva usado para se referir a uma variedade de formas de software hostil ou intrusivo, incluindo Ransom, Vírus, Worms, Cavalos de Tróia, Spyware, Adware, Scareware, etc.
O malware é tipicamente usado:
- Para roubar informações que podem ser facilmente monetizadas, como credenciais de login, cartões de crédito e números de conta bancária,
- Propriedade intelectual, como software de computador, algoritmos financeiros e segredos comerciais.
- Para resgatar dinheiro em Bitcoin, por exemplo, Wannacry Ransomware.
- Espiar os usuários de computador por um período prolongado sem o seu conhecimento, por exemplo, Reign Malware.
- Pode ser projetado para causar danos, muitas vezes como sabotagem, por exemplo, Stuxnet.
- Extorce o pagamento, por exemplo Cryptolocker.
Adware:
O Malware mais perigoso e lucrativo. O Adware exibe anúncios em seu computador.
Spyware:
Spyware é um software que espia em você, rastreando suas atividades na internet para enviar publicidade (Adware) de volta ao seu sistema
Vírus e Worms
Vírus, consiste em programas nocivos projetados para infectar programas de software legítimos. Uma vez que uma pessoa instala e executa o programa infectado, o vírus se ativa e se espalha para outros programas instalados no computador antes de tomar outras ações mal-intencionadas, como a exclusão de arquivos críticos dentro do sistema operacional. Da mesma forma, worms são programas autônomos que podem se transmitir diretamente em uma rede. Ao contrário de um vírus de computador, um worm não precisa se conectar a um programa existente. No entanto, tanto worms como vírus podem causar danos graves aos sistemas porque eles são capazes de explorar arquivos e bancos de dados compartilhados.
Whaling:
Whaling é um tipo específico de hacking malicioso dentro da categoria mais geral de phishing, que envolve a busca de dados que podem ser usados pelo hacker. Em geral, os esforços de phishing estão focados na coleta de dados pessoais sobre usuários. Na caça à baleia, os alvos são banqueiros de alto escalão, executivos ou outros em posições poderosas ou títulos de cargos
Pisshing:
O phishing é o ato fraudulento de adquirir informações confidenciais e confidenciais, como números de cartão de crédito, identificação pessoal e nomes de usuários e senhas de conta. Usando um conjunto complexo de técnicas de engenharia social e experiência em programação de computadores, os sites de phishing atraem destinatários de e-mail e usuários da Web para acreditar que um site falsificado é legítimo e genuíno. Na realidade, a vítima de phishing mais tarde descobre sua identidade pessoal e outras informações vitais foram roubadas e exposta.
Spear Pishing:
Spear phishing é uma variação no phishing em que os hackers enviam e-mails para grupos de pessoas com características comuns específicas ou outros identificadores. Os e-mails de phishing de Spear parecem vir de uma fonte confiável, mas são projetados para ajudar os hackers a obter segredos comerciais ou outras informações classificadas.
Spam:
Spam refere-se ao uso de sistemas de mensagens eletrônicas para enviar mensagens não solicitadas ou indesejadas em massa.
A dificuldade em interromper o spam é que a economia é tão atraente. Enquanto a maioria concordaria que o envio de spam não é ético, o custo de entregar uma mensagem via spam é próximo a nada. Se mesmo uma pequena porcentagem de alvos responder, uma campanha de spam pode ser bem sucedida economicamente.
Spamware:
O Spamware é um utilitário de software projetado especificamente por spammers para spam. O Spamware permite que um usuário pesquise, classifique e compile uma lista de endereços de e-mail e forneça uma solução automática de transmissão de e-mail. Isso pode ser usado para enviar spam ou e-mails não solicitados para destinatários desavisados.
Nem todo o software que envia e-mails em massa é spam, pois o software de servidor de listas de e-mail pode ser usado para fins legítimos, em vez de spam.
RootKit:
Um rootkit é um software usado por um hacker para obter acesso constante ao nível do administrador para um computador ou rede. Um rootkit é tipicialmente instalado através de uma senha roubada ou explorando vulnerabilidades do sistema sem o consentimento ou o conhecimento da vítima.
Os Rootkits visam principalmente aplicativos de modo de usuário, mas também se concentram no hypervisor de um computador, no kernel ou mesmo no firmware. Os Rootkits podem desativar ou destruir completamente o software anti-malware instalado em um computador infectado, tornando difícil o acompanhamento e eliminação de um ataque de rootkit. Quando bem feito, a intrusão pode ser cuidadosamente escondida para que mesmo os administradores do sistema não tenham conhecimento disso.
RAT:
Remote Access Tool é um software usado para acessar ou controlar remotamente um computador. Esta ferramenta pode ser usada legitimamente pelos administradores do sistema para acessar os computadores clientes. As ferramentas de Acesso Remoto, quando usadas para fins mal-intencionados, são conhecidas como Trojan de acesso remoto (RAT). Eles podem ser usados por um usuário mal-intencionado para controlar o sistema sem o conhecimento da vítima. A maioria dos RATs populares são capazes de realizar log de chaves, capturas de tela e câmeras, acesso a arquivos, execução de código, gerenciamento de registro, sniffing de senhas etc.
O RAT também pode ser chamado de sinônimo de backdoor, que inclui um programa de cliente e servidor. O servidor ou o programa stub, se instalado no sistema comprometido sem saber o proprietário desse sistema, então ele é chamado de Trojan de Acesso Remoto.
DOS:
Didital Attack Map:
http://www.digitalattackmap.com/#anim=1&color=0&country=ALL&list=0&time=17430&view=map
O ataque de negação de serviço (DOS) é uma tentativa de tornar a máquina ou o recurso de rede indisponíveis para seus usuários. Trata-se basicamente de métodos para interromper ou suspender temporariamente ou indefinidamente serviços de um host conectado à Internet, e esses ataques são enviados por uma pessoa ou por um sistema.
Um método comum de ataque envolve saturar a máquina alvo com solicitações externas em uma quantidade enorme, de modo que não pode responder ao tráfego válido, ou responde tão devagar que o usuário acredita que está essencialmente indisponível. Esses ataques geralmente levam a uma sobrecarga do servidor. Basicamente, os ataques do DOS são implementados forçando o (s) sistema (s) visado (s) a redefinir ou ao consumir seus recursos para que ele não possa mais fornecer seu serviço pretendido ou obstruindo a mídia de comunicação entre o usuário pretendido e a vítima para que eles possam Já não se comunica corretamente. Além disso, os ataques do DOS podem levar a problemas nos "branches" da rede em torno do computador atual que está sendo atacado.
Backdoors
Os ataques de backdoor são realizados usando métodos semelhantes aos ataques de botnet / C2 em suas táticas de infecção, muitas vezes usando ataques de aguarela e outros métodos para comprometer sistemas e são usados para proteger o acesso remoto não autorizado a um computador ou obter acesso a texto simples em sistemas criptográficos. O tipo de ataque ignora a autenticação normal em um produto, explorando uma vulnerabilidade ou alavancando um programa de backdoor previamente instalado. Em muitos casos, os programas com vulnerabilidades de segurança não corrigidas, como o sistema de gerenciamento de conteúdo de um site, podem se tornar o vetor de ataques de backdoor.
Botnets
Botnets / bots funcionam de forma semelhante ao spyware em relatórios de volta. A diferença é que o malware que transforma um computador em um bot não costuma coletar informações como o uso de spyware. Em vez disso, ele fica esperando até receber comandos de um servidor de comando e controle (C2) controlado pelo atacante. Os invasores normalmente exploram vulnerabilidades de segurança para infectar dezenas de milhares de computadores ou outros dispositivos para transformá-los em bots. Quando o servidor emite comandos para toda a botnet, cada bot envia simultaneamente solicitações de rede para um host alvo, esmagando-o com o tráfego. Isso também é conhecido como um DDoS ou um ataque distribuído de negação de serviço.
Trojans
Cavalos de tróia são um tipo comum de malware. Outro tipo comum de malware é um cavalo de Tróia. Semelhante ao mito grego, os trojans se apresentam como presentes inofensivos e úteis para persuadir as vítimas a instalá-las em seus computadores. Enquanto os troianos geralmente parecem ser um software regular, eles geralmente são empacotados com outros softwares que podem introduzir portas traseiras permitindo o acesso não autorizado ao seu computador. Os trojans não tentam injetar-se em outros arquivos ou aplicativos como os vírus informáticos; Em vez disso, eles usam táticas, como downloads de drive-by ou instalando através de jogos online para alcançar seus objetivos.
Ransomware
Se você vir esta tela que avisa que você foi bloqueado fora do seu computador até pagar seus cibercrimas. Seu sistema está gravemente infectado com uma forma de Malware chamada Ransomware. Mesmo que você pague para desbloquear o sistema, o sistema está desbloqueado, mas você não está livre bloqueando você novamente
Browser Hijacker
quando sua página inicial muda para uma que se pareça com as imagens inseridas em seguida, você pode ter sido infectado com uma forma ou outra de um Hijacker do navegador. Este perigoso Malware irá redirecionar sua atividade de pesquisa normal e dar-lhe os resultados que os desenvolvedores desejam que você veja. Sua intenção é ganhar dinheiro com sua navegação na web. Usando esta página inicial e não removendo o Malware, os desenvolvedores de fontes capturam seus interesses de navegação.
Get Floods
A força bruta usa a capacidade de processamento do servidor - normalmente feita usando uma Botnet
Ex: Siege
Slow GET
Cria sessões TCP que nunca fecham e mantêm os recursos do servidor (espaço de tabela TCP, tabela de processo, memória)
Ex: Slowloris
Slow POST
Semelhante ao GET lento, focado em páginas que possuem formulários a serem concluídos (não podem ser armazenados em cache por CDNs)
Ex: RUDY
Motivadores de Ataques:
Distribuição dos Alvos:
Tipos de ataques para servidores WEB:
Get Floods
A força bruta usa a capacidade de processamento do servidor - normalmente feita usando uma Botnet
Ex: Siege
Slow GET
Cria sessões TCP que nunca fecham e mantêm os recursos do servidor (espaço de tabela TCP, tabela de processo, memória)
Ex: Slowloris
- Ferramenta de ataque HTTP DDoS
- Permite que uma única máquina retire um servidor web afetando a largura de banda em serviços e portas não relacionados
- Projetado para manter aberto o maior número possível de conexões para o servidor HTTP
- Explota falhas de design no protocolo HTTP
- Cada processo slowloris abre várias conexões para o servidor web de destino e envia uma solicitação parcial: uma que não termina com uma linha "/ n"Isso diz ao servidor da Web para segurar: o restante do pedido de obtenção está a caminho ...Periodicamente, cada processo slowloris enviará cabeçalhos HTTP subseqüentes, mas nunca completará o pedido
- Os servidores afetados manterão essas conexões abertas, preenchendo seu pool de conexão simultânea máximo, eventualmente negando tentativas de conexão adicionais de cliente
- Slowloris tem alto impacto e uso de banda baixa relativamente baixa
Slow POST
Semelhante ao GET lento, focado em páginas que possuem formulários a serem concluídos (não podem ser armazenados em cache por CDNs)
Ex: RUDY
Motivadores de Ataques:
Vetores de Ataque:
