Cyber Kill Chain Framework

Bom, quem é velho de guerra aqui no canal sabe que há muito tempo atrás, lá para o volta de 2020, eu falava que o Pentest tinha que ser quase que contínuo. Não é? Bom, um plano de gerenciamento de vulnerabilidades precisaria. E tem um framework interessante. Bom, qual a ideia desse framework é o seguinte? Vocês vão entender o porquê o Pentest continua. Imagine que eu posso, naturalmente, achar uma brecha no sistema, uma vulnerabilidade, e ir lá confirmar se alguém já explorou ela. Se alguém já explorou ela, então, por exemplo, ele já está mais para frente, ou seja, ele já ganhou acesso e provavelmente já está criando mais acesso, ou seja, mais vulnerabilidade. Então, nós tivemos lá os passos que os hackers utilizam, que nós sabemos que eles utilizam e nós também podemos trabalhar em cima disso. E então, uma grande empresa na área da aviação e militar bolou um framework de sete passos para identificar se esses elementos estão naquele ponto. Ou seja, se o hacker está, por exemplo, já ganhou acesso, não, ele ainda não ganhou acesso, mas ele vai ganhar acesso. Então, é possível trabalhar antes. Para isso, precisamos de Pentest, quase que automatizados, porque não dá para a gente fazer isso o tempo inteiro. Bom, você pode utilizar a seguinte ideia, localizei um artefato, localizei um evento e então eu quero investigar fazendo um Pentest. Como que chegou até ali, por exemplo? Imagine que você localize uma pancada de degra na rede. Bom, pode ser duas coisas. Na verdade, pode ser uma das duas coisas. Primeira coisa, uma gente interna, um malicioso, fazendo um porte scan, pode ser um ORMY. Pode ser um ORMY também. Bom, legal. E se eu estar, então, naturalmente, um trabalho em cima de um Pentest de engenharia social para descobrir se tem agentes maliciosos, enquanto outro grupo faz um Pentest na rede. Detalhe, o ORMY não significa que o ambiente está comprometido. Pode ser que esse ORMY está na infraestrutura, mas ele não está persistente. Pode ser que ele esteja tentando fazer uma movimentação lateral e deixar um payload malicioso. Pode acontecer. Um celular na rede, um wi-fi ligado ao cabeamento, isso não é mal. Isso não é mal. Então, legal. Então, a ideia é... Eu preciso ter uma mentalidade criativa e estratégica. Acabou a criatividade no mundo Rack. É o mundo do roteirinho. Inclusive, o framework é um roteirinho. Ele reclama que falta criatividade, mas ele me traz um framework, todo framework é um roteirinho. Mas é importante, sim, o roteirinho e você customiza o roteirinho. Aí vem a sua criatividade. Aí eu concordaria com o autor. Uma estrutura de sete etapas foi criada, então, pela Lockheed Martin. Acho que é uma empresa de aviões militares. Esses caras são atacadas e arrudam. Para nós, o dia tem 24 horas. Para o Pentester, para a equipe de segurança, o dia tem 36 horas. Que, naturalmente, descreve ali. Sete passos em que você pode encontrar alguma informação que seja como eu posso dizer, um revelador com relação a que ponto Rack está. Revelador, chá revelação do mundo Rack. Legal, por exemplo, você quer ver uma coisa idiota? De repente, três funcionários levantam a mão e falam, olha, mandar um e-mail estranho para mim. Bom, o Fishing. Então, com certeza, os caras estão ali num reconhecimento. Ah, eu não reporto Fishing lá na minha empresa. Aí, ou seja, eu sou idiota. Eu tenho que reportar. Porque se essa empresa quebrar, é o meu salário que vai para o saco. Pensa assim. Então, cara, sempre que você tiver um Fishing na sua infraestrutura, você tem que levantar a mão e falar, olha, eu acho que eu recebi um Fishing. No Clica, não. No Valida, não. A equipe de segurança vai saber como trabalhar isso. Ou seja, eu pegaria os hackers ainda na parte de reconhecimento. Ah, pegou a jogada? Vamos lá, num âmbito então da Blue Team, os engenheiros de segurança precisam garantir que os sistemas estejam bem protegidos, monitorados, e ferramentas, né? Ferramenta de análise de log, ferramenta de análise de eventos de rede, tudo isso. Se uma ameaça for detectada na hora a Blue Team, então ela precisa mitigar isso. Ela pode startar a mitigação, já pode startar um grupo de, a partir daqui, quero fazer um pen-test. Ou seja, o pen-test da rede urgente, no caso do Degram. Vamos lá. Então vamos, conforme já exemplificado, a questão de vários funcionários recebendo ali, como posso dizer, Fishing. Bom, nessa fase, então, concentra-se na coleta de informações de inteligência sobre o Alvo. Então, naturalmente, nós somos o Alvo. Pode vir, então Fishing, mensagens, pode vir, por exemplo, Help Desk, chamados de Help Desk, uma solicitação de apresentação do seu produto para o cliente. Que cliente é esse? Pode ser, como eu posso dizer, alguém tentando olhar, mapear seus produtos. Pensa, pode ser isso. E isso pode nos trazer a ideia de que o Hacker está na primeira etapa, ou seja, já temos que preparar, então, um pen-test, como se fosse o Hacker. Eu recomendaria, então, um teste de caixa preta, um pen-test de caixa preta, para nos mostrar como ele nos veria. Legal, digamos que, então, descobrimos que tem gente fazendo ou projetando algum payload. Você quer dizer que o cara já passou por aqui? Ele já viu o Hacker, já entendeu como nós somos. E aí, ou seja, utilizando informações coletadas, eles, naturalmente, bolam uma ameaça e apimoram essa ameaça, essa arma. E essa ameaça vem por meio de um exploit contra nós. É um payload que é liberado contra nós. Digamos que nós conseguimos pegar um payload. Esse payload ele não conseguiu executar, mas nós pegamos um payload. Por exemplo, pegamos um payload na área de upload. De um site, pegamos um payload num chat, mas não chegou a ser executado. Mas nós sabemos que ele foi armado para nós. Então, o pen-test pode abrir esse payload, analisar esse payload na verdade, equipa de segurança e projetar um pen-test para aquilo que esse payload foi implementado. Então, nós temos a entrega, pode ser feita. Aí é a criatividade, aí é, por exemplo, usar um click fix, ou usar até mesmo um phishing, ou conseguir enviar alguma coisa para nós através de um download, não sei, cara, chegou até nós. Por exemplo, pode ser um WhatsApp com um download automático para a máquina do Alvo. Olha que tristeza. E aí você tem a exploração, o exploit. E aí ele executa. Se você chegou nesse ponto, então, as ferramentas começaram a gritar e isolaram o exploit. Isolar o exploit. Você pega o exploit, analisa o exploit, faz uma forense no exploit, e você começa, então, a entender, poxa, por onde esse hacker passou? Que que ele tentou localizar de informações sobre você? Do que ele conseguiu de informações? Do que ele filtrou para fazer algo contra você? Como que ele conseguiu entregar para você? E aqui está você. Você está com payload malicioso e ele está apontando para algumas coisas. Naturalmente, você vai acionar pen-test para verificar se aquilo que ele vai atacar é naturalmente algo assim viável, dele conseguir. Bom, precisa garantir que seja testada adequadamente para, e aí o hacker tem um problema. Sempre que o hacker testa hoje nos sistemas operacionais, ele acaba deixando um artefato para o Microsoft, para as ferramentas de antivírus. Então tem que ser fechado o ambiente. Desvolver maures é uma técnica e eu vou ensinar para vocês. Isso aí é uma técnica complicada, bicho. Até para testar é um inferno. Bom, depois que você tem a instalação, ou seja, o payload conseguiu, digamos que o cara conseguiu achar informações sobre você, você não foi capaz de perceber que ele estava procurando informações sobre você. Digamos que ele achou vulnerabilidade, ele criou exploits, você não foi capaz de pegar, ele entregou, conseguiu explorar e ele se instalou. Ele está na sua máquina, mas ele não apagou os rastros ainda, por exemplo. Então, chegou nesse ponto e nós conseguimos capturar a instalação, ele persistiu, criou backdoors e aí está agora um pouco mais difícil. Nós temos que analisar e fazer forense de todos os backdoors, tudo o que ele fez, todo o comprometimento que ele colocou extra na sua máquina. E aí, cara, os caras vão instalar uma pancada de coisa, vai ter um toolkit, eles vão baixar para lá. Meu amigo, seu sistema operacional já era. Mas você pode, naturalmente, isolar esse sistema operacional, não desligar ele, isolar e já iniciar um processo de investigação. Infelizmente, tem que isolar, cara. Infelizmente, por que eu falo infelizmente? Todo hacker, expert sabe que se cair a conexão é para o malware sair da memória. Entendeu? Só que se eu deixar ele na minha infraestrutura, pode ser que ele esteja, como eu posso dizer, alcançando objetivos maiores. Isso aqui é difícil pensar em qual dos dois é pior. Mantei enquanto eu faço análise, dois. Ou, naturalmente, a segunda opção que seria, isolar ele e aí ele sair de execução. Se foi feito por um bom hacker, ele vai sair de execução. Já vou dizer para você. Esses caras vão tentar entrar em contato com o conservador de comando e controle. E isso é difícil. Os caras, por exemplo, têm um grupo hacker chinês, esqueci o código dele, é um pandas desses, são vários. Os caras criaram sites 10 anos atrás para usar como ponte hoje. Porque em muitas redes corporativas, existe uma regra que se o site foi criado recentemente, ele é bloqueado. Bom, legal. Olha o nível dos caras. Em 10 anos antes os caras já estavam criando domínios, para usar 10 anos depois e mantendo o pagamento desses domínios. Como que você para isso? Tudo criptografado, como HTTP, em vez de ser uma enxurrada. Tem tempos aleatórios de envio, nada de enxurrada. Cabates, cabates para lá, cabates para cá, cabates para lá, cabates para cá, com tempos diferentes, com tempos humanos, de seres humanos. Tune o elemento, tune o elemento SSH, VPN, você não pega praticamente. Desativa, por favor, você desativa, por favor, a da sua rede. O Telegram, o WhatsApp Web e o Discord, que são muito utilizados ali hoje para fazer serviço de comando e controle, e filtração de dados. Triste, triste mas é verdade. Então, legal, se você detectou isso aqui na rede, é natural que você já está com um grande problema. Os hackers já estão dentro, já estão fixados, achar eles agora é difícil, achar toda a cadeia de comprometimento é difícil. Leve em consideração que eu falei que instalação sobre o ambiente. Se chegou aqui, significa que o hacker alcançou seus objetivos. O que você pode fazer? Praticamente nada contra o hacker. Nada para parar o hacker porque ele já teve seus objetivos alcançados. O que você pode tirar daí? O que? O aprendizado, a evolução, entender onde foi que você errou, fazer os passos anteriores e achar onde foi que eu errei, o que que eu não encontrei, o que que eu não vi e trabalhar melhor seus pentéssios, pelo amor de Deus. Trabalhar pentéssios quase que continuam na infraestrutura, em gerenção social, nos websites, nas aplicações móveis, se você tem. Bom, é cara, próxima aula é prática. Terminou o primeiro capítulo do livro que é teórico, vamos para a prática. Lembrando que qualquer questão você tem que entrar em contato comigo, cursohacky.com.br, eu estou lá no Telegram, estou no X, lá no cursohacky.com.br você encontra meus contatos, tá? Quem sou eu, eu sou não importa. Web e eu fui possuído por calicar. Ela possuiu meu coropítio, meu amigo. A deusa do conhecimento libertador. Uma pena que esse conhecimento libertador, ele vem a partir da morte. Ai caramba doeu! Usei aqui um template do slide, Carnival, porra, muito bom. Eu só mudei as imagens, tá galera? Só mudei as imagens em a cor. Só mudei as imagens em a cor bieixo. Vai lá abaixo e eu mudei as cores, faço sim. E, é, retamos aí. Precisa cara, estou aí, cursohacky.com.br, próximo é prático. Até mais, tchau.