Cada ataque segue um roteiro. A diferença está em quem o entende primeiro: o invasor ou sua equipe de segurança.
À medida que novas tecnologias surgem a cada dia, junto delas surgem também novas ameaças, e é, nessa linha, levando em conta a evolução dos ataques cibernéticos, onde empresas e equipes de segurança buscam conhecimento em novas metodologias, capazes de mapear o ciclo de vida de uma ameaça digital.
Em seu relatório de segurança anual, o Cybersecurity Threat Trends Report, a CISCO, ressalta que atacantes modernos se beneficiam de uma economia clandestina madura, onde é possível adquirir “credenciais roubadas, acesso corporativo, exploits e até ferramentas baseadas em IA”, o que aumenta a eficácia de campanhas maliciosas em múltiplas fases.
Outras gigantes da tecnologia e cybersegurança, a Crowdstrike e a Fortinet, citam em seus relatórios anuais a importância de as equipes de segurança da informação terem a oportunidade de prevenir, detectar ou interceptar os atacantes, antes de atingirem seus objetivos. Por exemplo, a capacidade de detectar e interromper um ransomware antes dele interromper operações.
Uma tática comum utilizada por essas gigantes da cybersegurança é a Cyber Kill Chain. Mas o que é a Cyber Kill Chain?
A Cyber Kill Chain é uma cadeia de destruição cibernética adaptada da cadeia de destruição militar, a qual consiste em uma abordagem passo a passo que irá identificar e interromper a atividade inimiga.
Criada pela Lockheed Martin, empresa que possui atualmente como seu maior cliente o Departamento de Defesa dos Estados Unidos, ela descreve, em sete etapas, como um ataque se desenvolve desde o reconhecimento inicial até o alcance dos objetivos do invasor, bem como os pontos em que a equipe de segurança da informação deverá atuar para prevenir, detectar ou interceptar invasores.
Compreendendo cada fase da Cyber Kill, os Security Operations Centers (SOCs) podem adotar medidas preventivas e de resposta, reduzindo significativamente o impacto de incidentes.
1. Reconhecimento
O invasor coleta informações sobre o alvo (como credenciais, e-mails, software usado, etc.) para planejar o ataque.
Exemplos de táticas do atacante:
- Varredura de portas e serviços ativos na rede da vítima.
- Pesquisa em redes sociais para engenharia social.
- Coleta de endereços de e-mail corporativos.
- Análise de vulnerabilidades conhecidas em sites e servidores.
Respostas do SOC:
- Monitorar tráfego de rede em busca de varreduras suspeitas.
- Treinar funcionários contra engenharia social.
- Implementar sistemas de Threat Intelligence.
- Reduzir a exposição de informações sensíveis em sites públicos.
2. Armamento
Criação do vetor de ataque (malware, vírus, ransomware, etc.) e preparação de backdoors para manter o acesso.
Exemplos de táticas do atacante:
- Criação de documentos do Word com macros maliciosas.
- Preparação de exploits customizados.
- Geração de PDFs ou planilhas com código embutido.
- Configuração de kits de exploração prontos para uso.
Respostas do SOC:
- Utilizar sandbox para analisar arquivos suspeitos.
- Empregar soluções de EDR (Endpoint Detection and Response).
- Manter assinaturas antivírus sempre atualizadas.
- Avaliar anexos e links com ferramentas de reputação.
3. Entrega
Envio do vetor de ataque ao alvo, geralmente por e-mail, links maliciosos ou outros métodos, podendo usar engenharia social.
Exemplos de táticas do atacante:
- Envio de phishing com anexos infectados.
- Compartilhamento de links maliciosos em e-mails ou mensagens instantâneas.
- Uso de dispositivos USB contaminados.
- Exploração de sites comprometidos (drive-by download).
Respostas do SOC:
- Implementar filtros de e-mail para bloquear anexos perigosos.
- Monitorar e bloquear URLs maliciosas em tempo real.
- Restringir uso de mídias removíveis.
- Analisar tráfego web para identificar comportamentos suspeitos.
4. Exploração
O código malicioso é ativado no sistema da vítima, explorando vulnerabilidades
Exemplos de táticas do atacante:
- Exploração de falhas em softwares desatualizados.
- Uso de macros habilitadas em documentos.
- Ataques a sistemas com más configurações de permissões.
- Exploração de falhas em navegadores ou plug-ins.
Respostas do SOC:
- Realizar gestão rigorosa de patches de segurança.
- Detectar execuções de código não autorizado.
- Implementar autenticação multifator para reduzir acessos indevidos.
- Configurar alertas para comportamento anômalo de processos.
5. Instalação
O malware é instalado no sistema, permitindo o controle do invasor.
Exemplos de táticas do atacante:
- Instalação de backdoors para acesso contínuo.
- Implantação de trojans para controle remoto.
- Uso de rootkits para ocultar presença.
- Criação de novas contas de administrador no sistema.
Respostas do SOC:
- Monitorar criação de processos e arquivos suspeitos.
- Implementar whitelisting de aplicações.
- Utilizar EDR para identificar persistência anômala.
- Isolar endpoints comprometidos para investigação.
6. Comando e Controle
O invasor assume controle remoto do sistema infectado e pode se movimentar pela rede.
Exemplos de táticas do atacante:
- Comunicação com servidores C2 por HTTP/HTTPS.
- Uso de protocolos legítimos (DNS, FTP) para camuflagem.
- Padrões de beaconing em intervalos regulares.
- Uso de redes anônimas (Tor) para ocultar origem.
Respostas do SOC:
- Monitorar logs de DNS e conexões externas.
- Bloquear domínios e IPs maliciosos conhecidos.
- Detectar comportamentos de beaconing na rede.
- Empregar sistemas de IDS/IPS para interceptação.
7. Ações sobre o Objetivo
O invasor realiza seu objetivo final, como roubo de dados, sequestro, destruição ou espionagem.
Exemplos de táticas do atacante:
- Exfiltração de dados sensíveis.
- Criptografia de sistemas via ransomware.
- Sabotagem de serviços críticos.
- Uso de sistemas comprometidos para novos ataques (lateral movement).
Respostas do SOC:
- Acionar plano de resposta a incidentes.
- Restaurar sistemas com backups confiáveis.
- Isolar máquinas afetadas para conter o ataque.
- Conduzir investigação forense para identificar origem e impacto.
Atualmente alguns especialistas em segurança da informação estão incluindo uma 8ª etapa, a Monetização. Nesta fase, o cibercriminoso se concentra principalmente, em obter lucro financeiro com o ataque, seja por meio de resgate ou venda de informações confidenciais, especialmente na dark web.
Cyber kill chain: a chave para entender um ciberataque
A Cyber Kill Chain oferece um mapa detalhado do ciclo de vida de um ataque cibernético, permitindo que os SOCs ajam em diversos pontos para reduzir a superfície de ataque e mitigar riscos. Quanto mais cedo um ataque for detectado — de preferência ainda no reconhecimento ou na entrega — menor será o impacto para a organização.
Combinando frameworks como a Kill Chain a práticas modernas de monitoramento, inteligência de ameaças e resposta a incidentes, empresas conseguem fortalecer sua resiliência cibernética. Em um cenário de ameaças cada vez mais sofisticadas, a abordagem proativa não é apenas recomendada, mas vital para a sobrevivência digital das organizações, bem como o constante investimento na área de segurança da informação, a qual deve, cada dia mais, ser colocada entre as prioridades do departamento de tecnologia de sua empresa.
—
Por Renato Mirabili Junior, consultor de cibersegurança da Protiviti Brasil.
