É um modelo desenvolvido por Lockheed Martin para identificar e impedir
ataques cibernéticos. Foi criado com objectivo de apresentar de forma dividida
a sequência de eventos (etapas distintas) que ocorrem durante um ataque
cibernético, fornecendo uma abordagem estruturada para compreender o ciclo de
vida de um ataque. Organizações e técnicos envolvidos analisam estas etapas
para poderem desenvolver estratégias para interromper o ataque em vários
pontos, aumentando assim suas capacidades defensivas. Neste artigo vamos de
forma breve descrever cada uma destas etapas e também tomemos em conta que por
questões técnicas preferimos manter os termos usados na língua original.
Reconnaissance
É
a fase inicial em que o hacker (invasor) recolhe informações sobre o alvo.
Pode incluir verificação de vulnerabilidades, pesquisa da infraestrutura da
organização e a identificação de possíveis pontos de entrada. As técnicas
utilizadas nesta fase incluem engenharia social, análise da rede e outros.Weaponization
Que
traduzido para português pode ser entendido como "militarizar", é nesta fase
na qual se cria uma ferramenta para ataque, combinando malware com um exploit
(componente ou código malicioso). O objectivo é criar uma arma que possa ser
usada para obter acesso não autorizado a um sistema alvo. Ferramentas comuns
incluem kits de exploits, trojans e backdoors.Delivery
É a
fase em que o invasor transmite um payload para o alvo. Isto pode ser feito
através de vários métodos, como por exemplo anexos de e-mail, sites maliciosos
ou dispositivos USB comprometidos.Exploitation
Ocorre quando
o payload entregue é executado no sistema alvo, explorando uma
vulnerabilidade para obter acesso inicial. Esta fase envolve frequentemente a
exploração de vulnerabilidades de software ou o uso de técnicas de engenharia
social.Installation
Na fase de instalação, o invasor instala
malware no sistema comprometido para estabelecer uma presença persistente. O
malware pode ser usado para manter o acesso e facilitar acções futuras.Command
and Control (C2)
É a fase em que o invasor estabelece comunicação com o
sistema comprometido para controlá-lo remotamente. O canal de comunicação
permite que o invasor emita comandos e extraia dados.Actions on
Objectives (Exfiltration)
A fase final envolve alcançar os objetivos do
invasor, que podem incluir a exfiltração de dados, a destruição do sistema ou
a propagação do malware. As acções específicas dependem dos objectivos do
invasor.
Payload - componente ou código malicioso dentro de um ataque, como por exemplo o ransomware ou um trojan.
ResponderEliminarExploit - pedaço de código, comando ou técnica que deliberadamente tira partido de uma vulnerabilidade de software ou sistema para causar um comportamento indesejado, como acesso ou controlo não autorizado.