Hacking como um processo em Segurança Digital

(transcrição sem formatação)

Olá, bem-vindo de volta ao estudo cibernético para todos, estou em nosso último módulo, falamos sobre os atores de ameaças e suas motivações, é um desses termos que geralmente é usado de maneira muito vaga na cultura popular, mas é realmente um processo muito, muito interessante, então é isso que eu quero tentar abordar nesta seção Então o que é hackear ok nós descobrimos que esse não é realmente o caso, existem muitos grupos diferentes com motivações diferentes  voando pelo ciberespaço  e de fato quanto mais difícil o  que pode ser muito mais fácil de acessar a rede de defesa no Pentágono fundamentalmente, a embalagem é uma coleção de esforços que culminam na conquista da terra, o que é fundamental para tirar aqui é que o hacking é um processo ‘um conjunto de esforços não é um único esforçoé um conjunto de esforços por isso quais são alguns exemplos é estrangeiro Então devemos pensar na pirataria como um conjunto de actividades que se movem em direcção a um objectivo as actividades que são conduzidas por um agente de ameaça específico estão todas focadas em alcançar algum tipo de objetivo agora este é um ponto muito importante os hackers não estão hackeando apenas por causa disso eles estão tentando conseguir algo ou a aquisição de dados ou potencialmente interromper suas atividades É a estrutura de ataque  fale sobre essas duas estruturas neste curso ambas as abordagens são úteis para tentar categorizar grupos de atividades que fazem parte desse processo de hacking mais amplo, então vamos falar sobre o processo geral neste caso em particularvocê irá mostrar o lockheed martin para você E você notará que esta estrutura em particular consiste em vários trabalhos diferentes de uma atividade do seu alvo ela inclui muitas atividades diferentes elas podem incluir coisas como pesquisa geral na web sobre a organização que você está tentar ir atrás do reconhecimento é o conceito em que depois de reunir o máximo de  vou inventar uma exploração que me permite tirar vantagem de uma dessas vulnerabilidades depois que o armamento vier deliberadamente eu preciso realmente entregar essa exploração armada em particular para sua rede, há muitas técnicas diferentes que eu posso usar uma vez que eu realmente entregue a arma ao alvo e a pessoa clica no link ou faz algum outro tipo de atividade então eu’estou realmente explorando seu dispositivo Uma vez que estou no seu dispositivo, quero instalar minha maliciosa oh hum é estrangeira, mas a verdade é que é uma série de atividades que estão vinculadas e, portanto, esses esforços se unem se tornar um processo o processo de hacking E dois frameworks de hacking muito comuns incluem o lockheed martin kill chain e o mitre attack frame em nosso próximo episódio nós vamos uh uh É reconhecimento espero vê-lo na próxima cyberqueen oi bem-vindo de volta à segurança cibernética para sempre i’m dr charles aqui em nosso último episódio falamos sobre hacking como um processo na primeira fase desse processo é o reconhecimento, então o que é estrangeiroum estrangeiro  isso é talvez descoberta de computadores voltados para a Internet quais serviços estão potencialmente executando há uma variedade de Utilitários diferentes que se pode usar para identificar quais computadores estão na internet para uma determinada organização quais fornecedores a organização realmente usa para gerenciar, digamos isso’s sistemas físicos como este você precisa de um condicionador de ar eles podem ter acesso direto à rede alvo até mesmo detalhes sobre os sistemas operacionais e a estrutura de rede do alvo estes são todos exemplos de reconhecimento Então quais são algumas técnicas em geral existem três grandes técnicas a primeira é a técnica as técnicas técnicas podem incluir tentar responder a perguntas como que dispositivos públicos posso ver na Internet que informação posso limpar para o nome de domínio pode deixar o seu armário apenas a explorar as vulnerabilidades A segunda técnicaésocial porque lembre-se que o cibernético é não apenas sobre k isso uh eu quero saber quem trabalha nessa organização que papéis eles desempenham quem’s o treinador cis versus o ceo versus o assistente administrativo posso entender talvez o que os motiva quais são seus motivos quais são seus hobbies porque se eu entender essas coisas Então posso gerar diferentes tipos de técnicas para potencialmente explorá-los e, posteriormente, obter acesso ao seu posso até encontrar informações muito práticas, como o endereço de e-mail deles, que pode ser muito útil se eu quiser enviar um e-mail malicioso a todos os funcionários da sua organização e se eu souber o que os motiva, quais são seus hobbies talvez eu posso atraí-los um é então há um elemento social no processo de reconhecimento e terceiro há’é uma organização que eu preciso fazer eu tenho unidades de RH que são distintas de outras partes da administração que lida com sua fabricação Quem lida com a logística porque dependendo de quais aterros se és para roubar informações do cliente ou roubar sua propriedade intelectual ou criar uma grande disrupção preciso entender quais partes da sua organização fazem o que isso faz parte do processo de reconhecimento também pode incluir coisas como quem são seus líderes corporativos Meu palpite é que que seu diretor executivo ou diretor de operações teria muitas informações sobre a direção estratégica da empresa ok  potencialmente usada como parte de uma lista de segmentação de funcionários seus e-mails com as posições que eles servem nas contas de mídia social que eles essas são todas as coisas que eu posso usar como ator de thread para potencialmente obter acesso à sua rede, então quais são algumas das conclusões bem, então, novamente, hackear é um processo’s não é uma atividade única é um processo muitas atividades diferentes em grupos diferentes a primeira fase desse processo é o reconhecimento o reconhecimento inclui atividades técnicas e não técnicas todas elas fazem parte dessa etapa de planejamento mais ampla os resultados desse reconhecimento podem inclua coisas como uma lista de dispositivos, suas vulnerabilidades e uma maneira de realmente se conectar a eles por e-mail ou mídia social, para que o reconhecimento seja a primeira fase do processo de hacking em nosso próximo episódio, falaremos sobre a segunda fase de armamento, espero até a próxima Uh oi bem-vindo de volta à segurança cibernética para todos eu sou o dr charles harry, estamos falando sobre o processo de hacking e, se você se lembra, hackear não é simplesmente uma ação única’uma série de ações diferentes que quando agrupadas representam esta idéia de hacking Neste episódio vamos falar sobre armamento então o que é armamento nesta fase do processo de hacking os atores de ameaças terminaram seu reconhecimento eles avaliaram a organização em particular que eles analisaram as vulnerabilidades técnicas desses sistemas e agora estão preparando um plano específico de ataque, identificaram vulnerabilidades específicas em sistemas técnicos que podem incluir coisas como o sistema operacional ou até mesmo os aplicativos que estão nesse dispositivo específico e aqueles explorações que eles geram tiram proveito dessas vulnerabilidades identificadas essas vulnerabilidades conhecidas geralmente são categorizadas e pode até haver código de amostra que’s, na verdade, já foi escrito para tirar vantagem dessa vulnerabilidade específica, portanto, um repositório de vulnerabilidades conhecidas conhecidas como vulnerabilidades comuns de índice de exposição ou cve é um repositório de vulnerabilidades conhecidas em sistemas técnicos que é mantido pelas informações secundárias que você pode encontrar neste repositório no pesquisável formulário em www.cbeminder.org agentes de encadeamento aproveitam vulnerabilidades conhecidas ou às vezes até vulnerabilidades desconhecidas para explorar dispositivos específicos; vulnerabilidades vulnerabilidades desconhecidas são conhecidas como explorações de dia zero, então qual é o processo de armamento que os atores de ameaças conduziram seu reconhecimento?identificaram esses pontos fracos que agora sabemos ser uma vulnerabilidade nesse sistema eles escrevem um exploit para tirar proveito de uma vulnerabilidade eles escrevem isso em qualquer número de linguagens de computador algo como python por exemplo essas vulnerabilidades fornecem uma janela de acesso a um alvo dispositivo então quando é entregue quando essa exploração é entregue Isso abre uma janela para esse dispositivo alvo essas explorações são agrupadas com algum tipo de mecanismo de entrega que nós’falaremos sobre isso em um episódio futuro e eles focam esse esforço contra um dispositivo muito específico ou até mesmo um alvo humano, então quais são algumas das conclusões sobre armas  lembre-se de que Hackear é um processo e a segunda fase desse processo é o armamento, o armamento é sobre como escrever uma exploração para tirar proveito de um nó ou vulnerabilidade desconhecida em um sistema, as explorações são combinadas com um meio de entrega para um alvo específico  ‘vamos falar sobre a próxima fase da entrega do processo de hacking, então lembre-se de que o hacking é um processo, existem várias etapas diferentes que temos que realizar para realizar o hacking e neste episódio nós’vamos falar sobre entrega então o que é entrega bem Neste ponto do processo de hacking o agente da ameaça terminou de armar uma exploração para tirar vantagem de uma vulnerabilidade específica em um sistema vocêpodeusar qualquer número de técnicas para entregar na entrega de exploração pode incluir alguns exemplos diferentes incluem e-mail ou mídia social até mesmo um pen drive ou até mesmo acesso a um site em particular, então quando você visita esse site ele lança O exploit em você o objetivo é obter o exploit que você’criei para o alvo de interesse que é fundamentalmente o que é a entrega, então quais são algumas dessas técnicas de entrega bem, antes de tudo, várias técnicas  Poderia comprometer sua rede externamente, então um exemplo de um uso realmente comum é algo chamado spear station agora spear phishing é apenas enviar uma mensagem direta para o seu alvo e isso pode incluir coisas como um acesso de anexo através do que chamamos de cadeia de suprimentos para que as organizações possam fazer parcerias com outras empresas para permitir que eles conduzam negócios para por exemplo  eu provavelmente tenho muitos fornecedores diferentes que eu uso se esses fornecedores tiverem acesso potencial à minha rede, talvez eu possa comprometer um dos fornecedoresnadar pela rede deles para obter acesso à sua, pode incluir mídia removível, um pen drive USB ou uma unidade removível pode ser uma maneira pela qual, se eu tiver comprometido esse dispositivo específico, posso usá-lo para ajudar a comprometer seu sistema e fornecer minha exploração pode até ser capaz de tirar proveito das fraquezas nos aplicativos voltados para o público que você está executando, por exemplo, se você tiver um servidor da Web em execução que não tenha sido corrigido para todas as vulnerabilidades conhecidas associadas a ele, eu poderia apenas ser capaz de força bruta do meu jeito diretamente então quais são alguns dos objetivos da fase de entrega bem, está realmente focado em levar essa exploração ao alvo e dependendo da técnica ou clicar no link então enquanto sim a exploração se concentra nas vulnerabilidades do o sistema técnico no processo de entrega i’também estou aproveitando as fraquezas do sistema humano posso convencê-lo de que este anexo de e-mail em particular é algo de seu interesse se eu lhe enviar um e-mail sobre um tópico aleatório que não faz sentido para você na forma como está redigido é provável que você abra esse anexo em particular ou se eu lhe enviar um e-mail sobre um assunto relacionado com um hobby que goste talvez seja mais provável que o abra, por isso compreender o seu alvo e compreender a dimensão humana é Fundamentalmente importante no processo de pirataria o foco aqui está habilitando ou executando o exploit quando falarmos na próxima seção sobre execução nós’vou perceber esta ameaça em particular, por isso quais são algumas das conclusões bem outra vez a pirataria é um processo e a entregaéa terceira fase nesse processo as técnicas de entrega tratam-se de Levar essa exploração ao próprio alvo sim falaremos mais detalhadamente sobre isso processo existem várias técnicas que podemos usar para entregar as nossas explorações particulares e incluem coisas como e-mails ou mensagens directas através das redes sociais pen drives usb até cadeias de abastecimento no nosso próximo episódio vamos falar sobre exploração e instalação nos próximos dois fases do processo de hacking, espero vê-lo na próxima vez, então, bem-vindo de volta à segurança cibernética para todos.m dr charles aqui neste episódio eu quero falar sobre as próximas duas fases da exploração e instalação do processo de hacking se você se lembrar o hacking é um processo não é uma única atividade Na verdade é um agrupamento de várias atividades todas juntas que juntas criam água é chamada neste episódio em particular, quero falar sobre duas fases específicas de exploração e instalação, então, quando atingirmos nosso objetivo, lembre-se de que entregamos nossa exploração.entregamos esse exploit para o alvo através de uma variedade de meios diferentes e esses podem incluir tudo, desde o envio de um e-mail direto que chamamos de mensagem direta do Spearfish para a mídia social, uma unidade USB, até comprometer uma página da Web ou até mesmo ter acesso direto à própria máquina, o hacker está agora preparado para explorar o dispositivo a exploração é tentada contra esse dispositivo com o qual está agora em contacto e se o malware for instalado com êxito o software mau voltará a isso num minuto por isso vamos falar primeiro sobre a exploração bem é quando o utilizador o sistema do utilizador está a interagir directamente com o desenvolvimento malicioso e isso normalmente significa algo como clicar numa ligação ou abrir um documento em particular agora existem outras formas de explorar os dispositivos Claro mas é bom o suficiente saber o que’estou falando é que o sistema, por exemplo, um navegador da Web agora está exposto ao código de exploração, se uma conexão bem-sucedida agora for feita de volta à infraestrutura dos atores de encadeamento e isso fornecerá ao ator da ameaça acesso direto ao sistema agora, neste ponto, eles não não o instalaram eles não instalaram seu próprio software eles simplesmente exploraram o dispositivo e criaram uma conexão direta De volta à sua infraestrutura, então vamos dar uma olhada em um exemplo para que o grupo avançado de ameaças persistentes ou apt group ocean lotus disse organização de hackers vietnamita [Música] e a ideia é tentar convencer os usuários a clicar e abri-los para executar esse código de exploração real que’s incorporados no documento os documentos são muitas vezes redigidos para torná-lo atraente para o utilizador por isso imagine que sabe que é um funcionário de uma organização e recebe um e-mail e existe um anexo e uma linguagem no e-mail que fala sobre você sabe disso é o detalhamento de todos os salários dos funcionários você pode estar um pouco inclinado e um pouco curioso para ver quanto bob está ganhando no corredor para que você possa clicar nele uma vez executado uma conexão é feita de volta à infra-estrutura do ocean lotus Agora não estamos entrar em detalhes profundos sobre essa infraestrutura e esse conjunto específico de hacks, é bom o suficiente para entender que, quando você interage com o código de exploração, ele cria uma conexão de volta com a infraestrutura dos agentes de ameaças, agora vamos falar sobre a instalação, então vamosexplorou o dispositivo o dispositivo que foi explorado com sucesso Através de alguma vulnerabilidade específica que identificamos durante o armamento uh  chamamos esse malware certo, esses são programas que foram criados pela ameaça ator que ajuda a facilitar ações adicionais no alvo para incluir a movimentação para outros computadores na rede afetada os atores de ameaças usarão uma variedade de técnicas diferentes para manter persistentemente o acesso ao dispositivo, aqui estão alguns exemplos diferentes que eles podem conectar ao processamento existente para que os processos que rodam normalmente que inicializam toda vez que seu computador inicializa, eles vão se conectar a isso’uma maneira de manter constantemente o malware em execução, eles podem criar contas administrativas e permitir que eles façam login a qualquer momento e podem modificar a ordem de carregamento muito especificamente, então quais são algumas das conclusões bem hackear novamente é um processo, continue reiterando esta quarta fase chama-se exploração A exploraçãoéquando o código dos actores de threadéexecutado no dispositivo do alvo e cria uma ligação a quinta fase do processo de hackingéchamada instalação Já explorei com sucesso um dispositivo e agora estou a instalar o meu software que o software está também conhecido como malware em nosso próximo episódio,vamos falar sobre comando e controle de como os atores de thread realmente mantêm o acesso a esses dispositivos comprometidos, espero vê-lo na próxima vez, a menos que uma  específica um oi bem vindo de volta à segurança cibernética para todos eu sou o dr charles aqui neste episódio quero falar sobre a próxima fase do recall hacking é um processo que queremos falar sobre comando e controle como forma de conecte-se novamente ao software instalado em que o agente de thread está trabalhando Então, o que está comandando bem o controle, uma vez que os agentes de ameaças instalaram seu software, elesestabeleceu as conexões ou por um defensor cibernético permanecendo atingido e ofuscando as conexões diretas de volta à sua infraestrutura como de suma importância para o ator da ameaça, então quais são alguns temas comuns com comando e controle? para proteger as comunicações entre eles e o malware que eles instalaram em seu alvo e, portanto, eles usarão coisas como criptografia, eles também podem usar técnicas prontas para uso ou talvez até métodos personalizados para também proteger seus comunicações eles também querem tentar misturar-se com o seu ambiente por isso lembre-se do objectivo Aqui é comunicar abertamente com o malware no alvo por isso eu’vou tentar usar muitas portas comuns e fazer com que meu tráfego se misture com o que parece ser um tráfego de rede completamente normal, posso usar portas comuns como a porta 80 ou 443, que são afiliadas ao tráfego da Web, portanto, se eu for um administrador do sistema e estou a ver o tráfego na minha rede e vejo muita pornografia 80 e 443 posso pensar comigo mesmo bem esses são os meus utilizadores apenas a navegar na web pode não ser malicioso também posso querer retransmitir comandos usando redes sociais perfeitamente legítimas sites ou outros tipos de serviços da Web, a ideia aqui é que, se o administrador do sistema estiver analisando o tráfego no local de onde esse tráfego está vindo,estão indo e eles vêem um site de mídia social comum como o instagram ou mesmo o facebook eles podem dizer bem que parece bastante legítimo alguns dos meus usuários minha rede pode querer checar seu instagram facebook então estou me misturando no meu ambiente finalmente eu quero disfarçar a origem real das comunicações até a máquina alvo, então eu quero redirecionar minhas comunicações através de um terceiro  para que as pessoas identifiquem quem está realmente fazendo o ataque, deixe-me dar um exemplo se eu estiver um agente de ameaças, mas eu posso realmente configurar primeiro um conjunto de sofisticação de proxies do agente de ameaças e seus recursos, é claro, se eles são um hobby, pode não ter muitos recursos financeiros para que eles possam usar proxies estabelecidos como tor no entanto, se você’é um att avançado Ameaça persistente se você tiver bilhões de dólares de seguro, você pode sair e configurar suas próprias caixas, esses proxies, por sua vez, como máquinas virtuais em nuvem que euLevantei-me e agora posso conectar meus proxies  para onde esses pacotes estão indo e voltando muito mais difícil para as pessoas me identificarem como o invasor, então deixe-me dar um exemplo do comando Creative, então em 2017 a empresa de segurança que ele disse investigou uma determinada ameaça persistente avançada que o terla havia comprometido muitos sites diferentes agora, quando os usuários vá visitá-lo o turlo tentaria baixar sua quantidade com sua tentativa de explorar e instalar seu malware nos dispositivos do usuário o malware quando executado e instalado tentaria resolver um endereço de url específico que continha o comando geral e controlar o domínio da web agora aqui’é onde fica mais esperto que os invasores esconderam o endereço do domínio na seção de comentários da página do instagram de britney spears você conhece britney spears a maioria de vocês provavelmente conhece aquele mundialmente famoso então imagine isso em uma seção de comentários de uma foto muito específica que britney Spears havia postado em nossa página do instagram havia comentários que quando você olhava parecia que você sabia francamente que não fazia muito sentido, mas codificados nesse conjunto específico de comentários estavam as instruções para esse malware em particular se comunicar de volta a um comandante controlar o servidor’é bastante inteligente para que o comentário específico dessa foto específica tenha sido usado para apontar o malware para o comando e controle corretos do servidor acho que este exemplo destaca muito da criatividade que vemos que os agentes de ameaças muitas vezes empregam para permanecer ocultos e manter seu malware em operação tanto quanto possível, para que nos leve a isso, esse conceito de atribuição de agentes de ameaças usará proxies placas de comunicação comuns e técnicas criativas para gerenciar e ocultar suas atividades para que essas comunicações sejam lembradas Muitas vezes criptografadas e há várias camadas de redirecionamento que estão acontecendo oculte a localização do agente da ameaça, tudo bem, isso é o que chamamos de atribuição e você pode ver com toda a complexidade que ‘estamos introduzindo o quão difícil pode ser para os pesquisadores de thread realmente identificarem quem está por trás do ataque e vemos os agentes de ameaças usando técnicas engenhosas para se esconder à vista de todos Acho que isso realmente ressalta a criatividade que vemos entre os agentes de ameaças, então quais são alguns dos técnicas bem lembre-se hacking é um processo e a sexta fase é o que chamamos de comando e controle o comando e controle realmente são as ações usadas para comunicar gerenciar e  Técnicas uma atribuição pode ser difícil por causa da interação de criptografia de proxies e até mesmo ocultar o tráfego incumbente em nosso próximo episódio, falaremos sobre as ações dos agentes de ameaças no alvo como a fase final do processo de hacking, espero vê-lo na próxima vez bem-vindo de volta à segurança cibernética para todos que estou dr charles harry nós’tenho falado sobre hacking como um processo E no final desse processo os hackers criam um efeito na máquina alvo como você se lembra hackear é um processo e começa com o reconhecimento do alvo que leva à instalação de exploração de distribuição de armamento do seu malware eventualmente configurar redes de comando e controle, tudo para realizar uma ação em um alvo, é meio que no final do dia, é por isso que vocêre there Então, que tipo de efeitos os hackers geram bem os hackers podem gerar muitos efeitos diferentes, desde selar dados até gerar uma interrupção facilmente, então pode ser tudo, desde perda de privacidade até o número de registros perdidos, perda de receita e custos de resposta A capitalização de mercado da marca afeta impactos diplomáticos até mesmo a estabilidade estratégica e, portanto, o que constitui requisitos em relação ao público isto’é realmente complicado, então que tipo de efeitos os hackers geram bem, há o que chamamos de impactos diretos e isso pode ser a confidencialidade dos dados, a integridade dos dados ou a acessibilidade. não apenas sobre o único dispositivo que perde um monte de registros, pode haver impactos em cascata, então, como criamos uma incapacidade de executar um processo de negócios, por exemplo, os hackers podem afetar a acessibilidade de um dispositivo específico em uma central telefônica que pode criar um problema real problema lá’s também a potencial perda de confiança em sua empresa pode haver uma queda no valor das ações pode haver um impacto direto nos episódios reais uh você pode ter dados roubados você pode fazer coisas  ou impactos na produtividade pode haver esses impactos diretos nos sistemas podem ter efeitos em cascata na empresa eles podem ter impactos diretos nos processos humanos você [Música] impacta a capitalização de mercado ou até mesmo os efeitos da marca e, portanto, esses efeitos nas empresas podem se espalhar para a sociedade, assim como participações específicas disponíveis, pois podem afetar até outras organizações ou indivíduos se você tiver uma instalação portuária específica comprometida que poderia levar a toda uma gama de efeitos em cascata nas cadeias de suprimentos de logística paraorganizações a jusante, portanto, neste caso, os efeitos podem ser medidos em termos de impactos de danos físicos à economia mais ampla ou até mesmo mudanças nas percepções das pessoas sobre as informações, então um exemplo disso seria o recente ataque de ransomware em roupas, de modo que um agente de ameaça vinculado a um criminoso russo grupo executou um ataque contra a corporação garmin em julho de 2020. ransomware, neste caso, era uma variante chamada armário desperdiçado que era usado, mas os efeitos foram amplamente sentidos não apenas nos dispositivos específicos afetados pelo ransomware, mas mais importante no processo organizacional que eles suportam os objetivos mais amplos de nível empresarial e até mesmo a sociedade em geral que depende de dispositivos de vestuário, de modo que houve efeitos específicos no I.Os hackers russos de sistemas impactaram diretamente máquinas específicas que criaram impactos diretos na produtividade e no acesso aos dados, mas depois caíram em cascata nos processos humanos que os sistemas suportavam e criaram interrupções e afetaram a receita da empresa e, em seguida, as interrupções de serviços afetaram milhões de clientes e empresas que dependiam desses serviços de GPS da Garment, então, quais são algumas das vantagens, os hackers podem interagir diretamente com os dispositivos para criar um efeito final e esses impactos podem gerar impactos diretos, mas esses impactos diretos podem criar efeitos em cascata e o ataque cibernético, portanto ele pode gerar uma série de impactos nos processos de negócios dos sistemas de TI na empresa mais ampla ou até mesmo na sociedade em geral o que dizer em nosso próximo módulo nós’vamos explorar este conceito de efeitos muito mais profundamente falaremos sobre efeitos primários secundários e de segunda ordem espero vê-los na próxima vez hum.

Deixe um comentário

O seu endereço de e-mail não será publicado.

Next Post

Segurança Digital: efeitos secundários

dom maio 15 , 2022