# Cyber Kill Chain > [!abstract] Síntese > O Cyber Kill Chain, desenvolvido pela Lockheed Martin em 2011, é um dos frameworks mais influentes para analisar e interromper ataques cibernéticos. Baseado no conceito militar de "kill chain" (cadeia de destruição), o modelo descreve o ataque em 7 fases sequenciais - desde o reconhecimento inicial até as ações sobre o objetivo. Cada fase representa uma oportunidade para defensores detectarem e interromperem o ataque. Embora mais simples que o [[mitre-attack|MITRE ATT&CK]], o Kill Chain continua sendo ferramenta essencial para comunicação executiva e modelagem de ameaças. --- ## Visão Geral O Cyber Kill Chain foi publicado pela Lockheed Martin em 2011 no paper "Intelligence-Driven Computer Network Defense Informed by Analysis of Adversary Campaigns and Intrusion Kill Chains". O conceito central é poderoso: um adversário precisa completar todas as fases em sequência para atingir seu objetivo - se defensores interrompem qualquer uma das fases, o ataque falha. Isso transforma a defesa de reativa para proativa: em vez de apenas responder a incidentes, organizações podem construir camadas de controles em cada fase da cadeia. O modelo teve impacto transformador porque introduziu a abordagem baseada em inteligência (intelligence-driven defense): usar informações sobre o adversário e suas táticas para antecipar ataques, não apenas reagir a eles. O Kill Chain fornece o vocabulário para este processo - permitindo que equipes de segurança identifiquem em qual fase um ataque se encontra e apliquem a resposta mais eficaz. Hoje o modelo coexiste com o [[mitre-attack|MITRE ATT&CK]], que oferece maior granularidade técnica, sendo os dois complementares. > [!latam] Relevância para o Brasil e LATAM > O Kill Chain é o framework preferido para comúnicação executiva em empresas brasileiras - diretores de TI e CISOs usam as 7 fases para explicar ataques de ransomware ao board sem necessitar de jargão técnico. Campanhas de banking trojans como as do Grandoreiro seguem o modelo kill chain de forma textual: reconhecimento por e-mail, armamento com documentos maliciosos, entrega via phishing em português, exploração de usuário, instalação de overlay, C2 via HTTP, monetização via PIX. --- ## As 7 Fases do Cyber Kill Chain ```mermaid graph TB A["🔍 1. Reconhecimento<br/>Coleta de informações<br/>sobre o alvo"] B["⚙️ 2. Armamento<br/>Criação do payload<br/>(exploit + backdoor)"] C["📧 3. Entrega<br/>Transmissão do artefato<br/>ao alvo (phishing, USB)"] D["💥 4. Exploração<br/>Ativação da vulnerabilidade<br/>no sistema alvo"] E["🔧 5. Instalação<br/>Persistência no sistema<br/>(RAT, backdoor, rootkit)"] F["📡 6. Comando e Controle<br/>Canal C2 estabelecido<br/>com o atacante"] G["🎯 7. Ações sobre Objetivos<br/>Exfiltração, destruição<br/>ou ransomware"] A --> B --> C --> D --> E --> F --> G style A fill:#1a1a2e,stroke:#3498db,color:#fff style B fill:#1a1a2e,stroke:#3498db,color:#fff style C fill:#1a1a2e,stroke:#f39c12,color:#fff style D fill:#1a1a2e,stroke:#f39c12,color:#fff style E fill:#1a1a2e,stroke:#e74c3c,color:#fff style F fill:#1a1a2e,stroke:#e74c3c,color:#fff style G fill:#16213e,stroke:#e94560,color:#fff ``` --- ## Detalhamento de Cada Fase ### 1 - Reconhecimento (Reconnaissance) O adversário coleta informações sobre o alvo antes de qualquer ação ofensiva. Pode ser **passivo** (pesquisa em fontes abertas - OSINT) ou **ativo** (varredura de rede, enumeração de serviços). TTPs associadas: [[ta0043-reconnaissance|TA0043 - Reconhecimento]] no ATT&CK cobre esta fase com técnicas como T1591 (Gather Victim Org Information) e T1596 (Search Open Technical Databases). ### 2 - Armamento (Weaponization) O atacante combina um exploit com um payload malicioso (backdoor, RAT) para criar o artefato de ataque. Esta fase ocorre **completamente no ambiente do atacante** - defensores raramente têm visibilidade aqui. TTPs associadas: [[ta0042-resource-development|TA0042 - Desenvolvimento de Recursos]] cobre armamento. ### 3 - Entrega (Delivery) Transmissão do artefato armado ao ambiente alvo. Vetores mais comuns: e-mail de phishing com anexo, link malicioso, USB, watering hole, supply chain. TTPs associadas: [[ta0001-initial-access|TA0001 - Acesso Inicial]]. ### 4 - Exploração (Exploitation) O exploit é ativado, geralmente explorando uma vulnerabilidade de software, configuração incorreta ou erro humano. Pode ser exploração de CVE, macro de documento ou engenharia social. TTPs associadas: [[ta0002-execution|TA0002 - Execução]]. ### 5 - Instalação (Installation) O adversário instala mecanismo de persistência para manter acesso mesmo após reinicializações. Rootkits, serviços de sistema, tarefas agendadas e modificações de registro são comuns. TTPs associadas: [[ta0003-persistence|TA0003 - Persistência]]. ### 6 - Comando e Controle (Command and Control) O malware estabelece canal de comúnicação com a infraestrutura do atacante. Técnicas modernas usam protocolos legítimos (HTTPS, DNS, Slack) para evadir detecção. TTPs associadas: [[ta0011-command-and-control|TA0011 - Comando e Controle]]. ### 7 - Ações sobre Objetivos (Actions on Objectives) O atacante executa o objetivo final: exfiltração de dados, ransomware, destruição de sistemas ou espionagem prolongada. Esta é a fase mais custosa para a vítima. TTPs associadas: [[ta0009-collection|TA0009 - Coleta]], [[ta0010-exfiltration|TA0010 - Exfiltração]], [[ta0040-impact|TA0040 - Impacto]]. --- ## Estrategias Defensivas por Fase | Fase | Controles Defensivos | Mitigações Relevantes | | ---- | -------------------- | --------------------- | | Reconhecimento | OSINT monitoring, threat intel | [[m1056-pre-compromise\|M1056 - Pre-Compromise]] | | Armamento | Threat intel de IoCs e TTPs | [[m1019-threat-intelligence-program\|M1019 - Threat Intel Program]] | | Entrega | E-mail filtering, web proxy, conscientização | [[m1031-network-intrusion-prevention\|M1031 - Network Intrusion Prevention]] | | Exploração | Patch management, EDR, sandbox | [[m1051-update-software\|M1051 - Updaté Software]], [[m1050-exploit-protection\|M1050 - Exploit Protection]] | | Instalação | EDR, application whitelisting | [[m1038-execution-prevention\|M1038 - Execution Prevention]] | | C2 | DNS filtering, TLS inspection, UEBA | [[m1031-network-intrusion-prevention\|M1031 - Network Intrusion Prevention]] | | Ações | DLP, backup, segmentação de rede | [[m1053-data-backup\|M1053 - Data Backup]], [[m1030-network-segmentation\|M1030 - Network Segmentation]] | --- ## Kill Chain vs. MITRE ATT&CK | Aspecto | Cyber Kill Chain | MITRE ATT&CK | | ------- | ---------------- | ------------ | | Origem | Lockheed Martin, 2011 | MITRE Corp, 2013 | | Fases / Táticas | 7 fases lineares | 14 táticas (não lineares) | | Técnicas | Não detalha | 600+ técnicas e sub-técnicas | | Granularidade | Baixa (conceitual) | Alta (operacional) | | Uso ideal | Comúnicação executiva, modelagem | Detecção, caça a ameaças, red team | | Limitação | Assume linearidade do ataque | Complexidade para iniciantes | | Complementaridade | Fornece narrativa de alto nível | Fornece detalhe técnico | > [!tip] Uso Combinado > O Kill Chain fornece a **narrativa do ataque** para gestores e boardroom. O [[mitre-attack|MITRE ATT&CK]] fornece o **detalhe técnico** para analistas de SOC e red team. Os dois frameworks são complementares - use Kill Chain para comúnicar, ATT&CK para detectar. --- ## Unified Kill Chain Uma evolução importante é o **Unified Kill Chain** (UKC, 2017), que expande as 7 fases originais para 18 fases, incorporando movimentos pós-comprometimento mais detalhados e alinhando-se melhor com o ATT&CK. O UKC é preferido por equipes que precisam de granularidade intermediária. --- ## Relevância para o Brasil O Kill Chain é amplamente usado em apresentações de segurança no Brasil por sua simplicidade e poder de comúnicação: - **SOCs brasileiros** usam o Kill Chain para estruturar relatórios de incidentes - **Grandes bancos** (Itaú, Bradesco, Santander Brasil) usam o modelo em exercícios de red team e tabletop - **Setor de [[critical-infrastructure|infraestrutura crítica]]** usa o Kill Chain para análise de ameaças a sistemas OT/SCADA - **Treinamentos de conscientização** para executivos do setor [[government|governamental]] frequentemente partem do Kill Chain Campanhas de ransomware que afetaram empresas brasileiras em 2024-2025 - como as do grupo [[lockbit-ransomware|LockBit]] e afiliados - ilustram todas as 7 fases em sua execução típica. --- ## Referências - [Lockheed Martin - Intelligence-Driven Computer Network Defense (2011)](https://lockheedmartin.com/content/dam/lockheed-martin/rms/documents/cyber/LM-White-Paper-Intel-Driven-Defense.pdf) - [Unified Kill Chain - Paul Pols (2017)](https://www.unifiedkillchain.com/) - [SANS - Aplicando Kill Chain para Detecção](https://www.sans.org/reading-room/) - [MITRE ATT&CK vs Kill Chain - Comparativo](https://attack.mitre.org/) --- ← Voltar para **[[_regulations|Regulações]]** · **[[_market|Market Intelligence]]**