Como administrador de segurança de redes em uma grande corporação, você está desenvolvendo uma estratégia de defesa cibernética. Parte dessa estratégia envolve entender as etapas que um invasor pode seguir ao tentar comprometer a rede da sua organização. Durante a análise, você identifica que, ao passar por diferentes fases, o invasor adquire mais privilégios e acesso à rede, o que pode agregar os danos. Sua tarefa é identificar corretamente em qual fase do ataque o invasor está, baseando-se em descrições das atividades realizadas em cada etapa. Acerca das fases do ataque, podemos afirmar que:

Alternativa C

A questão aborda o modelo de ciberataques conhecido como Cyber Kill Chain (Cadeia de Morte Cibernética), desenvolvido pela Lockheed Martin. Este modelo divide o ciclo de vida de um ataque cibernético em sete etapas distintas, permitindo que administradores de segurança identifiquem em qual momento o invasor se encontra.

Para responder corretamente, é necessário correlacionar a atividade descrita com a fase correspondente do modelo:

1. Reconhecimento: Coleta de informações sobre o alvo.
2. Weaponization (Armamentização): Criação da ferramenta maliciosa (exploit + vetor de entrega).
3. Delivery (Entrega): Envio da "arma" para a vítima.
4. Exploitation (Exploração): Ativação da vulnerabilidade no alvo.
5. Installation (Instalação): Instalação de malware para persistência.
6. Command and Control (Comando e Controle): Estabelecimento de comunicação remota.
7. Actions on Objectives: Execução do objetivo final (roubo, dano, etc.).

Análise das Alternativas

• Alternativa A (Incorreta): A instalação de uma backdoor (porta dos fundos) ocorre na fase de Instalação, não em Comando e Controle. A fase de C2 refere-se ao estabelecimento do canal de comunicação entre a máquina infectada e o servidor do invasor.
• Alternativa B (Incorreta): Realizar uma busca sobre informações acerca do alvo caracteriza a fase de Reconhecimento. A fase de Exploração envolve o uso ativo de uma vulnerabilidade conhecida.
• Alternativa C (Correta): A fase de Weaponization consiste exatamente no preparo da "arma", ou seja, combinar um exploit (código exploratório) com um vetor de entrega (como um arquivo PDF ou link) para criar a carga maliciosa pronta para o ataque.
• Alternativa D (Incorreta): Explorar uma vulnerabilidade é a definição da fase de Exploitation. Na fase de Reconhecimento, o invasor apenas observa e coleta dados sem interagir diretamente para explorar falhas.
• Alternativa E (Incorreta): A instalação de malware ocorre na fase de Instalação. A fase de Entrega é responsável apenas pelo transporte do payload até o sistema da vítima (ex: via e-mail ou mídia removível).

Conclusão

A única afirmação que descreve corretamente a atividade associada à respectiva fase do ataque é a Alternativa C, pois a armamentização é o momento em que o agente prepara a ferramenta ofensiva ("arma") para ser utilizada contra o alvo.