Escolar Documentos
Profissional Documentos
Cultura Documentos
Já que você está lendo este material didático CEHv11, provavelmente percebe a importância da
segurança dos sistemas de informação. No entanto, gostaríamos de apresentar nosso movimento por
trás da compilação de um recurso como este e o que você pode ganhar com este curso.
Você pode se perguntar o que diferencia esse curso dos outros por aí. A verdade é que nenhum
material didático pode abordar de forma detalhada todas as questões de segurança da informação.
Além disso, a velocidade com que explorações, ferramentas e métodos estão sendo descobertos pela
comunidade de segurança torna difícil para um programa cobrir todas as facetas necessárias da
segurança da informação. Isso não significa que esta fonte seja inadequada de qualquer forma, pois
trabalhamos para cobrir todos os principais domínios de tal forma que o leitor poderá apreciar a
maneira como a segurança evoluiu ao longo do tempo, além de obter informações sobre o
funcionamento fundamental relevante para cada domínio. É uma mistura de sabedoria acadêmica e
prática complementada com ferramentas que o leitor pode acessar facilmente para obter uma
experiência prática.
A ênfase em todo o material didático está na aquisição de know-how prático (know-how), o que
explica a ênfase em ferramentas gratuitas e acessíveis. Você lerá sobre alguns dos ataques mais
difundidos vistos, as ferramentas populares usadas pelos invasores e como os ataques foram
realizados usando recursos comuns.
Você também pode querer saber o que esperar depois de concluir o curso. Este material didático é
um material de recurso. Qualquer testador de penetração pode lhe dizer que não há uma
metodologia direta ou sequência de etapas que você possa seguir ao auditar um site de cliente. Não
existe um modelo que atenda a todas as suas necessidades. Sua estratégia de teste varia de acordo
com o cliente, as informações básicas sobre o sistema ou situação e os recursos à sua disposição. No
entanto, para cada estágio que você escolher - seja enumeração, firewall, penetração de outros
domínios - você encontrará algo neste material didático que definitivamente poderá usar.
Finalmente, este não é o fim. Este material didático deve ser considerado um constante trabalho em
andamento porque agregaremos valor a este material didático ao longo do tempo. Você pode
encontrar alguns aspectos extremamente detalhados, enquanto outros podem ter menos detalhes.
Estamos constantemente nos perguntando se o conteúdo ajuda a explicar o ponto central da lição, e
constantemente calibramos nosso material com isso em mente. Gostaríamos muito de ouvir seus
pontos de vista e sugestões, então envie-nos seus comentários para ajudar em sua busca para
melhorar continuamente nosso material didático.
MODULO 1 – INTRODUÇÃO A HACKER ÉTICO.
Objetivos do modulo
I. Entendendo os elementos de segurança da informação
II. Entendendo os ataques de segurança da informação e a guerra da informação.
III. Visão geral da metodologia de cyber kill chain, TTPs e IoCs
IV. Visão geral dos conceitos, tipos e fases de hacking.
V. Entendendo os conceitos de hacking ético e seu escopo
VI. Visão geral dos controles de segurança da informação.
VII. Visão geral dos atos e leis de segurança da informação
Objetivos do Módulo
Os ataques invadem os sistemas por vários motivos e propósitos. Portanto, é importante entender
como hackers maliciosos atacam e exploram sistemas e as prováveis razões por trás desses ataques.
Como Sun Tzu afirma na Arte da Guerra, "se você conhece a si mesmo, mas não ao inimigo, para
cada vitória conquistada, você também sofrerá uma derrota". Administradores de sistemas e
profissionais de segurança devem proteger sua infraestrutura contra explorações conhecendo o
inimigo - o(s) hacker(es) malicioso(s) - que busca usar a mesma infraestrutura para atividades
ilegais.
Este módulo começa com uma visão geral do cenário de segurança atual e dos vetores de ameaças
emergentes. Ele fornece informações sobre diferentes elementos de segurança da informação.
Posteriormente, o módulo discute os conceitos de hacking e hacking ético e termina com uma breve
discussão sobre controles de segurança da informação e leis e atos de segurança da informação.
Ao final deste módulo, você será capaz de:
Não Repúdio - é uma forma de garantir que o remetente de uma mensagem não possa negar
posteriormente o envio da mensagem e que o destinatário não possa negar o recebimento da
mensagem. Indivíduos e organizações usam assinaturas digitais para garantir o não repúdio.
Motivos, Metas e Objetivos dos Ataques à Segurança da Informação
Os invasores geralmente têm motivos (goals) e objetivos por trás de seus ataques à segurança da
informação. Um motivo se origina da noção de que um sistema alvo armazena ou processa algo
valioso, o que leva à ameaça de um ataque ao sistema. O objetivo do ataque pode ser interromper as
operações comerciais da organização-alvo, roubar informações valiosas por curiosidade ou até
mesmo para se vingar. Portanto, esses motivos ou objetivos dependem do estado de espírito do
invasor, do motivo para realizar tal atividade, bem como de seus recursos e capacidades. Depois que
o invasor determina seu objetivo, ele pode empregar várias ferramentas, técnicas de ataque e
métodos para explorar vulnerabilidades em um sistema de computador ou política e controles de
segurança.
I. Pegada.
II. Farejando e escutando.
III. Análise de tráfego de rede.
IV. Descriptografia de tráfego fracamente criptografado.
Insider Attacks - são realizados por pessoas de confiança que têm acesso físico aos ativos críticos
do alvo. Um ataque interno envolve o uso de acesso privilegiado para violar regras ou causar
intencionalmente uma ameaça às informações ou sistemas de informação da organização. Insiders
podem facilmente ignorar as regras de segurança, corromper recursos valiosos e acessar
informações confidenciais. Eles fazem mau uso dos ativos da organização para manter a
confidencialidade, integridade e disponibilidade dos sistemas de informação. Esses ataques afetam
as operações comerciais, a reputação e o lucro da organização. É difícil descobrir o ataque interno.
IV. Guerra psicológica - é o uso de várias técnicas como propaganda e terror para
desmoralizar o adversário na tentativa de ter sucesso na batalha.
A cadeia de cyber kiil é uma maneira eficiente e eficaz de ilustrar como um adversário pode atacar a
organização alvo. Esse modelo ajuda as organizações a entender as várias ameaças possíveis em
cada estágio de um ataque e as contramedidas necessárias para se defender contra esses ataques.
Além disso, esse modelo fornece aos profissionais de segurança uma visão clara da estratégia de
ataque usada pelo adversário para que diferentes níveis de controles de segurança possam ser
implementados para proteger a infraestrutura de TI da organização.
Esta seção discute a metodologia de cyber kill chain, TTPs comuns usados por adversários,
comportamento de adversários e Indicadores de Comprometimento (IoCs).
Metodologia da Cyber Kill Chain
A metodologia de cyber kill chain é um componente de defesa orientada por inteligência para a
identificação e prevenção de atividades de intrusão maliciosa. Essa metodologia ajuda os
profissionais de segurança a identificar as etapas que os adversários seguem para atingir seus
objetivos.
Segundo a Lockheed Martin, os ataques cibernéticos podem ocorrer em sete fases diferentes, desde
o reconhecimento até o cumprimento final do objetivo. Uma compreensão da metodologia da cyber
kill chain ajuda os profissionais de segurança a aproveitar os controles de segurança em diferentes
estágios do ataque e os ajuda a evitar o ataque antes que ele seja bem-sucedido. Ele também fornece
uma visão mais ampla das fases de ataque, o que ajuda a entender antecipadamente os TTPs do
adversário.
Entrega [DELIVERY] - A etapa anterior incluía a criação de uma arma. Sua carga útil é transmitida
para a(s) vítima(s) pretendida(s) como um anexo de e-mail, por meio de um link malicioso em sites
ou por meio de um aplicativo da Web ou unidade USB vulnerável. A entrega é uma etapa chave que
mede a eficácia das estratégias de defesa implementadas pela organização-alvo com base no
bloqueio ou não da tentativa de invasão do adversário.
Comando e Controle (C2) - O adversário cria um canal de comando e controle, que estabelece
comunicação de duas vias (TWO-WAY COMMUNICATION) entre o sistema da vítima e o
servidor controlado pelo adversário para se comunicar e passar dados para frente e para trás. Os
adversários implementam técnicas como criptografia para esconder a presença de tais canais.
Usando este canal, o adversário realiza exploração remota no sistema ou rede alvo.
As organizações devem entender os TTPs para proteger sua rede contra agentes de ameaças e
ataques futuros. Os TTPs permitem que as organizações interrompam os ataques no estágio inicial,
protegendo assim a rede contra danos maciços.
Táticas - descrevem a maneira como o agente da ameaça opera durante as diferentes fases de um
ataque. Consiste nas várias táticas usadas para coletar informações para a exploração inicial,
realizar escalação de privilégios e movimentação lateral e implantar medidas para acesso de
persistência ao sistema. Geralmente, os grupos APT dependem de um certo conjunto de táticas
imutáveis, mas em alguns casos, eles se adaptam a diferentes circunstâncias e alteram a forma como
realizam seus ataques.
Uma organização pode traçar o perfil dos agentes de ameaças nas táticas que eles usam; isso
consiste na maneira como eles coletam informações sobre um alvo, os métodos que seguem para o
comprometimento inicial e o número de pontos de entrada que usam ao tentar entrar na rede de
destino.
Por exemplo, para obter informações, alguns agentes de ameaças dependem exclusivamente de
informações disponíveis na Internet, enquanto outros podem realizar engenharia social ou usar
conexões em organizações intermediárias. Depois que informações como os endereços de e-mail
dos funcionários da organização-alvo são coletadas, os agentes da ameaça optam por abordar o alvo
um por um como um grupo. Além disso, a carga útil projetada pelos invasores pode permanecer
constante do início ao fim do ataque ou pode ser alterada com base no indivíduo alvo. Portanto,
para entender melhor os atores das ameaças, as táticas usadas nos estágios iniciais de um ataque
devem ser analisadas adequadamente.
Outro método de análise dos grupos APT é inspecionar a infraestrutura e as ferramentas usadas para
realizar seu ataque. Por exemplo, considere estabelecer um canal de comando e controle nos
servidores controlados pelo invasor. Esses servidores C&C podem estar localizados em uma
localização geográfica específica ou podem se espalhar pela Internet e podem ser estáticos ou
podem mudar dinamicamente. Também é importante analisar as ferramentas utilizadas para realizar
o ataque. Isso inclui analisar as explorações e ferramentas usadas por vários grupos APT. Nesse
cenário, um agente de ameaças sofisticado pode explorar muitas vulnerabilidades de dia zero
(ZERO-DAY) usando ferramentas adaptadas e métodos de ofuscação. No entanto, isso pode ser
difícil, pois os agentes de ameaças menos sofisticados geralmente dependem de vulnerabilidades
conhecidas publicamente e ferramentas de código aberto. Identificar esse tipo de tática ajuda a
traçar o perfil dos grupos APT construindo medidas defensivas com antecedência.
Em alguns casos, entender as táticas usadas nos últimos estágios de um ataque ajuda a traçar o perfil
do agente da ameaça. Além disso, os métodos usados para cobrir os rastros ajudam a organização
alvo a entender as campanhas de ataque. Analisar as táticas usadas pelos invasores ajuda a criar um
perfil inicial ao entender as diferentes fases de um ciclo de vida do APT. Esse perfil ajuda a realizar
uma análise mais aprofundada das técnicas e procedimentos usados pelos invasores. Um invasor
pode alterar continuamente os TTPs usados, por isso é importante revisar e atualizar constantemente
as táticas usadas pelos grupos APT.
Técnicas - Para lançar um ataque com sucesso, os atores utilizam várias técnicas durante sua
execução. Essas técnicas incluem exploração inicial, configuração e manutenção de canais de
comando e controle, acesso à infraestrutura de destino e cobertura dos rastros de exfiltração de
dados. As técnicas seguidas pelo agente da ameaça para conduzir um ataque podem variar, mas na
maioria são semelhantes e podem ser usadas para criação de perfil. Portanto, entender as técnicas
utilizadas nas diferentes fases de um ataque é essencial para analisar os grupos de ameaças de forma
eficaz.
As técnicas também podem ser analisadas em cada estágio do ciclo de vida da ameaça. Portanto, as
técnicas no estágio inicial descrevem principalmente as ferramentas usadas para coleta de
informações e exploração inicial. As técnicas utilizadas nesta etapa não precisam necessariamente
ter um aspecto técnico. Por exemplo, na engenharia social, certas ferramentas de software não
técnicas são usadas como uma maneira eficaz de coletar informações. Um invasor pode usar essas
ferramentas para obter os endereços de e-mail dos funcionários da organização-alvo por meio de
recursos disponíveis publicamente.
Da mesma forma, a engenharia social puramente humana pode ser usada para realizar a exploração
inicial. Por exemplo, considere um cenário em que a vítima é enganada por meio de um telefonema
para revelar suas credenciais de login para acessar a rede interna da organização de destino. Essas
técnicas são usadas na fase inicial de um ataque para coletar informações sobre o alvo e quebrar a
primeira linha de defesa.
As técnicas usadas nos estágios intermediários de um ataque dependem principalmente de
ferramentas técnicas para inicialmente escalar privilégios em sistemas comprometidos ou realizar
movimentos laterais dentro da rede da organização alvo. Nesse estágio de um ataque, os invasores
usam várias explorações ou vulnerabilidades de configuração de uso indevido no sistema de
destino. Eles também podem explorar falhas de projeto de rede para obter acesso a outros sistemas
na rede. Em todos esses casos, explorações ou uma coleção de ferramentas permitem que o invasor
execute um ataque bem-sucedido. Neste cenário o termo “técnica” é o conjunto de ferramentas
como são utilizadas para obter resultados intermediários durante uma campanha de ataque.
As técnicas são a última etapa de um ataque, podendo ter aspectos técnicos e não técnicos. Nesse
cenário, as técnicas usadas para roubo de dados geralmente são baseadas em tecnologia de rede e
criptografia. Por exemplo, o agente da ameaça criptografa os arquivos roubados, os transfere por
meio do canal de comando e controle estabelecido e os copia para seu próprio sistema. Depois de
executar com sucesso o ataque e transferir os arquivos, o invasor segue certas técnicas puramente
técnicas para cobrir seus rastros. Eles usam ferramentas de software automatizadas para limpar os
arquivos de log para evitar a detecção.
Depois de agregar as técnicas usadas em todas as etapas de um ataque, a organização pode usar as
informações para traçar o perfil dos atores da ameaça. Para fazer uma atribuição precisa dos agentes
de ameaças, a organização deve observar todas as técnicas utilizadas por seus adversários.
Uma análise adequada e compreensiva dos procedimentos seguidos por determinados agentes de
ameaças durante um ataque ajuda a criar o perfil dos agentes de ameaças. No estágio inicial de um
ataque, como durante a coleta de informações, é difícil observar o procedimento de um grupo APT.
No entanto, os estágios posteriores de um ataque podem deixar rastros que podem ser usados para
entender os procedimentos que o invasor seguiu.
Identificação Comportamental do Adversário
Abaixo estão alguns dos comportamentos de um adversário que podem ser usados para aprimorar os
recursos de detecção de dispositivos de segurança:
Reconhecimento Interno - Uma vez que o adversário está dentro da rede alvo, ele segue várias
técnicas e métodos para realizar o reconhecimento interno. Isso inclui a enumeração de sistemas,
hosts, processos, a execução de vários comandos para descobrir informações como o contexto do
usuário local e a configuração do sistema, nome do host, endereços IP, sistemas remotos ativos e
programas executados nos sistemas de destino. Os profissionais de segurança podem monitorar as
atividades de um adversário verificando comandos incomuns executados nos scripts do Lote e no
PowerShell e usando ferramentas de captura de pacotes.
Uso do PowerShell - O PowerShell pode ser usado por um adversário como ferramenta para
automatizar a exfiltração de dados (vazamento) e lançar novos ataques. Para identificar o uso
indevido do PowerShell na rede, os profissionais de segurança podem verificar os logs de
transcrição do PowerShell ou os logs de eventos do Windows. A string do agente do usuário e os
endereços IP também podem ser usados para identificar hosts maliciosos que tentam exfiltrar
(vazar) dados.
Atividades de proxy não especificadas - Um adversário pode criar e configurar vários domínios
apontando para algum host, permitindo assim que um adversário alterne rapidamente entre os
domínios para evitar a detecção. Os profissionais de segurança podem encontrar domínios não
especificados verificando se os feeds de dados são gerados por esses domínios. Usando este feed de
dados, os profissionais de segurança também podem encontrar qualquer arquivo malicioso baixado
e a comunicação não solicitada com a rede externa com base nos domínios.
Uso da interface de linha de comando - Ao obter acesso ao sistema de destino, um adversário
pode usar a interface de linha de comando para interagir com o sistema de destino, navegar pelos
arquivos, ler o conteúdo do arquivo, modificar o conteúdo do arquivo, criar novas contas, conectar-
se ao sistema remoto e baixe e instale o código malicioso. Os profissionais de segurança podem
identificar esse comportamento de um adversário verificando os logs para identificar o processo,
processos com letras e números arbitrários e arquivos maliciosos baixados da Internet.
Uso de DNS Tunneling - Os adversários usam túnel DNS para ofuscar o tráfego malicioso no
tráfego legítimo transportado por protocolos comuns usados na rede. Usando o túnel DNS, um
adversário também pode se comunicar com o servidor de comando e controle, contornar controles
de segurança e realizar exfiltração de dados (vazamento). Os profissionais de segurança podem
identificar o encapsulamento de DNS analisando solicitações de DNS mal-intencionadas, carga útil
de DNS (PAYLOAD de DNS), domínios não especificados e o destino de solicitações de DNS.
Uso do Web Shell - Um adversário usa um web shell para manipular o servidor web criando um
shell dentro de um site; ele permite que um adversário obtenha acesso remoto às funcionalidades de
um servidor. Usando um shell da web, um adversário executa várias tarefas, como exfiltração de
dados (vazamento), transferências de arquivos e uploads de arquivos. Os profissionais de segurança
podem identificar o web shell em execução na rede analisando o acesso ao servidor, logs de erros,
strings suspeitas que indicam codificação, strings do agente do usuário e por outros métodos.
Data Staging - Após a penetração bem-sucedida na rede de um alvo, o adversário usa técnicas de
data staging para coletar por um adversário, incluindo dados confidenciais sobre funcionários e
clientes, as táticas de negócios de uma organização, informações financeiras e informações de
infraestrutura de rede. Uma vez coletados, o adversário pode exfiltrar (vazar) ou destruir os dados.
Os profissionais de segurança podem detectar o armazenamento temporário de dados monitorando o
tráfego de rede para transferências de arquivos mal-intencionados, integridade de arquivos,
monitoramento e logs de eventos.