Prefacio

Já que você está lendo este material didático CEHv11, provavelmente percebe a importância da
segurança dos sistemas de informação. No entanto, gostaríamos de apresentar nosso movimento por
trás da compilação de um recurso como este e o que você pode ganhar com este curso.

Você pode se perguntar o que diferencia esse curso dos outros por aí. A verdade é que nenhum
material didático pode abordar de forma detalhada todas as questões de segurança da informação.
Além disso, a velocidade com que explorações, ferramentas e métodos estão sendo descobertos pela
comunidade de segurança torna difícil para um programa cobrir todas as facetas necessárias da
segurança da informação. Isso não significa que esta fonte seja inadequada de qualquer forma, pois
trabalhamos para cobrir todos os principais domínios de tal forma que o leitor poderá apreciar a
maneira como a segurança evoluiu ao longo do tempo, além de obter informações sobre o
funcionamento fundamental relevante para cada domínio. É uma mistura de sabedoria acadêmica e
prática complementada com ferramentas que o leitor pode acessar facilmente para obter uma
experiência prática.

A ênfase em todo o material didático está na aquisição de know-how prático (know-how), o que
explica a ênfase em ferramentas gratuitas e acessíveis. Você lerá sobre alguns dos ataques mais
difundidos vistos, as ferramentas populares usadas pelos invasores e como os ataques foram
realizados usando recursos comuns.

Você também pode querer saber o que esperar depois de concluir o curso. Este material didático é
um material de recurso. Qualquer testador de penetração pode lhe dizer que não há uma
metodologia direta ou sequência de etapas que você possa seguir ao auditar um site de cliente. Não
existe um modelo que atenda a todas as suas necessidades. Sua estratégia de teste varia de acordo
com o cliente, as informações básicas sobre o sistema ou situação e os recursos à sua disposição. No
entanto, para cada estágio que você escolher - seja enumeração, firewall, penetração de outros
domínios - você encontrará algo neste material didático que definitivamente poderá usar.

Finalmente, este não é o fim. Este material didático deve ser considerado um constante trabalho em
andamento porque agregaremos valor a este material didático ao longo do tempo. Você pode
encontrar alguns aspectos extremamente detalhados, enquanto outros podem ter menos detalhes.
Estamos constantemente nos perguntando se o conteúdo ajuda a explicar o ponto central da lição, e
constantemente calibramos nosso material com isso em mente. Gostaríamos muito de ouvir seus
pontos de vista e sugestões, então envie-nos seus comentários para ajudar em sua busca para
melhorar continuamente nosso material didático.
MODULO 1 – INTRODUÇÃO A HACKER ÉTICO.

Objetivos do modulo
I. Entendendo os elementos de segurança da informação
II. Entendendo os ataques de segurança da informação e a guerra da informação.
III. Visão geral da metodologia de cyber kill chain, TTPs e IoCs
IV. Visão geral dos conceitos, tipos e fases de hacking.
V. Entendendo os conceitos de hacking ético e seu escopo
VI. Visão geral dos controles de segurança da informação.
VII. Visão geral dos atos e leis de segurança da informação

Objetivos do Módulo

Os ataques invadem os sistemas por vários motivos e propósitos. Portanto, é importante entender
como hackers maliciosos atacam e exploram sistemas e as prováveis razões por trás desses ataques.
Como Sun Tzu afirma na Arte da Guerra, "se você conhece a si mesmo, mas não ao inimigo, para
cada vitória conquistada, você também sofrerá uma derrota". Administradores de sistemas e
profissionais de segurança devem proteger sua infraestrutura contra explorações conhecendo o
inimigo - o(s) hacker(es) malicioso(s) - que busca usar a mesma infraestrutura para atividades
ilegais.

Este módulo começa com uma visão geral do cenário de segurança atual e dos vetores de ameaças
emergentes. Ele fornece informações sobre diferentes elementos de segurança da informação.
Posteriormente, o módulo discute os conceitos de hacking e hacking ético e termina com uma breve
discussão sobre controles de segurança da informação e leis e atos de segurança da informação.
Ao final deste módulo, você será capaz de:

1. Descrever os elementos de segurança da informação.

2. Descrever a metodologia de cyber kill chain, TTPs e IoCs
3. Descrever conceitos, tipos e fases de kacking.
4. Explicar conceitos e escopo de kacking ético.
5. Entenda os controles de segurança da informação (defesa em profundidade,
gerenciamento de riscos, inteligência de ameaças cibernéticas, processo de
gerenciamento de incidentes e IA/ML).
6. Conheça os atos e leis de segurança da informação.

1.1 VISÃO GERAL SOBRE SEGURANÇA DA INFORMAÇÃO.

A segurança da informação refere-se à proteção ou salvaguarda de informações e sistemas de

informação que usam, armazenam e transmitem informações contra acesso, divulgação, alteração e
destruição não autorizados. A informação é um ativo crítico que as organizações devem proteger se
informações confidenciais caírem em mãos erradas, então a respectiva organização sofrerá enormes
perdas em termos de finanças, reputação da marca, clientes ou de outras maneiras. Para fornecer
uma compreensão de como esses recursos de informações críticas são seguros, este módulo começa
com uma visão geral da segurança da informação.

Esta seção apresenta os ¹elementos de segurança da informação, ²classificação de ataques e ³guerra

de informação.
¹ELEMENTOS DE SEGURANÇA DA INFORMAÇÃO

A segurança da informação é “o estado de bem-estar da informação e infraestrutura em que a

possibilidade de roubo, adulteração ou interrupção de informações e serviços é mantida ou
tolerável”. Baseia-se em cinco elementos principais: confidencialidade, integridade,
disponibilidade, autenticidade e não repúdio.

Confidencialidade - é a garantia de que a informação é acessível apenas a pessoas autorizadas.

Violações de confidencialidade podem ocorrer devido ao manuseio inadequado de dados ou a uma
tentativa de hacking. Os controles de confidencialidade incluem classificação de dados, criptografia
de dados e descarte adequado de equipamentos (como DVDs, unidades USB e discos Blu-ray).

Integridade - é a confiabilidade dos dados ou recursos na prevenção de alterações indevidas e não

autorizadas, a garantia de que as informações são suficientemente precisas para sua finalidade. As
medidas para manter a integridade dos dados podem incluir uma soma de verificação (um número
produzido por uma função matemática para verificar se um determinado bloco de dados não foi
alterado) e controle de acesso (que garante que apenas pessoas autorizadas possam atualizar,
adicionar ou excluir dados).

Disponibilidade - é a garantia de que os sistemas responsáveis por entregar, armazenar e processar

informações são acessíveis quando solicitados por usuários autorizados. As medidas para manter a
disponibilidade de dados podem incluir array de disco para sistemas redundantes e máquinas em
cluster, software antivírus para combater malware e sistemas de prevenção de negação de serviço
distribuído (DDoS).

Autenticidade - refere-se à característica de comunicação, documentos ou quaisquer dados que

garantam a qualidade de serem genuínos ou não corrompidos. A principal função da autenticação é
confirmar que um usuário é genuíno. Controles como biometria, smart cards e certificados digitais
garantem a autenticidade de dados, transações, comunicações e documentos.

Não Repúdio - é uma forma de garantir que o remetente de uma mensagem não possa negar
posteriormente o envio da mensagem e que o destinatário não possa negar o recebimento da
mensagem. Indivíduos e organizações usam assinaturas digitais para garantir o não repúdio.
Motivos, Metas e Objetivos dos Ataques à Segurança da Informação

Os invasores geralmente têm motivos (goals) e objetivos por trás de seus ataques à segurança da
informação. Um motivo se origina da noção de que um sistema alvo armazena ou processa algo
valioso, o que leva à ameaça de um ataque ao sistema. O objetivo do ataque pode ser interromper as
operações comerciais da organização-alvo, roubar informações valiosas por curiosidade ou até
mesmo para se vingar. Portanto, esses motivos ou objetivos dependem do estado de espírito do
invasor, do motivo para realizar tal atividade, bem como de seus recursos e capacidades. Depois que
o invasor determina seu objetivo, ele pode empregar várias ferramentas, técnicas de ataque e
métodos para explorar vulnerabilidades em um sistema de computador ou política e controles de
segurança.

ATAQUES = Motivo (Objetivo) + Método + Vulnerabilidade

MOTIVOS POR TRÁS DOS ATAQUES DE SEGURANÇA DA INFORMAÇÃO

I. Interromper a continuidade dos negócios.

II. Realizar roubo de informações.
III. Manipular dados.
IV. Criar medo e caos ao interromper infraestruturas críticas.
V. Trazer perda financeira para o alvo.
VI. Propagação de crenças religiosas ou políticas.
VII. Alcançar os objetivos militares de um estado.
VIII. Danificar a propriedade do alvo.
IX. Vingar-se.
X. Exijir resgate.
²Classificação de Ataques

De acordo com a IATF, os ataques de segurança são classificados em cinco categorias:

passivos, ativos, close-in, invasores e distrution.

Ataques passivos - envolvem interceptar e monitorar o tráfego de rede e o fluxo de dados

na rede de destino, não adulterando os dados. Os invasores realizam reconhecimento nas
atividades da rede usando sniffers. Esses ataques são muito difíceis de detectar, pois o
invasor não tem interação ativa com o sistema ou rede de destino. Os ataques passivos
permitem que os invasores capturem os dados ou arquivos transmitidos na rede sem o
consentimento do usuário. Por exemplo, um invasor pode obter informações como dados
não criptografados em trânsito, credenciais de texto não criptografado ou outras informações
confidenciais que são úteis na execução de ataques ativos.

Exemplos de ataques passivos:

I. Pegada.
II. Farejando e escutando.
III. Análise de tráfego de rede.
IV. Descriptografia de tráfego fracamente criptografado.

Ataques ativos - adultera os dados em trânsito ou interrompe a comunicação ou os serviços

entre os sistemas para contornar ou invadir sistemas seguros. Os invasores lançam ataques
no sistema ou rede de destino enviando tráfego ativamente que pode ser detectado. Esses
ataques são executados na rede de destino para explorar informações em trânsito. Eles
penetram ou infectam a rede interna do alvo e obtêm acesso a um sistema remoto para
comprometer a rede interna.

Exemplos de ataques ativos:

I. Ataque de negação de serviço (DoS);

II. Ignorando mecanismos de proteção;
III. Ataques de malware (como vírus, worms, ransoware);
IV. Modificação de informações;
V. Ataques de falsificação;
 VI. Ataques de repetição;
VII. Ataques baseados em senha;
VIII. Sequestro de sessão;
IX. Ataque Man-in-the-Middle;
X. Intoxicação por DNS de anúncios ARP;
XI. Ataque de chave comprometida;
XII. Ataque de firewall e IDS;
XIII. Perfilagem;
XIV. Execução de código arbitrário;
XV. Escalonamento de privilégios;
XVI. Acesso backdoor;
XVII. Ataques de criptografia;
XVIII. Injeção SQL;
XIX. ataques XSS;
XX. Ataques de travessia de diretório;
XXI. Exploração de software aplicativo e de sistema operacional;

Ataques de proximidade - os ataques de proximidade são executados quando o invasor está em

grande proximidade física com o sistema ou rede de destino. O objetivo principal de realizar esse
tipo de ataque é coletar ou modificar informações ou interromper seu acesso. Por exemplo, um
invasor pode carregar as credenciais do usuário de surf. Os atacantes ganham proximidade por meio
de entrada clandestina, acesso aberto ou ambos.

Exemplos de ataques de proximidade:

I. Engenharia social (espionagem, surf no ombro, mergulho no lixo e outros métodos).

Insider Attacks - são realizados por pessoas de confiança que têm acesso físico aos ativos críticos
do alvo. Um ataque interno envolve o uso de acesso privilegiado para violar regras ou causar
intencionalmente uma ameaça às informações ou sistemas de informação da organização. Insiders
podem facilmente ignorar as regras de segurança, corromper recursos valiosos e acessar
informações confidenciais. Eles fazem mau uso dos ativos da organização para manter a
confidencialidade, integridade e disponibilidade dos sistemas de informação. Esses ataques afetam
as operações comerciais, a reputação e o lucro da organização. É difícil descobrir o ataque interno.

Exemplos de ataques internos:

I. Espionagem e escutas telefônicas;

II. Engenharia social;
III. Roubo e espoliação de dados;
IV. Slurping de vagem (POD SLURPING);
V. Plantio de keyloggers, backdoors ou malware;

Ataques de distribuição - ocorrem quando invasores adulteram hardware ou software antes da

instalação. Ataca o hardware ou software em sua origem ou quando está em trânsito. Exemplos de
ataques de distribuição incluem backdoors criados por fornecedores de software ou hardware no
momento da fabricação. Os invasores aproveitam esses backdoors para obter acesso não autorizado
às informações, sistemas ou rede de destino.

I. Modificação de software ou hardware durante a produção;

II. Modificação de software ou hardware durante a distribuição;
Fonte: http://www.iwar.org.uk

³Guerra de Informação ou (infoWar) - O termo guerra de informação ou infoWar refere-se

ao uso de tecnologias de informação e comunicação (TIC) para obter vantagens
competitivas sobre um oponente. Exemplos de armas de guerra de informação incluem
vírus, worms, cavalos de Tróia, bombas lógicas, alçapões (TRAP DOORS), nanomáquinas e
micróbios, interferência eletrônica e exploits e ferramentas de penetração.

Martin Libicki dividiu a guerra de informação nas seguintes categorias:

I. Guerra de comando e controle (C2 WARFARE): no setor de segurança de

computadores, a guerra C2 refere-se ao impacto que um invasor possui em um
sistema ou rede comprometido que eles controlam.

II. Guerra baseada em inteligência: é uma tecnologia baseada em sensores que

corrompe diretamente os sistemas tecnológicos. De acordo com Libicki, "guerra
baseada em inteligência" é a guerra que consiste no design (DESING), proteção e
negação de sistemas que buscam conhecimento suficiente para dominar o espaço de
batalha.

III. Guerra eletrônica - Segundo Libicki, a guerra eletrônica utiliza técnicas

radioeletrônicas e criptográficas para degradar a comunicação. As técnicas de rádio
eletrônica atacam os meios físicos de envio de informações, enquanto as técnicas
criptográficas usam bits e bytes para interromper os meios de envio de informações.

IV. Guerra psicológica - é o uso de várias técnicas como propaganda e terror para
desmoralizar o adversário na tentativa de ter sucesso na batalha.

V. Guerra de hackers - Segundo Libicki, a finalidade desse tipo de guerra pode

variar desde o desligamento de sistemas, erros de dados, roubo de informações,
roubo de serviços, monitoramento de sistemas, mensagens falsas e acesso a dados.
Hackers geralmente usam vírus, bombas lógicas, cavalos de Troia e sniffers para
realizar esses ataques.
 VI. Guerra econômica - Libicki observa que a guerra de informação econômica
pode afetar a economia de uma empresa ou nação ao bloquear o fluxo de
informações. Isso pode ser especialmente devastador para organizações que fazem
muitos negócios no mundo digital.

VII. Cyberwarfare - Libicki define a guerra cibernética como o uso de sistemas de

informação contra as personas virtuais de indivíduos ou grupos. Inclui terrorismo de
informação, ataques semânticos (semelhante à guerra de hackers, mas em vez de
prejudicar um sistema, assume o controle do sistema mantendo a percepção de que
está operando corretamente) e guerra simulada (guerra simulada, por exemplo,
aquisição de armas para mera demonstração ao invés de uso real).

Cada forma de guerra de informação mencionada acima consiste em estratégias defensivas e

ofensivas.

i. Guerra de informação defensiva - envolve todas as estratégias e ações de defesa

contra ataques a ativos de TIC/ICT.
ii. Guerra de Informação Ofensiva - envolve ataques contra os ativos de TIC/ICT de um
oponente.
Conceitos de Cyber Kill Chain

A cadeia de cyber kiil é uma maneira eficiente e eficaz de ilustrar como um adversário pode atacar a
organização alvo. Esse modelo ajuda as organizações a entender as várias ameaças possíveis em
cada estágio de um ataque e as contramedidas necessárias para se defender contra esses ataques.
Além disso, esse modelo fornece aos profissionais de segurança uma visão clara da estratégia de
ataque usada pelo adversário para que diferentes níveis de controles de segurança possam ser
implementados para proteger a infraestrutura de TI da organização.

Esta seção discute a metodologia de cyber kill chain, TTPs comuns usados por adversários,
comportamento de adversários e Indicadores de Comprometimento (IoCs).
Metodologia da Cyber Kill Chain

A metodologia de cyber kill chain é um componente de defesa orientada por inteligência para a
identificação e prevenção de atividades de intrusão maliciosa. Essa metodologia ajuda os
profissionais de segurança a identificar as etapas que os adversários seguem para atingir seus
objetivos.

A cadeia de morte cibernética é uma estrutura (FRAMEWORK) desenvolvida para proteger o

ciberespaço com base no conceito de cadeias de morte militar. Este método visa melhorar
ativamente a detecção e resposta de intrusão. A cadeia de morte cibernética está equipada com um
mecanismo de proteção de sete fases para mitigar e reduzir as ameaças cibernéticas.

Segundo a Lockheed Martin, os ataques cibernéticos podem ocorrer em sete fases diferentes, desde
o reconhecimento até o cumprimento final do objetivo. Uma compreensão da metodologia da cyber
kill chain ajuda os profissionais de segurança a aproveitar os controles de segurança em diferentes
estágios do ataque e os ajuda a evitar o ataque antes que ele seja bem-sucedido. Ele também fornece
uma visão mais ampla das fases de ataque, o que ajuda a entender antecipadamente os TTPs do
adversário.

Reconhecimento (RECONNAISSANCE) - Um adversário realiza reconhecimento para coletar o

máximo de informações possível sobre o alvo para sondar pontos fracos antes de realmente atacar.
Eles procuram informações como informações publicamente disponíveis na Internet, informações
de rede, informações do sistema e informações organizacionais do alvo. Ao realizar o
reconhecimento em diferentes níveis de rede, o adversário pode obter informações como blocos de
rede, endereços IP específicos e detalhes de funcionários. O adversário pode usar ferramentas
automatizadas, como portas e serviços abertos, vulnerabilidades em aplicativos e credenciais de
login, para obter informações. Essas informações podem ajudar o adversário a obter acesso
backdoor à rede de destino.

As atividades do adversário incluem o seguinte:

I. Coleta de informações sobre a organização-alvo por meio de pesquisas na internet ou

por meio de engenharia social;
 II. Realização de análises de várias atividades online e informações publicamente
disponíveis;
III. Coleta de informações de sites de redes sociais e serviços da Web;
IV. Obtenção de informações sobre sites visitados;
V. Acompanhamento e análise do website da organização alvo;
VI. Executando Whois, DNS e footprinting de rede;
VII. Realizar varredura para identificar portas e serviços abertos;

Armamento (WEAPONIZATION) - O adversário analisa os dados coletados na etapa anterior para

identificar as vulnerabilidades e técnicas que podem explorar e obter acesso não autorizado à
organização alvo. Com base nas vulnerabilidades identificadas durante a análise, o adversário
seleciona ou cria uma carga maliciosa entregue sob medida (PAYLOAD) (arma de malware de
acesso remoto) usando uma exploração e um backdoor para enviá-la à vítima. Um adversário pode
ter como alvo dispositivos de rede específicos, sistemas operacionais, dispositivos terminais
(endpoint) ou até mesmo indivíduos dentro da organização para realizar seu ataque. Por exemplo, o
adversário pode enviar um e-mail de phishing para um funcionário da organização alvo, quando
baixado, instala um backdoor no sistema que permite acesso remoto ao adversário.

A seguir estão as atividades do adversário:

I. Identificar a carga útil de malware apropriada com base na análise (definir

PAYLOAD);
II. Criar uma nova carga de malware ou selecionar, reutilizar, modificar as cargas de
malware disponíveis com base na vulnerabilidade identificada;
III. Criação de uma campanha de e-mail de phishing;
IV. Aproveitando kits de exploração e botnets;

Entrega [DELIVERY] - A etapa anterior incluía a criação de uma arma. Sua carga útil é transmitida
para a(s) vítima(s) pretendida(s) como um anexo de e-mail, por meio de um link malicioso em sites
ou por meio de um aplicativo da Web ou unidade USB vulnerável. A entrega é uma etapa chave que
mede a eficácia das estratégias de defesa implementadas pela organização-alvo com base no
bloqueio ou não da tentativa de invasão do adversário.

A seguir estão as atividades do adversário:

I. Envio de e-mail de phishing para funcionários da organização alvo;
II. Distribuição de unidades USB contendo carga maliciosa para funcionários da
organização de destino;
III. Realizar ataques como watering hole no site comprometido;
IV. Implementação de várias ferramentas de hacking contra os sistemas operacionais,
aplicativos e servidores da organização de destino;

Exploração [EXPLOITATION]- Depois que a arma é transmitida para a vítima pretendida, a

exploração aciona o código malicioso do adversário para explorar uma vulnerabilidade no sistema
operacional, aplicativo ou servidor em um sistema de destino. Nesse estágio, a organização pode
enfrentar ameaças como ataques de autenticação e autorização, execução arbitrária de código,
ameaças de segurança física e configuração incorreta de segurança.

As atividades do adversário incluem o seguinte:

I. Explorar vulnerabilidades de software ou hardware para obter acesso remoto ao

sistema de destino.
Instalação (INSTALLATION) - O adversário baixa e instala mais software malicioso no sistema de
destino para manter o acesso à rede de destino por um período prolongado. Eles usam a arma para
instalar um backdoor para obter acesso remoto. Após a injeção do código malicioso em um sistema
de destino, o adversário ganha a capacidade de espalhar a informação para outros sistemas finais na
rede. Além disso, o adversário tenta ocultar a presença de atividades maliciosas de controles de
segurança, como firewalls, usando várias técnicas, como criptografia.

A seguir estão as atividades do adversário:

I. Baixar e instalar software malicioso, como backdoors;

II. Obtenção de acesso remoto ao sistema de destino;
III. Aproveitando vários métodos para manter o backdoor escondido e funcionando;
IV. Manter o acesso ao sistema alvo;

Comando e Controle (C2) - O adversário cria um canal de comando e controle, que estabelece
comunicação de duas vias (TWO-WAY COMMUNICATION) entre o sistema da vítima e o
servidor controlado pelo adversário para se comunicar e passar dados para frente e para trás. Os
adversários implementam técnicas como criptografia para esconder a presença de tais canais.
Usando este canal, o adversário realiza exploração remota no sistema ou rede alvo.

A seguir estão as atividades do adversário:

I. Estabelecer um canal de comunicação bidirecional (TWO-WAY
COMMUNICATION) entre a vítima e o servidor controlado pelo adversário;
II. Aproveitando canais como tráfego da web, comunicação por e-mail e mensagens
DNS;
III. Aplicação de técnicas de escalonamento de privilégios;
IV. Esconder qualquer evidência de comprometimento usando técnicas como
criptografia;

Ações em Objetivos (Actions on Objectives)- O adversário controla o sistema da vítima de um

local remoto e, finalmente, atinge os objetivos pretendidos. O adversário obtém acesso a dados
confidenciais, interrompe os serviços ou a rede ou destrói a capacidade operacional do alvo ao obter
acesso à sua rede e comprometer mais sistemas. Além disso, o adversário pode usar este ponto de
lançamento para realizar outros ataques.
Táticas, Técnicas e Procedimentos (TTPs)

Os termos "táticas, técnicas e procedimentos" referem-se aos padrões de atividades e métodos

associados a agentes específicos de ameaças ou grupos de agentes de ameaças. Os TTPs são úteis na
análise de ameaças e na criação de perfis de agentes de ameaças e podem ser usados para fortalecer
a infraestrutura de segurança de uma organização. A palavra "táticas" é definida como uma diretriz
que descreve a maneira como um invasor realiza seu ataque do início ao fim. A palavra "técnicas" é
definida como os métodos técnicos usados por um invasor para obter resultados intermediários
durante seu ataque. Finalmente, a palavra "procedimentos" é definida como a abordagem
organizacional seguida pelos atores da ameaça para lançar seu ataque. Para entender e se defender
contra os agentes de ameaças, é importante entender os TTPs usados pelos adversários.
Compreender as táticas de um invasor ajuda a prever e detectar ameaças em evolução nos estágios
iniciais. Entender as técnicas usadas pelos invasores ajuda a identificar vulnerabilidades e
implementar medidas defensivas com antecedência. Por fim, analisar os procedimentos usados
pelos invasores ajuda a identificar o que o invasor está procurando na infraestrutura da organização-
alvo.

As organizações devem entender os TTPs para proteger sua rede contra agentes de ameaças e
ataques futuros. Os TTPs permitem que as organizações interrompam os ataques no estágio inicial,
protegendo assim a rede contra danos maciços.

Táticas - descrevem a maneira como o agente da ameaça opera durante as diferentes fases de um
ataque. Consiste nas várias táticas usadas para coletar informações para a exploração inicial,
realizar escalação de privilégios e movimentação lateral e implantar medidas para acesso de
persistência ao sistema. Geralmente, os grupos APT dependem de um certo conjunto de táticas
imutáveis, mas em alguns casos, eles se adaptam a diferentes circunstâncias e alteram a forma como
realizam seus ataques.

Uma organização pode traçar o perfil dos agentes de ameaças nas táticas que eles usam; isso
consiste na maneira como eles coletam informações sobre um alvo, os métodos que seguem para o
comprometimento inicial e o número de pontos de entrada que usam ao tentar entrar na rede de
destino.
Por exemplo, para obter informações, alguns agentes de ameaças dependem exclusivamente de
informações disponíveis na Internet, enquanto outros podem realizar engenharia social ou usar
conexões em organizações intermediárias. Depois que informações como os endereços de e-mail
dos funcionários da organização-alvo são coletadas, os agentes da ameaça optam por abordar o alvo
um por um como um grupo. Além disso, a carga útil projetada pelos invasores pode permanecer
constante do início ao fim do ataque ou pode ser alterada com base no indivíduo alvo. Portanto,
para entender melhor os atores das ameaças, as táticas usadas nos estágios iniciais de um ataque
devem ser analisadas adequadamente.

Outro método de análise dos grupos APT é inspecionar a infraestrutura e as ferramentas usadas para
realizar seu ataque. Por exemplo, considere estabelecer um canal de comando e controle nos
servidores controlados pelo invasor. Esses servidores C&C podem estar localizados em uma
localização geográfica específica ou podem se espalhar pela Internet e podem ser estáticos ou
podem mudar dinamicamente. Também é importante analisar as ferramentas utilizadas para realizar
o ataque. Isso inclui analisar as explorações e ferramentas usadas por vários grupos APT. Nesse
cenário, um agente de ameaças sofisticado pode explorar muitas vulnerabilidades de dia zero
(ZERO-DAY) usando ferramentas adaptadas e métodos de ofuscação. No entanto, isso pode ser
difícil, pois os agentes de ameaças menos sofisticados geralmente dependem de vulnerabilidades
conhecidas publicamente e ferramentas de código aberto. Identificar esse tipo de tática ajuda a
traçar o perfil dos grupos APT construindo medidas defensivas com antecedência.

Em alguns casos, entender as táticas usadas nos últimos estágios de um ataque ajuda a traçar o perfil
do agente da ameaça. Além disso, os métodos usados para cobrir os rastros ajudam a organização
alvo a entender as campanhas de ataque. Analisar as táticas usadas pelos invasores ajuda a criar um
perfil inicial ao entender as diferentes fases de um ciclo de vida do APT. Esse perfil ajuda a realizar
uma análise mais aprofundada das técnicas e procedimentos usados pelos invasores. Um invasor
pode alterar continuamente os TTPs usados, por isso é importante revisar e atualizar constantemente
as táticas usadas pelos grupos APT.

Técnicas - Para lançar um ataque com sucesso, os atores utilizam várias técnicas durante sua
execução. Essas técnicas incluem exploração inicial, configuração e manutenção de canais de
comando e controle, acesso à infraestrutura de destino e cobertura dos rastros de exfiltração de
dados. As técnicas seguidas pelo agente da ameaça para conduzir um ataque podem variar, mas na
maioria são semelhantes e podem ser usadas para criação de perfil. Portanto, entender as técnicas
utilizadas nas diferentes fases de um ataque é essencial para analisar os grupos de ameaças de forma
eficaz.

As técnicas também podem ser analisadas em cada estágio do ciclo de vida da ameaça. Portanto, as
técnicas no estágio inicial descrevem principalmente as ferramentas usadas para coleta de
informações e exploração inicial. As técnicas utilizadas nesta etapa não precisam necessariamente
ter um aspecto técnico. Por exemplo, na engenharia social, certas ferramentas de software não
técnicas são usadas como uma maneira eficaz de coletar informações. Um invasor pode usar essas
ferramentas para obter os endereços de e-mail dos funcionários da organização-alvo por meio de
recursos disponíveis publicamente.

Da mesma forma, a engenharia social puramente humana pode ser usada para realizar a exploração
inicial. Por exemplo, considere um cenário em que a vítima é enganada por meio de um telefonema
para revelar suas credenciais de login para acessar a rede interna da organização de destino. Essas
técnicas são usadas na fase inicial de um ataque para coletar informações sobre o alvo e quebrar a
primeira linha de defesa.
As técnicas usadas nos estágios intermediários de um ataque dependem principalmente de
ferramentas técnicas para inicialmente escalar privilégios em sistemas comprometidos ou realizar
movimentos laterais dentro da rede da organização alvo. Nesse estágio de um ataque, os invasores
usam várias explorações ou vulnerabilidades de configuração de uso indevido no sistema de
destino. Eles também podem explorar falhas de projeto de rede para obter acesso a outros sistemas
na rede. Em todos esses casos, explorações ou uma coleção de ferramentas permitem que o invasor
execute um ataque bem-sucedido. Neste cenário o termo “técnica” é o conjunto de ferramentas
como são utilizadas para obter resultados intermediários durante uma campanha de ataque.

As técnicas são a última etapa de um ataque, podendo ter aspectos técnicos e não técnicos. Nesse
cenário, as técnicas usadas para roubo de dados geralmente são baseadas em tecnologia de rede e
criptografia. Por exemplo, o agente da ameaça criptografa os arquivos roubados, os transfere por
meio do canal de comando e controle estabelecido e os copia para seu próprio sistema. Depois de
executar com sucesso o ataque e transferir os arquivos, o invasor segue certas técnicas puramente
técnicas para cobrir seus rastros. Eles usam ferramentas de software automatizadas para limpar os
arquivos de log para evitar a detecção.

Depois de agregar as técnicas usadas em todas as etapas de um ataque, a organização pode usar as
informações para traçar o perfil dos atores da ameaça. Para fazer uma atribuição precisa dos agentes
de ameaças, a organização deve observar todas as técnicas utilizadas por seus adversários.

Procedimentos - Os "procedimentos" envolvem uma sequência de ações executadas pelos agentes

da ameaça para executar diferentes etapas do ciclo de vida de um ataque. O número de ações
geralmente difere dependendo dos objetivos do procedimento e do grupo APT. Um agente de
ameaça avançado usa procedimentos avançados que consistem em mais ações do que um
procedimento normal para obter o mesmo resultado intermediário. Isso é feito principalmente para
aumentar a taxa de sucesso de um ataque e diminuir a probabilidade de detecção por mecanismos de
segurança.

Por exemplo, em um procedimento básico de coleta de informações, um ator coleta informações

sobre a organização-alvo; identifica alvos-chave, funcionários; coleta seus detalhes de contato,
identifica sistemas vulneráveis e potenciais pontos de entrada para a rede de destino e documenta
todas as informações coletadas. As ações posteriores de um adversário dependem das táticas usadas.
Essas ações incluem extensa pesquisa e coleta repetida de informações para coletar informações
detalhadas e atualizadas sobre os indivíduos-alvo por meio de sites de redes sociais. Essas
informações podem ajudar os agentes de ameaças a realizar spear phishing, monitorar controles de
segurança para identificar explorações de dia zero (ZERO-DAY) em sistemas de destino e outras
tarefas. Por exemplo, um agente de ameaças usando um procedimento mais detalhado executa a
carga de malware (PAYLOAD). No momento da execução, o código malicioso se descriptografa,
escapa dos controles de monitoramento de segurança, implanta a persistência e estabelece um canal
de comando e controle para comunicação com o sistema da vítima. Esse tipo de procedimento é
comum para malware, onde diferentes agentes de ameaças podem implementar o mesmo recurso e,
portanto, é útil em investigações forenses.

Uma análise adequada e compreensiva dos procedimentos seguidos por determinados agentes de
ameaças durante um ataque ajuda a criar o perfil dos agentes de ameaças. No estágio inicial de um
ataque, como durante a coleta de informações, é difícil observar o procedimento de um grupo APT.
No entanto, os estágios posteriores de um ataque podem deixar rastros que podem ser usados para
entender os procedimentos que o invasor seguiu.
Identificação Comportamental do Adversário

A identificação do comportamento do adversário envolve a identificação dos métodos ou técnicas

comuns seguidas por um adversário para lançar ataques para penetrar na rede de uma organização.
Ele fornece aos profissionais de segurança informações sobre ameaças e explorações futuras. Isso
os ajuda a planejar a infraestrutura de segurança da rede e a adaptar uma série de procedimentos de
segurança como prevenção contra vários ataques cibernéticos.

Abaixo estão alguns dos comportamentos de um adversário que podem ser usados para aprimorar os
recursos de detecção de dispositivos de segurança:

Reconhecimento Interno - Uma vez que o adversário está dentro da rede alvo, ele segue várias
técnicas e métodos para realizar o reconhecimento interno. Isso inclui a enumeração de sistemas,
hosts, processos, a execução de vários comandos para descobrir informações como o contexto do
usuário local e a configuração do sistema, nome do host, endereços IP, sistemas remotos ativos e
programas executados nos sistemas de destino. Os profissionais de segurança podem monitorar as
atividades de um adversário verificando comandos incomuns executados nos scripts do Lote e no
PowerShell e usando ferramentas de captura de pacotes.

Uso do PowerShell - O PowerShell pode ser usado por um adversário como ferramenta para
automatizar a exfiltração de dados (vazamento) e lançar novos ataques. Para identificar o uso
indevido do PowerShell na rede, os profissionais de segurança podem verificar os logs de
transcrição do PowerShell ou os logs de eventos do Windows. A string do agente do usuário e os
endereços IP também podem ser usados para identificar hosts maliciosos que tentam exfiltrar
(vazar) dados.

Atividades de proxy não especificadas - Um adversário pode criar e configurar vários domínios
apontando para algum host, permitindo assim que um adversário alterne rapidamente entre os
domínios para evitar a detecção. Os profissionais de segurança podem encontrar domínios não
especificados verificando se os feeds de dados são gerados por esses domínios. Usando este feed de
dados, os profissionais de segurança também podem encontrar qualquer arquivo malicioso baixado
e a comunicação não solicitada com a rede externa com base nos domínios.
Uso da interface de linha de comando - Ao obter acesso ao sistema de destino, um adversário
pode usar a interface de linha de comando para interagir com o sistema de destino, navegar pelos
arquivos, ler o conteúdo do arquivo, modificar o conteúdo do arquivo, criar novas contas, conectar-
se ao sistema remoto e baixe e instale o código malicioso. Os profissionais de segurança podem
identificar esse comportamento de um adversário verificando os logs para identificar o processo,
processos com letras e números arbitrários e arquivos maliciosos baixados da Internet.

Agente do usuário HTTP - Na comunicação baseada em HTTP, o servidor identifica o cliente

HTTP conectado usando o campo do agente do usuário. Um adversário modifica o conteúdo do
campo do agente do usuário HTTP para se comunicar com o sistema comprometido e realizar
outros ataques. Portanto, os profissionais de segurança podem identificar esse ataque em um estágio
inicial verificando o conteúdo do campo user agent.

Servidor de Comando e Controle - Os adversários usam servidores de comando e controle para se

comunicar remotamente com sistemas comprometidos por meio de uma sessão criptografada.
Usando esse canal criptografado, o adversário pode roubar dados, excluir datas e lançar novos
ataques. Os profissionais de segurança podem detectar hosts ou redes comprometidos identificando
a presença de um servidor de comando e controle rastreando o tráfego para tentativas de conexão de
saída, portas abertas indesejadas e outras anomalias.

Uso de DNS Tunneling - Os adversários usam túnel DNS para ofuscar o tráfego malicioso no
tráfego legítimo transportado por protocolos comuns usados na rede. Usando o túnel DNS, um
adversário também pode se comunicar com o servidor de comando e controle, contornar controles
de segurança e realizar exfiltração de dados (vazamento). Os profissionais de segurança podem
identificar o encapsulamento de DNS analisando solicitações de DNS mal-intencionadas, carga útil
de DNS (PAYLOAD de DNS), domínios não especificados e o destino de solicitações de DNS.

Uso do Web Shell - Um adversário usa um web shell para manipular o servidor web criando um
shell dentro de um site; ele permite que um adversário obtenha acesso remoto às funcionalidades de
um servidor. Usando um shell da web, um adversário executa várias tarefas, como exfiltração de
dados (vazamento), transferências de arquivos e uploads de arquivos. Os profissionais de segurança
podem identificar o web shell em execução na rede analisando o acesso ao servidor, logs de erros,
strings suspeitas que indicam codificação, strings do agente do usuário e por outros métodos.

Data Staging - Após a penetração bem-sucedida na rede de um alvo, o adversário usa técnicas de
data staging para coletar por um adversário, incluindo dados confidenciais sobre funcionários e
clientes, as táticas de negócios de uma organização, informações financeiras e informações de
infraestrutura de rede. Uma vez coletados, o adversário pode exfiltrar (vazar) ou destruir os dados.
Os profissionais de segurança podem detectar o armazenamento temporário de dados monitorando o
tráfego de rede para transferências de arquivos mal-intencionados, integridade de arquivos,
monitoramento e logs de eventos.