Ameaças, Ataques e Gerenciamento

de Vulnerabilidades
Prof. Alexandre Domingos de Sousa
Ameaças proinfo.fia.com.br

MITRE ATT&CK Inspirado no Kill Chain

Actions &
Recon Weaponise Delivery Exploitation Installation C2
Objectives

 Mecanismo de  Técnico ou humano?

 Motivação  Configuração  Persistência  Comunicação entre a  Ações do atacante quando
entrega  Aplicações afetadas
 Preparação  Empacotamento  Características das vítima e o adversário tiver acesso ao Sistema-
 Vetor de  Métodos e
modificações alvo.
infecção características
 Aquisição de novos
componentes

MITRE ATT&CK: MITRE ATT&CK: MITRE ATT&CK: MITRE ATT&CK: MITRE ATT&CK: MITRE ATT&CK: MITRE ATT&CK:
 Active Scanning  Malware  Spearphishing  Local Job Scheduling  Application  Data Obfuscation  Email Collection
 Passive Scanning  Scripting Attachment/Link  Scripting Shimming  Domain Fronting  Data from Local
 Determine Domain  Service Execution  Exploit Public-Facing  Rundll32  Hooking  Web Service System/Network Share
and IP Address Application  Login Items
Space  Supply Chain
 Analyze Third-Party Compromise
IT Footprint
Controles de Controles de Segurança: Controles de Segurança: Controles de Segurança: Controles de Segurança: Controles de Segurança:
Segurança:  Gestão de  Antivirus  Antivirus  Antivirus  IDS
 Políticas e Vulnerabilidades e  Web Proxy  EDR  EDR  Web proxy
Procedimentos Ameaças  Mobile Device Mgt.  IDS  Políticas e  Firewalls
 Firewall  Directory Services Procedimentos  EDR
 Conscientização
Ameaças proinfo.fia.com.br

APT - STUXNET
Um worm de computador destrutivo datado de 2007 é considerado a primeira ciber arma conhecida. O
Stuxnet teve como alvo o programa nuclear do Irã, destruindo em última instância quase um quinto das
centrífugas nucleares do país. A infecção inicial foi por meio de uma unidade flash USB corrompida. Depois
de encontrar controladores lógicos programáveis, o malware executaria códigos que danificaram o
equipamento controlado pelo PC infectado.

Ano primeiro "sample" 2007

Ano descoberta 2010
Tipo Worm
Plataformas-alvo SCADA
Top países-alvo Irã
Forma de propagação Infecção de arquivo, Disseminação pela rede, USB
Propósito Sabotagem cibernética
Características especiais Primeira arma cibernética para causar dano físico
Alvo Indústria nuclear
Atribuição Campanha estado-nação
Ameaças proinfo.fia.com.br

APT - LAZARUS
Um APT que está ativo desde pelo menos 2009. Acredita-se que esse grupo seja responsável por inúmeras
campanhas multifacetadas que incluem ciberespionagem, ciber sabotagem, ransomware e ataques contra
instituições financeiras. Originalmente, o grupo estava focado em realizar o que parecia ser uma agenda
geopolítica focada principalmente na Coreia do Sul. No entanto, desde então mudou para alvos globais e
começou a lançar ataques para obter ganhos financeiros.
Ano primeiro "sample" 2009
Ano descoberta 2016
Tipo Toolkit para espionagem cibernética
Plataformas-alvo Windows
Top países-alvo Brasil, China, Índia, Irã, Iraque, EUA, Rússia, Coreia Sul
Forma de propagação Phishing
Propósito Sabotagem e espionagem cibernética
Características especiais Primeira arma cibernética para causar dano físico
Alvo Instituições financeiras, governo e militar
61,9% deles têm pelo menos um recurso de PE com localidade ou
idioma coreano. Um IP norte-coreano esteve envolvido em pelo
Atribuição menos duas operações contra bancos na Europa em 2017
Ameaças proinfo.fia.com.br

APT – CARBANAK 2.0

A segunda versão da infame gangue cibercriminosa Carbanak, esse grupo tem como alvo instituições
financeiras. Usando as mesmas ferramentas e técnicas de estilo APT, incluindo a backdor do Carbanak, o
Carbanak 2.0 foi além dos bancos para direcionar os departamentos de orçamento e contabilidade de
qualquer organização de interesse.

Ano primeiro "sample" 2015

Ano descoberta 2015
Tipo Backdoor
Plataformas-alvo Windows
Top países-alvo Mundo
Forma de propagação Exploits e engenharia social
Propósito Furto financeiro
Uma característica interessante do Carbanak 2.0 é um perfil de vítima diferente. O grupo
foi além dos bancos e agora está focando nos departamentos de orçamento e
contabilidade em qualquer organização de seu interesse, usando as mesmas ferramentas
Características especiais e técnicas do estilo APT.
Alvo Instituições financeiras e Telecom
Atribuição -
Ameaças proinfo.fia.com.br

APT - WANNACRY
O maior ataque de ransomware da história, atribuído ao Lazarus, visando centenas de milhares de
organizações, incluindo instituições médicas, em pelo menos 74 países. Depois que o acesso ao sistema é
obtido por meio de um exploit já corrigido e vazado para uma vulnerabilidade do Windows, as redes
corporativas são infectadas com um ransomware que criptografa seus dados.

Ano primeiro "sample" 2017

Ano descoberta 2017
Tipo Trojan
Plataformas-alvo Windows
Top países-alvo Índia, Rússia, Taiwan, Ucrânia
Forma de propagação Exploits
Propósito Ransomware
Embora os computadores Windows não corrigidos que expõem seus serviços SMB
possam ser atacados remotamente com o exploit “EternalBlue” e infectados pelo
ransomware WannaCry, a falta de existência dessa vulnerabilidade não impede que o
Características especiais componente ransomware funcione
Alvo Entidades do governo e Telecom
Atribuição Semelhanças em mensagens criptografadas podem indicar laços com o grupo Lazarus
Ameaças proinfo.fia.com.br

APT - OCTOPUS

Um programa malicioso do Windows distribuído pelo DustSquad. Em abril de 2018, os atacantes usaram o
potencial banimento do Telegram para empurrar o malware como software de comunicação alternativo.

Ano primeiro "sample" 1990

Ano descoberta 2018
Tipo Trojan
Plataformas-alvo Windows
Top países-alvo Ásia Central
Forma de propagação Exploits
Propósito Espionagem e sabotagem cibernética
Características especiais Componente ransomware funcione
Alvo Organizações diplomáticas e embaixadas
Atribuição Semelhanças em mensagens criptografadas podem indicar laços com o grupo Lazarus
 proinfo.fia.com.br

Gestão de Vulnerabilidades
Gestão de Vulnerabilidades proinfo.fia.com.br

Vulnerabilidade - conceito segundo o NIST:

“Uma fraqueza na lógica computacional (por exemplo, código) encontrada nos

componentes de software e hardware que, quando explorados, resultam em um
impacto negativo na confidencialidade, integridade ou disponibilidade.

A atenuação das vulnerabilidades nesse contexto normalmente envolve alterações de

codificação, mas pode também incluir alterações de especificações ou mesmo
depreciações de especificações (por exemplo, a remoção de protocolos afetados ou
funcionalidade em sua totalidade). "
Gestão de Vulnerabilidades proinfo.fia.com.br

O National Vulnerability Database (NVD)

O National Vulnerability Database (NVD) é usado para rastrear vulnerabilidades

divulgadas publicamente em todos os tipos de produtos de software e hardware em
toda a indústria.
O NVD é um banco de dados disponível publicamente que pode ser acessado em
https://nvd.nist.gov.
Gestão de Vulnerabilidades proinfo.fia.com.br

Common Vulnerability and Exposures (CVE)

Quando uma vulnerabilidade é descoberta em um produto de software ou hardware e

relatada ao fornecedor que possui o produto ou serviço vulnerável, a vulnerabilidade
receberá um identificador Common Vulnerability and Exposures (CVE).

É importante perceber que a data em que um identificador CVE é atribuído a uma

vulnerabilidade não está necessariamente relacionada à data em que o fornecedor
lança uma atualização que aborda a vulnerabilidade subjacente, ou seja, essas datas
podem ser diferentes.

O fascínio da notoriedade que vem com o anúncio da descoberta de uma nova

vulnerabilidade leva alguns pesquisadores de segurança a liberar detalhes
publicamente antes que os fornecedores possam consertar as falhas.
Gestão de Vulnerabilidades proinfo.fia.com.br

Divulgação de vulnerabilidades

O melhor cenário típico é quando a divulgação pública de uma vulnerabilidade ocorre

na mesma data em que o fornecedor lança uma atualização de segurança que aborda
a vulnerabilidade. Isso reduz a janela de oportunidade para os invasores explorarem a
vulnerabilidade ao tempo que as organizações levam para testar e implantar a
atualização em seus ambientes de TI.

Um exemplo de identificador CVE é CVE-2018-8653. Como você pode ver pelo

identificador CVE, o número 8653 foi atribuído à vulnerabilidade com a qual estava
associado em 2018. Os detalhes incluem o tipo de vulnerabilidade, a data em que o
CVE foi publicado, a data em que o CVE foi atualizado pela última vez, a pontuação de
gravidade da vulnerabilidade, se a vulnerabilidade pode ser acessada remotamente e
seu impacto potencial na confidencialidade, integridade e disponibilidade.
Gestão de Vulnerabilidades proinfo.fia.com.br

A pontuação de um CVE: o CVSS

Como já vimos, o risco é a combinação de probabilidade e impacto. No contexto de

vulnerabilidades, o risco é a combinação da probabilidade de uma vulnerabilidade ser
explorada com sucesso e o impacto no sistema se for explorada.

A pontuação de um CVE representa esse cálculo de risco para a vulnerabilidade. O

Common Vulnerability Scoring System (CVSS) é usado para estimar o risco de cada
vulnerabilidade no NVD. Para calcular o risco, o CVSS usa "métricas de exploração",
como o vetor de ataque, complexidade do ataque, privilégios necessários e interação
do usuário. Para calcular uma estimativa do impacto em um sistema se uma
vulnerabilidade for explorada com sucesso, o CVSS usa "métricas de impacto", como o
impacto esperado na confidencialidade, integridade e disponibilidade.
Gestão de Vulnerabilidades proinfo.fia.com.br

A evolução do CVSS Score

O CVSS evoluiu com o tempo - houve três versões até o momento. As classificações
para a versão 3 são representadas na tabela abaixo:

Rating CVSS Score

Baixo 0.1 - 3.9
Médio 4.0 - 6.9
Alto 7.0 - 8.9
Crítico 9.0 - 10.0

As calculadoras NVD CVSS para CVSS v2 e v3 estão disponíveis para ajudar as

organizações a calcular as pontuações de vulnerabilidade usando métricas temporais e
ambientais. As pontuações podem ser convertidas em classificações como baixa,
média, alta e crítica para tornar mais fácil de gerenciar do que usar pontuações
numéricas granulares.
Gestão de Vulnerabilidades proinfo.fia.com.br

Pontuação das vulnerabilidades versus o risco

Vulnerabilidades com pontuações mais altas têm mais probabilidades de exploração

e/ou maiores impactos nos sistemas quando exploradas. Dito de outra forma, quanto
maior a pontuação, maior o risco. É por isso que muitas equipes de gerenciamento de
vulnerabilidade usam essas pontuações e classificações para determinar com que
rapidez testar e implantar atualizações de segurança e/ou mitigações para
vulnerabilidades em seu ambiente, uma vez que as vulnerabilidades tenham sido
divulgadas publicamente.
Gestão de Vulnerabilidades proinfo.fia.com.br

Vulnerabilidades Dia Zero – “Zero Day”

Outro termo importante para entender é vulnerabilidade de “dia zero” ou “zero day”.
Uma vulnerabilidade de dia zero é a que foi divulgada publicamente antes que o
fornecedor responsável por ela lançasse uma atualização de segurança para corrigi-la.
Essas vulnerabilidades são as mais valiosas de todas as vulnerabilidades, com invasores
e governos dispostos a pagar quantias relativamente altas por elas (potencialmente U$
1 milhão ou mais por uma exploração funcional).
O pior cenário para as equipes de gerenciamento de vulnerabilidade é uma
vulnerabilidade crítica de dia zero no software ou hardware que possuem em seu
ambiente. Isso significa que o risco de exploração pode ser muito alto e que a
atualização de segurança que pode impedir a exploração da vulnerabilidade não está
disponível publicamente.
Gestão de Vulnerabilidades proinfo.fia.com.br

Cálculo do CVSS v3.0 Base Score

https://www.first.org/cvss/calculator/3.0
Gestão de Vulnerabilidades proinfo.fia.com.br

Exemplos de CVSS

MySQL Stored SQL Injection (CVE-2013-0375)

Vulnerabilidade: uma vulnerabilidade no banco de dados do MySQL Server pode permitir que um usuário
remoto autenticado injete código SQL na funcionalidade de replicação do MySQL executando com altos
privilégios. Um ataque bem-sucedido pode permitir que quaisquer dados em um banco de dados MySQL
remoto sejam lidos ou modificados.

Ataque: um invasor requer uma conta no banco de dados MySQL de destino com o privilégio de modificar
identificadores fornecidos pelo usuário, como nomes de tabelas. A conta deve estar em um banco de dados que
está sendo replicado para um ou mais bancos de dados MySQL. Um ataque consiste em efetuar login usando a
conta e modificar um identificador para um novo valor que contém um caractere de aspas e um fragmento de
SQL malicioso. Esse SQL será executado posteriormente como um usuário altamente privilegiado no(s)
sistema(s) remoto(s). O SQL malicioso é injetado em instruções SQL que fazem parte da funcionalidade de
replicação, evitando que o invasor execute instruções SQL arbitrárias.2.3.
Gestão de Vulnerabilidades
CVSS v.3.0 – Score : 6,4 – Rating: médio
Métrica
Vetor de ataque
Complexidade do ataque
Privilégio necessário
Interação do usuário
Escopo
Impacto na confidencialidade
Impacto na Integridade
Impacto na Disponibilidade
proinfo.fia.com.br
Valor Comentários
Rede O invasor se conecta ao banco de dados MySQL explorável por meio de uma rede.
Baixo A replicação deve ser habilitada no banco de dados de destino. Embora desabilitado por padrão, é
comum que seja habilitado, portanto, assumimos esse pior caso.
Baixo O ataque requer uma conta com a capacidade de alterar identificadores fornecidos pelo usuário,
como nomes de tabelas. Os usuários básicos não obtêm esse privilégio por padrão, mas não é
considerado um privilégio suficientemente confiável para garantir que essa métrica seja alta.
Nenhuma
Modificada O componente vulnerável é o banco de dados do servidor MySQL e o componente afetado é um
banco de dados do servidor MySQL remoto (ou bancos de dados).
Baixo O SQL injetado é executado com alto privilégio e pode acessar informações às quais o invasor não
deveria ter acesso. Embora seja executado em um banco de dados remoto (ou bancos de dados),
pode ser possível exfiltrar as informações como parte da instrução SQL. O SQL malicioso é injetado em
instruções SQL que fazem parte da funcionalidade de replicação, evitando que o invasor execute
instruções SQL arbitrárias.
Baixo O SQL injetado é executado com alto privilégio e pode modificar informações às quais o invasor não
deve ter acesso. O SQL malicioso é injetado em instruções SQL que fazem parte da funcionalidade de
replicação, evitando que o invasor execute instruções SQL arbitrárias.
Nenhum Embora o código injetado seja executado com alto privilégio, a natureza desse ataque evita que
instruções SQL arbitrárias sejam executadas, o que poderia afetar a disponibilidade dos bancos de
dados MySQL.
Gestão de Vulnerabilidades proinfo.fia.com.br

Exemplos de vulnerabilidades críticas:

• SQL Injection
• Bypass Autentication
• Buffer overflow
• Unauthenticated Arbitrary File Upload
• Directory traversal
• Remote Code Execution (RCE)
Gestão de Vulnerabilidades proinfo.fia.com.br

Vulnerabilidades em aplicações – OWASP.ORG

Gestão de Vulnerabilidades proinfo.fia.com.br

Vulnerabilidades em aplicações – OWASP.ORG

Política

- Escopo
- Critérios de classificação e
priorização
- Definição de SLA para
tratamento
- Papéis e responsabilidades
- Ferramentas para analise de
vulnerabilidades
Gestão de Vulnerabilidades proinfo.fia.com.br

Evolução da quantidade de vulnerabilidades divulgadas em 20 anos

Gestão de Vulnerabilidades proinfo.fia.com.br

Quantidade de vulnerabilidades divulgadas por fornecedores

Gestão de Vulnerabilidades proinfo.fia.com.br

Quantidade de vulnerabilidades por produtos

Gestão de Vulnerabilidades proinfo.fia.com.br

Vulnerabilidades críticas divulgadas: MS Internet Explorer

Gestão de Vulnerabilidades proinfo.fia.com.br

Processo de Gestão de Vulnerabilidades

• Processo proativo para identificar e tratar vulnerabilidades que, se exploradas,

poderá comprometer a confidencialidade, integridade e/ou disponibilidade dos
ativos.
Gestão de Vulnerabilidades proinfo.fia.com.br

Ciclo de vida da Gestão de Vulnerabilidades Descoberta dos ativos

Varredura (scan)
Geração de relatórios

Tratamento causa raiz 1.

Política
Avaliação das métricas Analisar
- Escopo Classificação dos ativos
- Critérios de classificação e Cenário de ameaças
5.
priorização 2. Priorizar Geração dos
Melhorar
- Definição de SLA para indicadores
tratamento
- Papéis e responsabilidades
- Ferramentas para análise de
vulnerabilidades Remediação
Repetição do scan 4. 3. Mitigação
Validação Reanalisar Tratar Aceite de Risco
Gestão de Vulnerabilidades proinfo.fia.com.br

Ciclo de vida da Gestão de Vulnerabilidades

Ferramentas para scan de vulnerabilidades:

1.
Qualys
Analisar
Rapid7

5. 2. Tenable
Melhorar Priorizar
Nessus

Acunnetix

4. 3. OpenVAS
Reanalisar Tratar
Nikto
Gestão de Vulnerabilidades proinfo.fia.com.br

Ciclo de vida da Gestão de Vulnerabilidades

Tecnologias para scan de aplicações:

1.
(SAST). Tecnologia que analisa códigos binários de
Analisar
aplicativos ou fontes para vulnerabilidades de
segurança

5. 2. (DAST). Tecnologia que analisa aplicativos em

Melhorar Priorizar seus estados de execução durante as fases de
teste ou operacionais

(IAST). Tecnologia que é combinada com DAST

dentro do ambiente de tempo de execução de
4. 3. teste
Reanalisar Tratar
Gestão de Vulnerabilidades proinfo.fia.com.br

Ciclo de vida da Gestão de Vulnerabilidades

1.
Analisar

5. 2.
Melhorar Priorizar

4. 3.
Reanalisar Tratar
Gestão de Vulnerabilidades proinfo.fia.com.br

Ciclo de vida da Gestão de Vulnerabilidades

1.
Analisar

5. 2.
Melhorar Priorizar

4. 3.
Reanalisar Tratar
Gestão de Vulnerabilidades proinfo.fia.com.br

Diferentes estratégias para tratamento das vulnerabilidades

• Priorizar vulnerabilidades classificadas como críticas: quando atualizações ou

atenuações para vulnerabilidades classificadas críticas se tornam disponíveis, elas
são testadas e implantadas imediatamente. Vulnerabilidades com classificação
inferior são testadas e implantadas durante a manutenção de TI programada
regularmente para minimizar reinicializações do sistema e interrupções nos
negócios. Essas organizações estão reduzindo as vulnerabilidades de maior risco o
mais rápido possível e estão dispostas a aceitar riscos significativos para evitar a
interrupção constante de seus ambientes com implantações de atualizações de
segurança.
Gestão de Vulnerabilidades proinfo.fia.com.br

Diferentes estratégias para tratamento das vulnerabilidades

• Priorize as vulnerabilidades classificadas como altas e críticas: quando as

vulnerabilidades classificadas como altas e críticas são divulgadas publicamente, sua
política determina que eles irão corrigir as vulnerabilidades críticas ou implantar as
mitigações disponíveis em 24 horas e as vulnerabilidades classificadas em um mês.
Vulnerabilidades com pontuações mais baixas serão corrigidas como parte de seu
ciclo regular de manutenção de TI para minimizar reinicializações do sistema e
interrupções nos negócios.
Gestão de Vulnerabilidades proinfo.fia.com.br

Diferentes estratégias para tratamento das vulnerabilidades

• Sem priorização – corrigir tudo: algumas organizações chegaram à conclusão de

que, dado o volume contínuo e crescente de divulgações de vulnerabilidades que
são forçadas a gerenciar, o esforço que colocam para analisar as pontuações CVE e
priorizar atualizações não vale a pena. Em vez disso, eles simplesmente testam e
implantam todas as atualizações essencialmente na mesma programação. Essa
programação pode ser mensal, trimestral ou, para as organizações com apetite
saudável por risco, semestral. Essas organizações se concentram em ser realmente
eficientes na implantação de atualizações de segurança, independentemente de
suas classificações de gravidade.
Gestão de Vulnerabilidades proinfo.fia.com.br

Diferentes estratégias para tratamento das vulnerabilidades

• Atrasar a implantação: para organizações que são extremamente sensíveis a interrupções de TI, que
foram interrompidas por atualizações de segurança de baixa qualidade no passado, atrasar a
implantação de atualizações de segurança se tornou uma prática infeliz. Em outras palavras, essas
organizações aceitam o risco relacionado a todas as vulnerabilidades publicamente conhecidas e não
corrigidas nos produtos que usam por um período de meses para garantir que as atualizações de
segurança de seus fornecedores não sejam relançadas devido a problemas de qualidade. Essas
organizações decidiram que a cura é potencialmente pior do que a doença, ou seja, a interrupção de
atualizações de segurança de baixa qualidade apresenta o mesmo risco ou maior para eles do que
todos os invasores em potencial no mundo. As organizações que aderem a essa escola de
pensamento tendem a agrupar e implementar meses de atualizações. O apetite por risco entre essas
organizações é alto, para dizer o mínimo.
Gestão de Vulnerabilidades proinfo.fia.com.br

Baseline de configurações de segurança

 proinfo.fia.com.br

Ameaças

Considerações finais
Considerações Finais proinfo.fia.com.br

As formas mais comuns de comprometimento da segurança:

• Vulnerabilidades não corrigidas

• Configurações incorretas de segurança
• Credenciais fracas, vazadas e roubadas
• Engenharia social
• Ameaças internas

... como prevenir?

Considerações Finais proinfo.fia.com.br

Cenário de ameaças

... como identificar as ameaças que o meu

negócio está exposto?
Considerações Finais proinfo.fia.com.br

Gestão de riscos cibernéticos...

... orientado a ameaças!

Considerações Finais proinfo.fia.com.br

Ameaças

... explore a inteligência de ameaças para

fortalecer as defesas cibernéticas!
Considerações Finais proinfo.fia.com.br

Gestão de vulnerabilidades:

... tempestividade na identificação e tratamento

das vulnerabilidades!