BTFM Blue Team Field Manual

Machine Translated by Google
BTFM
Manual de campo da equipe azul
ALAN BRANCO
BEN (LARK
Versão 1
Hackeado em PDF por:

0E800
(13/02/2017)
1
BTFM. Copyright© 2017 por Alan White e Ben Clark
Todos os direitos reservados. Nenhuma parte deste trabalho é pode ser

reproduzida ou transmitida de qualquer forma ou meio, sem por
permissão prévia por escrito do proprietário dos direitos autorais. qualquer um d
ISBN-13: 978-1541016361
ISBN-10: 154101636X
Editor Técnico: Matt Hulse
Os nomes de produtos e empresas aqui mencionados podem ser marcas

registradas de seus respectivos proprietários. Em vez de usar um símbolo de
marca registrada em cada ocorrência de um nome de marca registrada, o autor
utiliza os nomes apenas de forma editorial, sem intenção de violar a marca
registrada. O uso de um termo neste livro não deve ser considerado como
afetando a validade de qualquer marca registrada ou marca de serviço.
As informações neste livro são distribuídas "como estão".

Embora todas as precauções tenham sido tomadas para garantir a precisão do
material, o autor não assume nenhuma responsabilidade por erros ou omissões,
ou por danos resultantes do uso das informações aqui contidas.
2
PREFÁCIO
Sintaxe de linha de comando BTFM:
Notação Descrição
Prompt genérico do shell Linux/*nux ,

sudo também pode ser usado com $
Prompt do Windows , pode

C:\> exigir prompt do administrador CMD
PSC :\> Windows PowerShell
> Prompt genérico , vários sistemas operacionais
< ENDEREÇO IP>, <PORTA>, Requer entrada determinada pelo

usuário e remoção de colchetes
<USUÁRIO>, <SENHA>, etc. <>
Cuidado ao usar copiar/colar com

travessões/hífens.
--
in/em/traço EU EU
hífen -
Certifique- se de verificar espaços

espaços e não há espaços nos
comandos.
Atualizações, edições e material complementar:
Ref. http://www.blueteamfieldmanual.com BTFM é baseado
na Estrutura de Segurança Cibernética do NIST:
Ref. http://www.nist.gov/cyberframework/
3
ÍNDICE
0 PREPARAÇÃO (REVISÃO DA DOCUMENTAÇÃO} ............................................ ................................ 8
DOCUMENTOS PRINCIPAIS ................................................ ....................•.................................. ......•.................. 9

REVISÃO ....................... .................................................. .................................................. ........... 9
1 IDENTIFICAR (ESCOPO} ............................................. .................................................. ................... 10
VERIFICAÇÃO E VULNERABILIDADES ................................................ ................................................
11 . ................. .' .................................................. .................................................. ............... 11 NMAP
NESSUS ................................ .................................................. .................................................. 11
ABERTA ................................................. ................................................. . ................................ 12

JANELAS ............... .................................................. .................................................. ... ............. 14 DESCOBERTA DE
REDE .............................. .. ................................................ .. ......................... 14
DHCP ..................... .. ................................................ .. ................................................ .. ............. 14
DNS.................................................. .................................................. ........................................ 14
HASH ......... .................................................. .................................................. ..................... é
NETBIOS ........................... .................................................. .................................................. .... 16 ATIVIDADE DO
USUÁRIO ........................................... .................................................. ............................ 16
SENHAS .................... .................................................. .................................................. .... 17 ANALISADOR DE SEGURANÇA DE BASE
MICROSOFT (MBSA) ...................................... ......................... 17 INVENTÁRIO DO DIRETÓRIO

ATIVO ..................... .................................................. ........................ 17
LINUX.................................................. .................................................. ........................................ 20 DESCOBERTA DE

REDE ....... .................................................. .................................................. .. 20
DHCP ............................................. .................................................. ........................................ 20
DNS........ .................................................. .................................................. .............................. 21
HASH ............................................... .................................................. ................................ 21
NETBIOS ................. .................................................. .................................................. .............. 21
SENHAS .......................... .................................................. ........................................ 21
2 PROTEGER (DEFENDER) ............................................. .................................................. ................. 22
JANELAS ................................................. .................................................. ................................ 23 DESATIVAR/PARAR

SERVIÇOS ............. .................................................. ........................................... 23 FIREWALLS DO SISTEMA
HOST .... .................................................. .................................................. 23
SENHAS ............................................. .................................................. ........................... 25
ARQUIVO HOSPEDEIRO ............................................... .................................................. .............................. 25 LISTA DE
BRANCO ................. .................................................. .................................................. .......... 26 RESTRIÇÕES DE
APLICAÇÃO ..................................... .................................................. ............ 26
IPSEC.................................. .................................................. .................................................. 30 DIRETÓRIO ATIVO (AD) -OBJETO DE POLÍTICA
DE GRUPO (GPO) ..................................... ................... 31 SISTEMA STAND ALONE -SEM DIRETÓRIO ATIVO {AD) .................... ..............................
32 LINUX .................. .................................................. .................................................. .................... 36 DESATIVAR/PARAR

SERVIÇOS ........................ .................................................. ................................ 36 FIREWALLS DO SISTEMA
HOST .............. .................................................. ........................................ 37
SENHAS ................................................... .................................................. ........................... 39

ARQUIVO HOSPEDEIRO ............................................... .................................................. .............................. 39 LISTA
DE BRANCO ................. .................................................. .................................................. .......... 39
IPSEC .................................... .................................................. ................................................ 40
3 DETECTAR {VISIBILIDADE} ............................................. .................................................. ................ 44
MONITORAMENTO DE REDE ................................................ .................................................. ........... 45

TCPDUMP.................................. .................................................. ........................................... 45
4
TSHARK ................................................. .................................................. ................................. 48
SNORTE ............... .................................................. .................................................. ................... então FERRAMENTAS DE CAPTURA DE
REDE (PCAP) ........................ .................................................. ................... 51

EDITCAP ............................ .................................................. .................................................. .. 51
MERGECAP ............................................. .................................................. .............................. 51 TÉCNICAS DE
MEL ................. .................................................. ................................................ 52

JANELAS .................................................. .................................................. ........................... 52
LINUX.................................................. .................................................. .................................... 53
NETCAT ............ .................................................. .................................................. .................... 54 MONITORAMENTO DE DNS
PASSIVO ........................... .................................................. .................... 55 AUDITORIA DE
REGISTRO ...................... .................................................. .................................................. ... 56
JANELAS ................................................. .................................................. ............................ 56
LINUX .................... .................................................. .................................................. ............... 63
4 RESPOSTA (ANÁLISE) ............................................. .................................................. ............. 66
JANELAS DE TRIAGEM AO VIVO ............................................. .................................................. ............. 67 INFORMAÇÕES DO

SISTEMA .......................... .................................................. ....................... 67 INFORMAÇÕES DO
USUÁRIO ........................ .................................................. .................................... 67 INFORMAÇÕES DE
REDE ......... .................................................. ........................................... 68 INFORMAÇÕES DE
SERVIÇO .... .................................................. .................................................. .... 68 INFORMAÇÕES SOBRE POLÍTICA, PATCH E
CONFIGURAÇÕES ........................................ ................................ 69 INFORMAÇÕES DE AUTORUN E AUTO

CARREGAMENTO ........... .................................................. ............... 69
REGISTROS .................................. .................................................. .................................................. ... 75
INFORMAÇÕES SOBRE ARQUIVOS, UNIDADES E COMPARTILHAMENTOS ........................................... ................................. 76 TRIAGEM

AO VIVO - LINUX ............ .................................................. .................................................. ..... 79 INFORMAÇÕES DO
SISTEMA .......................................... .................................................. ............... 79 INFORMAÇÕES DO
USUÁRIO ................................ .................................................. .............................. 79 INFORMAÇÕES DE
REDE ................. .................................................. .................................... 80
SERVIÇO DE INFORMAÇÃO ................................................ .................................................. ......... 80 INFORMAÇÕES DE POLÍTICA, PATCH
E CONFIGURAÇÕES ................................... .................................... 81

REGISTROS ............ .................................................. .................................................. .......................... 82 INFORMAÇÕES SOBRE
ARQUIVOS, UNIDADES E COMPARTILHAMENTOS ................. .................................................. .......... 82 ANÁLISE DE

MALWARE .................................... .................................................. ............................ 85
NOÇÕES BÁSICAS DE ANÁLISE ESTÁTICA ............................................. .................................................. ......... 85
IDENTIFICAR MALWARE................................................ .................................................. .................. 88 EXPLORADOR DE

PROCESSO ............................ .................................................. ................................... 88 ANÁLISE DE HASH DE
ARQUIVO ............ .................................................. .................................................. .... 90 CONSULTA
HASH ........................................... .................................................. .............................. 90 AQUISIÇÃO DE DISCO RÍGIDO E
MEMÓRIA ............. .................................................. ................... 91 JANELAS ............................ .................................................. ................................................

91
LINUX.................................................. .................................................. .................................... 91
5 RECUPERAR (REMEDIAR) ............................................. .................................................. ........... 94
PATCHING.................................................. .................................................. ................................. 95
JANELAS ............... .................................................. .................................................. ............ 95
LINUX .................................... .................................................. .................................................. 95 CÓPIA DE

SEGURANÇA ................................................. .................................................. .................................... 97
JANELAS ............ .................................................. .................................................. ............... 97
LINUX ................................... .................................................. .................................................. 100 PROCESSO DE MATAÇÃO DE

MALWARE ............................................. .................................................. ........... 101
JANELAS ........................................... .................................................. .................................... 101
LINUX.......... .................................................. .................................................. ........................ 101
6 TÁTICAS (DICAS E TRUQUES) ........................................... .................................................. ......... 102
5
OS CHEATS ................................................ .................................................. .............................. 103
JANELAS ................. .................................................. .................................................. ........ 103
LINUX ........................................ .................................................. ........................................... 105
DECODIFICAÇÃO ................................................... .................................................. .............................. 107
CONVERSÃO HEX ............................................... .................................................. ................ 107
SNORTE ................................ .................................................. .................................................. .... 109 REGRAS DO
SNORT ........................................... .................................................. ............................ 109 DOS/
DDOS .................. .................................................. .................................................. ........... 112 IMPRESSÃO DIGITAL DOS/
DDOS ................................... .................................................. ................... 112 CONJUNTOS DE

FERRAMENTAS ............................ .................................................. ................................................ 115 PRÉ-CONSTRUÍDO ISO, MÁQUINA
VIRTUAL E DISTRIBUIÇÕES .......................................... ........... 115
7 GESTÃO DE INCIDENTES (CHECKLIST) .......................................... .................................... 118
LISTA DE VERIFICAÇÃO DE RESPOSTA A INCIDENTES ........................................ .................................................. 119 TAREFAS DE
IDENTIFICAÇÃO ................................................ .................................................. ........ 119 TAREFAS DE
CONTENÇÃO ........................................ .................................................. .................. 121 TAREFAS DE
REMEDIAÇÃO ............................ .................................................. .............................. 122 OUTRAS / LIÇÕES APRENDIDAS
TAREFAS .............. .................................................. ........................ 124 LISTA DE VERIFICAÇÃO DE ATRIBUTOS DE

MALWARE ...................... .................................................. ............... 125
8 IDENTIFICAÇÃO DE INCIDENTES DE SEGURANÇA (ESQUEMA) ........................................... ....................... 128
VOCABULÁRIO PARA GRAVAÇÃO DE EVENTOS E COMPARTILHAMENTO DE INCIDENTES (VERIS) ................................ 129

GERAL ...... .................................................. .................................................. ...................... 129
ATOR ................................................... .................................................. ................................ 131
AÇÃO ............... .................................................. .................................................. ............... 132
ATIVO .......................... .................................................. .................................................. 135
ATRIBUTO ................................................ .................................................. ........................... 136 CURSO DE
AÇÃO ................... .................................................. ........................................... 137
MAPEAMENTO DA CADEIA DE MORTE ................................................ .................................................. ............... 138
COLETAR DADOS PARA MAPEAR CADEIA DE MORTE ........................................... ................................... 138 LISTA DE ATIVOS
DEFENDIDOS PRIORIZADOS (PDAL) ........ .................................................. ..................... 139 REÚNE DADOS E PRIORIZE ATIVOS PARA
DEFENDER ..................... ........................................... 139
10 ÍNDICE (AZ) .......................................... . .................................................. ........................... 142
6
7
0 PREPARAÇÃO (REVISÃO DA DOCUMENTAÇÃO)
8
DOCUMENTOS CHAVE
ANÁLISE
• Organograma
• Diagramas de Rede
• Diagramas de Fluxo de Dados
• Lista de ativos, dados e serviços críticos
• Limitações das Regras de Engajamento (ROE) e

Limites
• Plano de Resposta a Incidentes
• Plano de continuidade de negocios
• Plano de recuperação de desastres
• Orientação de Notificação Necessária
• Ações até o momento
• Requisitos de acesso físico
• Recursos de plantão/contratados
• Plano de comunicação
• Autoridade e Condições Legais
• Resumo de inteligência de ameaças
• Requisitos de reuniões e relatórios de resultados
• Plano de Segurança Física
• Matriz de decisão de avaliação de risco
• Procedimentos de divulgação de dados e informações
• Consentimento para monitorar, coletar e avaliar dados
• Documentos e Requisitos MOA/MOU/NDA
9
1 IDENTIFICAR (ESCOPO)
10
VERIFICAÇÃO E VULNERABILIDADES
NMAP
Varredura de ping para rede:
# nmap -sn -PE <ENDEREÇO OU INTERVALO IP>
Digitalize e mostre portas abertas:
# nmap --open <ENDEREÇO OU INTERVALO IP>
Determinar serviços abertos:
# nmap -sV <ENDEREÇO IP>
Digitalize duas portas TCP comuns, HTTP e HTTPS:
# nmap -p 80.443 <ENDEREÇO OU INTERVALO IP>
Digitalize a porta UDP comum, DNS:
# nmap -sU -p 53 <ENDEREÇO OU INTERVALO IP>
Faça a varredura de UDP e TCP juntos, seja detalhado em um único host

e inclua pular ping opcional:
#nmap -v -Pn -SU -ST -p U:53.111.137,T:21-

25.80.139.8080 <ENDEREÇO IP>
NESSUS
Verificação básica do Nessus:
# nessus -q -x -T html <ENDEREÇO IP DO SERVIDOR NESSUS> <PORTA

1241 DO SERVIDOR NESSUS> <CONTA DE ADMIN> <SENHA DE ADMIN>
<ARQUIVO COM ALVO>,txt <NOME DO ARQUIVO DE RESULTADOS>.html
# nessus [-vnh] [-c .refile] [-VJ [-T <formato>]
Varredura em modo lote:
# nessus -q [-pPS] <HOST> <PORTA> <NOME DE USUÁRIO>

<SENHA> <arquivo de destino> <arquivo de resultado>
11
Conversão de relatório:
# nessus -i dentro. [nsrlnbe] -o fora.

[xmllnsrlnbelhtmlltxt]
ABERTOS
Passo 1: Instale os pacotes de servidor, cliente e plugin:
# apt-get install openvas-server openvas-client openvas-plugins-

base openvas-plugins-dfsg
Passo 2: Atualizar o banco de dados de vulnerabilidades
# openvas-nvt-sync
Etapa 3: adicione um usuário para executar o cliente:
# openvas adduser
Etapa 4: Login: sysadm
Etapa 5: Autenticação (pass/cert) [pass]: [HIT
DIGITAR]
Etapa 6: Senha de login: <SENHA>

Em seguida, você será solicitado a adicionar "Regras do usuário".
Etapa 7: permita que este usuário verifique a rede autorizada

digitando:
aceite <SEU ENDEREÇO OU INTERVALO IP>
negar padrão
Etapa 8: digite ctrl-D para sair e aceite.

Etapa 9: Inicie o servidor:
# serviço início do servidor openvas

Etapa 10: Defina os alvos a serem verificados:
Crie um arquivo de texto com uma lista de hosts/redes para

Varredura.
# nós escaneamosme.txt
12
Etapa 11: Adicione um host, rede por linha:

<ENDEREÇO OU INTERVALO IP>
Etapa 12: execute a verificação:
# openvas-client -q 127.0.0.1 9390 sysadm nsrc+ws scanme.txt

openvas-output-.html -T txt -V -x
Etapa 13: (opcional) execute a verificação com formato HTML:
# openvas-client -q 127.0.0.1 9390 sysadm nsrc+ws scanme.txt

openvas-output.txt -T html -V -x
13
JANELAS
DESCOBERTA DE REDE
Descoberta básica de rede:
C:\> net view /todos
C:\> net view \\<NOME DO HOST>
Varredura básica de ping e gravação de saída em arquivo:
C:\> para /L %I in (1,1,254) faça ping -w 30 -n 1 192.168. l.% I encontro "Responder" >>
<NOME DO ARQUIVO DE SAÍDA>.txt
DHCP
Habilite o log do servidor DHCP:
C:\>reg add
HKLM\System\CurrentControlSet\Services\DhcpServer\Pa rameters /v ActivityLogFlag /
t REG_DWORD /d 1
Local padrão Windows 2003/2008/2012:
C:\> %windir%\System32\Dhcp
DNS
Local padrão do Windows 2003:
C:\> %SystemRoot%\System32\Dns
Local padrão do Windows 2008:
C:\> %SystemRoot%\System32\Winevt\Logs\Servidor DNS. evtx
Localização padrão do DNS aprimorado do Windows 2012 R2:
C:\> %SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-
DNSServer%4Analytical.etl
14
Ref. https://technet.microsoft.com/en-us/library/
cc940779.aspx
Habilite o registro de DNS:
C:\> DNSCmd <NOME DO SERVIDOR DNS> /config /logLevel 0x8100F331
Definir localização do registro:
C:\> DNSCmd <NOME DO SERVIDOR DNS> /config /LogFilePath

<CAMINHO PARA O ARQUIVO DE LOG>
Defina o tamanho do arquivo de log:
C:\> DNSCmd <NOME DO SERVIDOR DNS> /

config /logfilemaxsize 0xffffffff
HASH
Verificador de integridade de soma de verificação de arquivo (FCIV):
Ref. http://support2.microsoft.com/kb/841290
Hash um arquivo:
C:\> fciv.exe <ARQUIVO PARA HASH>
Faça hash de todos os arquivos em C:\ em um arquivo de banco de dados:
C:\> fciv.exe c:\ -r -mdS -xml <NOME DO ARQUIVO>.xml

Liste todos os arquivos com hash:
C:\> fciv.exe -list -shal -xml <NOME DO ARQUIVO>.xml
Verifique os hashes anteriores no banco de dados com o sistema de arquivos:
C:\> fciv.exe -v -shal -xml <NOME DO ARQUIVO>.xml
Nota: Pode ser possível criar um banco de dados mestre e comparar com
todos os sistemas a partir de uma linha cmd. Linha de base rápida e
diferença.
dn520872.aspx
PS C:\> Get-FileHash <ARQUIVO PARA HASH> I Format-List
15
PS C:\> Get-FileHash -algorithm md5 <ARQUIVO PARA HASH>
C:\> certutil -hashfile <ARQUIVO PARA HASH> SHAl
C:\> certutil -hashfile <ARQUIVO PARA HASH> MD5
NETBIOS
Varredura nbtstat básica:
C:\> nbtstat -A <ENDEREÇO IP>
Informações de NetBIOS armazenadas em cache no host local:
C:\> nbtstat -c
Verificação de loop de script:
C:\> for /L %I in (1,1,254) do nbstat -An 192.168.l.%I
ATIVIDADE DO USUÁRIO
Ref. https://technet.microsoft.com/en-us/sysinternals/
psloggedon.aspx
Faça com que os usuários façam logon:
C:\> psloggedon \\nomedocomputador
Verificação de loop de script:
C:\> for /L %i in (1,1,254) faça psloggedon \\192.168.l.%i >> C:

\users_output.txt
16
SENHAS
Adivinhação ou verificação de senha:
# for /f %i in (<PASSWORD FILE NAME>.txt) do @echo %i & net use \

\<TARGET IP ADDRESS> %i /u:<USER NAME> 2>nul && pause
# for /f %i in (<USER NAME FILE>.txt) do @(for /f %j in (<PASSWORD FILE NAME>.txt)

do @echo %i:%j & @net use \\<TARGET ENDEREÇO IP> %j /u:%i 2>nul &&
echo %i:%j >> sucesso.txt && net use \\<ENDEREÇO IP> /del)
ANALISADOR DE SEGURANÇA DE BASE MICROSOFT (MBSA)
Verificação básica de um endereço IP de destino:
C:\> mbsacli.exe /target <ENDEREÇO IP DE ALVO> /n os+iis+sql+senha
Verificação básica de um intervalo de IP de destino:
C:\> mbsacli.exe /r <intervalo de endereço IP> /n os+iis+sql+senha
Verificação básica de um domínio de destino:
C:\> mbsacli.exe /d <DOMÍNIO DE ALVO> /n os+iis+sql+senha
Verificação básica de nomes de computadores de destino em arquivo de texto:
C:\> mbsacli.exe /listfile <LISTA DE NOMES DE COMPUTADORES>.txt /n

os+iis+sql+senha
INVENTÁRIO DE DIRETÓRIO ATIVO
Liste todas as UOs:
C:\> dsquery ou DC=<DOMÍNIO>,DC=<EXTENSÃO DE DOMÍNIO>
17
Lista de estações de trabalho no domínio:
C:\> consulta netdom ESTAÇÃO DE TRABALHO
Lista de servidores no domínio:
C:\> SERVIDOR de consulta netdom
Lista de controladores de domínio:
C:\> consulta netdom DC
Lista de unidades organizacionais sob as quais o usuário

especificado pode criar um objeto de máquina:
C:\> netdom query OU
Lista de controladores de domínio primário:
C:\> consulta netdom PDC
Liste os domínios confiáveis:
C:\> consulta netdom CONFIANÇA
Consulte o domínio para obter a lista atual de proprietários de FSMO
C:\> consulta netdom FSMO
Liste todos os computadores do Active Directory:
C:\> dsquery COMPUTER "OU=servidores,DC=<NOME DE

DOMÍNIO>,DC=<EXTENSÃO DE DOMÍNIO>" -o rdn -limit 0 > C:\machines.txt
Listar contas de usuários inativas há mais de três semanas:
C:\> usuário dsquery raiz de domínio -inativo 3
Encontre qualquer coisa (ou usuário) criada na data em UTC usando o

formato de carimbo de data/hora YYYYMMDDHHMMSS.sZ:
C:\> dsquery * -filter

"(quandocriado>=20101022083730,0Z)"
C:\> dsquery * -filter

"((whenCreated>=20101022083730.0Z)&(objectClass=user ) ) II
18
Opção alternativa:
C:\> ldifde -d ou=<NOME DA UO>,dC=<DOMÍNIO

NOME>,dc=<EXTENSÃO DE DOMÍNIO> -l quando criado, quando
alterado -p onelevel -r "(ObjectCategory = usuário)" -
f <NOME DO ARQUIVO DE SAÍDA>
O último formato de carimbo de data/hora de logon em UTC:

AAAAMMDDHHMMSS
C:\> dsquery * dc=<NOME DO DOMÍNIO>,dc=<DOMÍNIO

EXTENSÃO> -filter "(&(objectCategory=Pessoa)
(objectClass=Usuário)(whenCreated>=20151001000000.0Z))"
C:\> adfind -csv -b dc=<NOME DO DOMÍNIO>,dc=<DOMÍNIO

EXTENSÃO> -f "(&(objectCategory=Pessoa)
(objectClass=Usuário)(whenCreated>=20151001000000.0Z))"
Usando o PowerShell, despeje novas contas do Active Directory nos últimos 90

dias:
PS C:\> diretório ativo do módulo de importação
PS C:\> Get-QADUser -CreatedAfter (Get-Date).AddDays(-90)
PS C:\> Get-ADUser -Filter * -Properties whenCreated I Where-Object {$_.whenCreated

-ge ((Get-Date).AddDays(-90)).Date}
19
LINUX
DESCOBERTA DE REDE
Verificação de visualização da rede:
#smbtree -b
#smbtree -D
#smbtree -5
Veja compartilhamentos abertos de 5 MB:
# smbclient -L <NOME DO HOST>

#smbstatus
Verificação básica de ping:
# para ip em $(seq 1 254); faça ping -c 1

192.168.1.$ip>/dev/null; [$? -eq 0] && echo "192.168.1. $ip
UP" 11: ; feito
DHCP
Veja os registros de concessão de DHCP:
Chapéu Vermelho 3:
# cat /var/lib/dhcpd/dhcpd.conf arrendamentos

Ubuntu:
# grep -No 'dhcp' /var/log/syslog.1

Registros DHCP do Ubuntu:
# tail -f dhcpd. registro
20
DNS
Inicie o registro de DNS:
# log de consulta rndc
Ver registros DNS:
# tail -f /var/log/messages que eu nomeei pelo grep
HASH
Faça hash de todos os arquivos executáveis nestes locais

especificados:
# find /<PATHNAME TO ENUMERATE> -type f -exec mdSsum {} >> mdSsums.txt \;
# mdSdeep -rs /> mdSsums.txt
NETBIOS
Varredura nbtstat básica:
# nbtscan <ENDEREÇO OU INTERVALO IP>
SENHAS
Adivinhação ou verificação de senha e nome de usuário:
# enquanto lê a linha; faça nome de usuário=$linha; enquanto lê a linha; faça

smbclient -L <TARGET IP ADDRESS> -U $username%$line -g -d 0; echo
$nomedeusuário:$linha; concluído<<SENHAS>.txt; concluído<<NOME DE
USUÁRIO>,txt
21
2 PROTEGER (DEFENDER)
22
JANELAS
DESATIVAR/PARAR SERVIÇOS
Obtenha uma lista de serviços e desative ou pare:

C:\> consulta sc
C:\> sc config "<NOME DO SERVIÇO>" start= desativado
C:\> sc stop "<NOME DO SERVIÇO>"
C:\> serviço wmic onde nome='<NOME DO SERVIÇO>' chamada

ChangeStartmode desativado
FIREWALLS DO SISTEMA HOSPEDEIRO
Mostrar todas as regras:
C:\> netsh advfirewall firewall mostra nome da regra = todos
Ative/desative o firewall:
C:\> netsh advfirewall ativa o estado do perfil atual
C:\> netsh advfirewall set currentprofile firewallpolicy

blockinboundalways,allowoutbound
C:\> netsh advfirewall ativa o estado do perfil público
C:\> netsh advfirewall ativa o estado do perfil privado
C:\> netsh advfirewall ativa o estado do perfil de domínio
C:\> netsh advfirewall ativa o estado de allprofile
C:\> netsh advfirewall desativa o estado de todos os perfis
Exemplos de regras de firewall:

C:\> netsh advfirewall firewall adicionar nome da regra = "Abrir
Porta 80" dir=em ação=permitir protocolo=TCP localport=80
23
C:\> netsh advfirewall firewall add regra nome="Meu Aplicativo" dir=in

action=al low program="C:\MyApp\MyApp.exe"
enable=yes
C:\> netsh advfirewall firewall adicionar regra nome="Meu aplicativo"

dir=in action=al low program="C:
\MyApp\MyApp.exe" enable=yes
remoteip=157.60.0.1,172.16.0.0/16,Local5ubnet prof i le = doma
em

dir=in action=allow program="C:
remoteip=157.60.0.1,172.16.0.0/16,Perfil LocalSubnet =domínio

dir=in action=al low program="C:
remoteip=157.60.0.1,172.16.0.0/16,Local5ubnet perfil=privado
C:\> netsh advfirewall firewall excluir nome da regra=nome da

regra program="C:\MyApp\MyApp.exe"
C:\> netsh advfirewall firewall excluir nome da regra = nome da

regra protocolo = udp localport = 500
C:\> netsh advfirewall firewall set regra group=" área de

trabalho remota" new enable=Sim perfil=domínio
C:\> netsh advfirewall firewall set regra group="área de

trabalho remota" new enable=No profile=public
Configurar local de alternância:
C:\> netsh advfirewall definir registro de perfil atual

C:\<LOCALIZAÇÃO>\<NOME DO ARQUIVO>
Localização e configurações do firewall do Windows:

C:\>
more %systemroot%\system32\LogFiles\Firewall\pfirewa ll. registro
24
C:\> netsh advfirewall definir registro de todos os perfis maxfilesize 4096
C:\> netsh advfirewall definir todos os registros de perfil descartados

conexões habilitadas
C:\> netsh advfirewall definir todos os registros de perfil permitidos

conexões habilitadas
Exibir logs de firewall:

PS C:\> Get-Content
$env:systemroot\system32\LogFiles\Firewall\pfirewall . registro
SENHAS
Alterar a senha:
C:\> net user <NOME DE USUÁRIO> * /domínio
C:\> net user <NOME DE USUÁRIO> <NOVA SENHA>
Alterar senha remotamente:

bb897543
C:\> pspasswd.exe \\<ENDEREÇO IP ou NOME DO COMPUTADOR REMOTO>

-u <NOME DE USUÁRIO REMOTO> -p <NOVA SENHA>
Alterar senha remotamente:

PS C:\> pspasswd.exe \\<ENDEREÇO IP ou NOME DO COMPUTADOR REMOTO>
ARQUIVO HOSPEDEIRO
Liberar DNS de domínio/IP malicioso:
C:\> ipconfig /flushdns

Limpe o cache NetBios do host/IP:
C:\> nbtstat -R
25
Adicione um novo domínio malicioso ao arquivo hosts e direcione para localhost:
C:\> echo 127.0.0.1 <DOMÍNIO MALICIOSO> >> C:

\Windows\System32\drivers\etc\hosts
Verifique se o arquivo hosts está funcionando enviando ping para 127.0.0.1:
C:\> ping <DOMÍNIO MALICIOSO> -n 1
LISTA DE BRANCO
Use um arquivo Proxy Auto Config (PAC) para criar URL inválido ou lista de
IP (IE, Firefox, Chrome):
function FindProxyForURL(url, host) {
II Envie um nome DNS incorreto para o proxy
if (dnsDomainis(host, ".badsite.com"))
retornar "PROXY http:11127.0.0.1:8080";
II Envie IPs inválidos para o proxy if
(isinNet(myipAddress(), "222.222.222.222", "255.255.255.0"))
II Todos os outros proxy de desvio de tráfego
retornar "DIRETO";
RESTRIÇÕES DE APLICAÇÃO
Applocker - Server 2008 R2 ou Windows 7 ou superior:
Usando o GUI Wizard configure:
• Regras executáveis (.exe, .com)

• Regras de DLL (.dll, .ocx)
• Regras de script (.psl, .bat, .cmd, .vbs, .js)
• Regras de instalação do Windows (.msi, .msp, .mst)
26
Etapas para empregar o Applocker (a GUI é necessária para restrições de

aplicativos com assinatura digital):
Etapa 1: Crie um novo GPO.
Passo 2: Clique com o botão direito para editar e navegue através de Configuração
do Computador, Políticas, Configurações do Windows, Configurações de
Segurança, Políticas de Controle de Aplicativos e Applocker.
Clique em Configurar aplicação de regras.

Etapa 3: em Regras Executáveis, marque a caixa Configurado e certifique-se de que
Aplicar Regras esteja selecionado
na caixa suspensa. Clique OK.
Passo 4: No painel esquerdo, clique em Regras Executáveis.
Etapa 5: clique com o botão direito no painel direito e selecione Criar nova
regra.
Etapa 6: Na tela Antes de começar, clique em Avançar.
Etapa 7: Na tela Permissões, clique em Avançar.
Etapa 8: Na tela Condições, selecione a condição Editor e clique em

Avançar.
Etapa 9: Clique no botão Procurar e navegue até qualquer arquivo executável

em seu sistema. Não importa qual.
Etapa 10: arraste o controle deslizante até Qualquer editor e clique em Avançar.
Etapa 11: Clique em Avançar na tela Exceções.
Etapa 12: Política de nomes, exemplo, execute apenas executáveis assinados" e

clique em Criar.
Etapa 13: Se esta for a primeira vez que você cria uma política do Applocker,
o Windows solicitará que você crie uma regra padrão, clique em Sim.
Etapa 14: verifique se o serviço de identidade do aplicativo está em execução.
C:\> net start AppIDSvc

27
C:\> REG adicionar

"HKLM\SYSTEM\CurrentControlSet\services\AppIDSvc" /v
Iniciar /t REG_DWORD /d 2 /f
Etapa 15: As alterações exigem reinicialização.

C:\shutdown.exe /r
C:\ shutdown.exe /r /m \\<ENDEREÇO IP OU NOME DO

COMPUTADOR> /f
Adicione os cmdlets Applocker ao PowerShell:
PS C:\> módulo de importação Applocker

Obtém as informações do arquivo para todos os arquivos executáveis e
scripts no diretório
C:\Windows\System32:
PS C:\> Get-ApplockerFileinformation -Diretório

C:\Windows\System32\ -Recurse -FileType Exe, Script
Crie uma política Applocker que permita regras para todos os arquivos
executáveis em C:\Windows\System32:
PS C:\> Get-Childitem C:\Windows\System32\*,exe I

Get-ApplockerFileinformation I New-ApplockerPolicy -
Editor RuleType, Hash -Usuário Todos -
RuleNamePrefix System32
Define a política local do Applocker para a política especificada

em C:\Policy.xml:
PS C:\> Set-AppLockerPolicy -XMLPolicy C:\Policy.xml
Usa a política Applocker em C:\Policy.xml para testar se calc.exe e

notepad.exe têm permissão para execução para usuários que são
membros do grupo Todos. Se você não especificar um grupo, o grupo
Todos será usado por padrão:
PS C:\> Test-AppLockerPolicy -XMLPolicy C:\Policy.xml

-Path C:\Windows\System32\calc.exe, C:\Windows\System32\notepad.exe
-User Todos
28
Revise quantas vezes a execução de um arquivo teria sido bloqueada se

as regras fossem aplicadas:
PS C:\> Get-ApplockerFileinformation -Eventlog -

Nome de registro "Microsoft-Windows-Applocker\EXE e DLL" -
EventType Auditado -Estatísticas
Cria uma nova política Applocker a partir dos eventos auditados no

log de eventos local Microsoft-Windows-Applocker/EXE e DLL, aplicado
a <GROUP> e atual
A política do Applocker será substituída:
PS C:\> Get-ApplockerFileinformation -Eventlog -

LogPath "Microsoft-Windows-AppLocker/EXE e DLL" -
EventType auditado I New-ApplockerPolicy -RuleType Publisher,Hash
-Domínio do usuário\<GRUPO> -
IgnoreMissingFileinformation I Set-ApplockerPolicy -
LDAP "LDAP://<DC>,<DOMÍNIO>.com/
CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Políticas,CN=Sistema,DC=<DOMÍNIO>,DC=c
om "
Exporte a política local do Applocker, comparando o acesso explicitamente

negado do usuário para execução e o arquivo de texto de saída:
PS C:\> Get-AppLockerPolicy -Local I Test-

AppLockerPolicy -Path C:\Windows\System32\*,exe -
Domínio do usuário\<NOME DO USUÁRIO> -Filtro Negado I Formato-Lista
-Caminho da Propriedade > C:\DeniedFiles.txt
Exporte os resultados do teste para um arquivo para análise:
PS C:\> Get-Childitem <DirectoryPathtoReview> -

Filtro <FileExtensionFilter> -Recurse I Convert-Path I Test-
ApplockerPolicy -XMLPolicy
<PathToExportedPolicyFile> -User <domínio\nome de usuário> -
Filtro <TypeofRuletoFilterFor> I Exportar-CSV
<PathToExportResultsTo.CSV>
29
Lista GridView de quaisquer regras locais aplicáveis:
PS C:\> Get-AppLockerPolicy -Local -Xml I Out-

GridView
IPsec
Crie uma Política de Segurança Local IPSEC, aplicada a qualquer

conexão, qualquer protocolo e usando uma chave pré-compartilhada:
C:\> netsh ipsec static add filter

filterlist=MyIPsecFilter srcaddr=Qualquer dstaddr=Qualquer
protocolo=QUALQUER
C:\> netsh ipsec static add filteraction
name=MyIPsecAction action=negociar
C:\> netsh ipsec static add nome da
política=MyIPsecPolicy atribua=yes
C:\> netsh ipsec static add regra nome=MyIPsecRule
policy=MyIPsecPolicy filterlist=MyIPsecFilter
filteraction=MyIPsecAction conntype=all activate=yes psk=<SENHA>
Adicionar regra para permitir navegação na web na porta 80 (HTTP) e

443(HTTPS) sobre IPSEC:
C:\> netsh ipsec static add filteraction name=Permitir ação=permitir

filterlist=WebFilter srcaddr=Qualquer dstaddr=Qualquer
protocolo=TCP dstport=80
filterlist=WebFilter srcaddr=Qualquer dstaddr=Qualquer
protocolo=TCP dstport=443
C:\> netsh ipsec static add regra nome=WebAllow
policy=MyIPsecPolicy filterlist=WebFilter filteraction=Permitir
conntype=all activate=yes psk=<SENHA>
30
Mostra a Política de Segurança Local IPSEC com nome

"Minha Política IPsec":
C:\> netsh ipsec static show nome da política=MyIPsecPolicy
Interrompa ou cancele a atribuição de uma política IPSEC:
C:\> netsh ipsec static set nome da política=MyIPsecPolicy
Crie uma regra e política de firewall avançada IPSEC e uma chave

pré-compartilhada de e para qualquer conexão:
C:\> netsh advfirewall consec adicionar nome da regra=u IPSEC" endpointl=qualquer

endpoint2=qualquer ação=requireinrequireout
qmsecmethods=default
Exigir chave pré-compartilhada IPSEC em todas as

solicitações de saída:
C:\> netsh advfirewall firewall adicionar nome da regra=uIPSEC_Out"
dir=out action=allow enable=yes profile=qualquer localip=qualquer IP
remoto=qualquer protocolo=qualquer tipo de interface=qualquer
segurança=autenticar
Crie uma regra para navegação na web:

C:\> netsh advfirewall firewall adicionar nome da regra = "Permitir
Porta de saída 8011 dir=out localport=80 protocol=TCP action=allow
Crie uma regra para DNS:
C:\> netsh advfirewall firewall adicionar nome da regra = "Permitir

Porta de saída 5311 dir=out localport=53 protocol=UDP action=allow
Excluir regra ISPEC:
C:\> netsh advfirewall firewall excluir nome da regra = "IPSEC_RULE"
DIRETÓRIO ATIVO (AD) - OBJETO DE POLÍTICA DE GRUPO (GPO)
Obtenha e imponha novas políticas:

31
C:\> gpupdate /force
C:\> gpupdate /sync
Sucesso e falha na auditoria do usuário Bob:
C:\> auditpol /set /user:bob /category:"Detalhado

Rastreamento" /include /success:enable /failure:enable
Crie uma unidade organizacional para mover usuários e máquinas

suspeitos ou infectados:
(:\> dsadd OU <QUARANTINE BAD OU>
Mova um objeto de usuário do Active Directory para NOVO GRUPO:
PS C:\> Move-ADObject 'CN=<NOME DE USUÁRIO>,CN=<USUÁRIO ANTIGO

GRUPO>,DC=<DOMÍNIO ANTIGO>,DC=<EXTENSÃO ANTIGA>' -
TargetPath 'OU=<NOVO GRUPO DE USUÁRIOS>,DC=<ANTIGO
DOMÍNIO>,DC=<EXTENSÃO ANTIGA>'
C:\> dsmove "CN=<NOME DE USUÁRIO>,OU=<OU USUÁRIO ANTIGO>,DC=<OLD

DOMÍNIO>,DC=<EXTENSÃO ANTIGA>" -newparent OU=<NOVO USUÁRIO
GRUPO>,DC=<DOMÍNIO ANTIGO>,DC=<EXTENSÃO ANTIGA>
SISTEMA STAND ALONE - SEM DIRETÓRIO ATIVO (AD)
Proibir a execução de um arquivo .exe:
C:\>reg add
"HKCU\Software\Microsoft\Windows\CurrentVersion\Poli cies\Explorer" /v DisallowRun /
t REG_DWORD /d "00000001" /f
C:\> reg add

"HKCU\Software\Microsoft\Windows\CurrentVersion\Poli cies\Explorer\DisallowRun" /v
badfile.exe /t REG_SZ /d <NOME DO ARQUIVO RUIM>.exe /f
Desative a área de trabalho remota:
C:\>reg add
"HKLM\SYSTEM\Cu rrentCont ro lSet\Cont ro l \ Terminal
Servidor" /f /v fDenyTSConnections /t REG_DWORD /d 1
32
Enviar apenas resposta NTLMv2/recusar LM e NTLM:

(padrão do Windows 7)
C:\>reg add
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\ /v lmcompatibilitylevel /t
REG_DWORD /d 5 /f
Restringir acesso anônimo:
C:\>reg add
HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v restritoanônimo /t
REG_DWORD /d 1 /f
Não permitir enumeração anônima de contas e compartilhamentos SAM:
C:\>reg add
HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v restringiranonymoussam /
t REG_DWORD /d 1 /f
Desative IPV6:
C:\>reg add
HKLM\SYSTEM\CurrentControlSet\services\TCPIP6\Parame ters /v
DisabledComponents /t REG_DWORD /d 255 /f
Desative as teclas aderentes:
C:\> reg add "HKCU\Control

Painel\Acessibilidade\StickyKeys" /v Sinalizadores /t REG_SZ /d 506 /f
Desativar teclas de alternância:

Painel \Acessibilidade\ ToggleKeys" /v Flags /t REG_SZ
Id 58 /f
Desativar chaves de filtro:

Painel\Acessibilidade\Resposta do Teclado" /v Sinalizadores /t
REG_SZ /d 122 /f
Desative o teclado na tela:

C:\>reg add
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authe 33
nticação\LogonUI /f /v ShowTabletKeyboard /t
REG_DWORD/d0
Desabilitar Compartilhamentos Administrativos - Estações de Trabalho:
C:\>reg add
HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\
Parâmetros /f /v AutoShareWks /t REG_DWORD /d 0
Desativar compartilhamentos administrativos - Servidores
C:\>reg add
HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\
Parâmetros /f /v AutoShareServer /t REG_DWORD /d 0
Remover a criação de hashes usados para passar o hash
Ataque (requer redefinição de senha e reinicialização para limpar hashes
antigos):
C:\>reg add
HKLM\SYSTEM\CurrentControlSet\Control\Lsa /f /v
NoLMHash /t REG_DWORD /d 1
Para desativar o Editor do Registro: (alto risco)
C:\>reg add
HKCU\Software\Microsoft\Windows\CurrentVersion\Polic ies\System /v
DisableRegistryTools /t REG_DWORD /d 1 /f
Desative o cache de senha do IE:
C:\>reg add
HKCU\Software\Microsoft\Windows\CurrentVersion\Configurações da Internet /
v DisablePasswordCaching /t REG_DWORD /d 1 /f
Desative o prompt do CMD:
C:\>reg add
HKCU\Software\Policies\Microsoft\Windows\System /v
DesabilitarCMD /t REG_DWORD /d 1 /f
34
Desative o cache de credenciais de administrador no host ao usar

PDR:
C:\>reg add
HKLM\System\CurrentControlSet\Control\Lsa /v
DisableRestrictedAdmin /t REG_DWORD /d 0 /f
Não processe a lista de execução única:
C:\>reg add
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v
DisableLocalMachineRunOnce /t
REG_DWORD/d1
C:\>reg add
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v
DisableLocalMachineRunOnce /t
REG_DWORD/d1
Exigir permissão de controle de acesso do usuário (UAC):
C:\>reg add
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v
EnableLUA /t REG_DWORD /d 1 /f
Alterar senha no próximo login:

PS C:\> Set-ADAccountPassword <USER> -NewPassword $newpwd -Reset
-PassThru I Set-ADuser -
ChangePasswordAtLogon $True
Altere a senha no próximo logon do Grupo OU:
PS C:\> Get-ADuser -filter "departamento -eq '<OU

111
GRUPO>' -AND habilitado -eq 'Verdadeiro Eu configurei o usuário AD -
ChangePasswordAtLogon $True
Registro de firewall ativado:
C:\> netsh firewall set logging conexões de pacotes descartados = ativar
35
LINUX
DESATIVAR/PARAR SERVIÇOS
Informações sobre serviços:
# serviço --status-tudo
# ps -ef
# ps -aux
Obtenha uma lista de empregos iniciantes:
#lista initctl
Exemplo de iniciar, parar e reiniciar um serviço em

Ubuntu:
# /etc/init,d/apache2 start
# /etc/init.d/apache2 reiniciar
# /etc/init.d/apache2 stop (para apenas até a reinicialização)
# serviço mysql start
# serviço mysql reiniciar
# service mysql stop (para apenas até a reinicialização)
Liste todos os serviços Upstart:
#ls /etc/init/*,conf
Mostre se um programa é gerenciado pelo upstart e o ID do

processo:
# status ssh
Se não for gerenciado pelo iniciante:
# update-rc.d apache2 desabilitado
# serviço apache2 parada
36
FIREWALLS DO SISTEMA HOSPEDEIRO
Exporte regras de firewall do iptables existentes:
# iptables-save > firewall.out

Edite regras e cadeias de firewall em firewall.out e salve o arquivo:
# vi firewall.out
Aplicar iptables:
# iptables-restore < firewall.out
Exemplo de comandos iptables (IP, intervalo de IP, porta

Blocos):
# iptables -A INPUT -s 10.10.10.10 -j DROP

# iptables -A INPUT -s 10,10.10.0/24 -j DROP
# iptables -A INPUT -p tcp --dport 10.10.10.10 ssh -s
-j DROP
# iptables -A INPUT -p tcp --dport ssh -j DROP
Bloqueie todas as conexões:
# iptables-policy INPUT DROP

# iptables-policy OUTPUT DROP
# iptables-policy FORWARD DROP
Registre todas as regras negadas do iptables:
# iptables -I INPUT 5 -m limite --limit 5/min -j LOG --log-prefix

"iptables negado: " --log-level 7
Salve todas as regras atuais do iptables:

Ubuntu:
# /etc/init.d/iptables salva
# /sbin/service iptables salva
RedHat/CentOS:
# /etc/init.d/iptables salva
# /sbin/iptables-save
37
Liste todas as regras atuais do iptables:

#iptables -L
Limpe todas as regras atuais do iptables:
# iptables-F
Iniciar/parar serviço iptables:
# serviço iptables começa
# serviço iptables para

Iniciar/parar serviço ufw:
#ufw ativar
#ufw desativar
Iniciar/parar o registro do ufw:

# ufw efetuando logon
#ufw desconectando
Faça backup de todas as regras atuais do ufw:
# cp /lib/ufw/{user.rules,user6.rules} /<LOCAL DE BACKUP>
# cp /lib/ufw/{user.rules,user6.rules} ./
Exemplo de comandos descomplicados de firewall (ufw) (IP,
Faixa de IP, blocos de portas):
# ufw status detalhado
#ufw excluir <RULE#>
# ufw permite <ENDEREÇO IP>
# ufw permite todos os 80/tcp

# ufw permite todos os ssh
# ufw deny from <BAD IP ADDRESS> proto udp para qualquer porta 443
38
SENHAS
Alterar a senha:
$ passwd (para usuário atual)
$ passwd bob (para o usuário Bob)
$ sudo su passwd (para root)
ARQUIVO HOSPEDEIRO
Adicione um novo domínio malicioso ao arquivo hosts e direcione para

localhost:
# echo 127.0.0,1 <DOMÍNIO MALICIOSO> >> /etc/hosts
Verifique se o arquivo hosts está funcionando, enviando ping para

127.0.0.1:
# ping -c 1 <DOMÍNIO MALICIOSO>
Liberação de cache DNS do Ubuntu/Debian:
# /etc/init.d/dns-clean start
Libere o cache DNS do nscd de quatro maneiras:
# /etc/init.d/nscd reiniciar
# serviço nscd reiniciar
# serviço nscd recarregar
#nscd -i hosts
Liberar cache DNS do dnsmasq:
# /etc/init.d/dnsmasq reiniciar
LISTA DE BRANCO
Use um arquivo Proxy Auto Config (PAC) para criar URL ou lista de IP
inválidos:
39
function FindProxyForURL(url, host) {
II Envie um nome DNS incorreto para o proxy
if (dnsDomainis(host, ",badsite.com"))
II Envie IPs inválidos para o proxy if
(isinNet(myipAddress(), "222.222.222.222", "255.255.255.0"))
II Todos os outros proxy de desvio de tráfego
retornar "DIRETO";
IPsec
Permitir que o firewall passe o tráfego IPSEC:
# iptables -A INPUT -p esp -j ACEITAR
# iptables -A INPUT -p ah -j ACEITAR
# iptables -A INPUT -p udp --dport 500 -j ACEITAR
# iptables -A INPUT -p udp --dport 4500 -j ACEITAR
Passe o tráfego IPSEC:
Etapa 1: Instale o utilitário Racoon em <HOSTl IP ADDRESS> e <HOST2 IP

ADDRESS> para ativar o túnel IPSEC no Ubuntu.
# apt-get install racoon
Passo 2: Escolha direto e edite letclipsec-tools.conf em <HOSTl IP

ADDRESS> e <HOST2 IP ADDRESS>.
rubor;
spdflush;
40
spdadd <HOSTl IP ADDRESS> <HOST2 IP ADDRESS> any -P out ipsec
esp/transporte//exigir;
spdadd <HOST2 IP ADDRESS> <HOSTl IP ADDRESS> qualquer -P em ipsec
esp/transporte//exigir;
Etapa 3: Edite /etc/racoon/racoon.conf em <HOSTl IP ADDRESS> e <HOST2

IP ADDRESS>,
notificação de registro;
caminho pre_shared_key "/etc/racoon/psk.txt";
certificado de caminho "/etc/racoon/certs";
remoto anônimo {
exchange_mode principal, agressivo;
proposta {
algoritmo_de criptografia aes_256;
hash_algoritmo sha256;
Método de autenticação
Chave Pré-Compartilhada;
dh_grupo modp1024;
generate_policy desativado;
sainfo anônimo{
grupo_pfs 2;
algoritmo_de criptografia aes_256;
algoritmo_autenticação hmac_sha256;
compressão_algoritmo deflacionar;
41
Etapa 4: adicione a chave pré-compartilhada a ambos os hosts.
No HOSTl:
# echo <ENDEREÇO IP HOST2> <SENHA PRESHARED> >>/etc/racoon/

psk.txt
No HOST2:
# echo <ENDEREÇO IP HOSTl> <SENHA PRESHARED> >>/etc/racoon/

psk.txt
Etapa 5: reinicie o serviço em ambos os sistemas.
# reinicialização do setkey de serviço
Verifique associações, configurações e políticas de segurança:
# setkey -D
# setkey-DP
42
43
3 DETECTAR (VISIBILIDADE)
44
MONITORAMENTO DE REDE
TCPDUMP
Visualize o tráfego ASCII (-A) ou HEX (-X):
#tcpdump -A
#tcpdump -X
Visualize o tráfego com carimbos de data e hora, não converta

endereços e seja detalhado:
# tcpdump -tttt -n -vv
Encontre os melhores locutores após 1.000 pacotes (Potencial

DDoS):
# tcpdump -nn -c 1000 jawk '{print $3}' eu cortei -d. -

fl-4 I sort -n I uniq -c I sort -nr Captura o tráfego
em qualquer interface de um host de destino e porta específica e
envia para um arquivo:
# tcpdump -w <FILENAME>,pcap -i any dst <TARGET IP

ENDEREÇO> e porta 80
Visualize o tráfego apenas entre dois hosts:
# host tcpdump 10.0.0.1 && host 10.0.0.2
Veja todo o tráfego, exceto de uma rede ou host:
# tcpdump não é net 10.10 && não é host 192.168.1,2

Veja o host e qualquer um dos outros dois hosts:
# host tcpdump 10,10,10.10 && $10,10.10.20 ou 10,10,10,30$
Salve o arquivo pcap em tamanho rotativo:
# tcpdump -n -s65535 -c 1000 -w '%host_%Y-%m

%d_%H:%M:%S.pcap'
45
Salve o arquivo pcap em um host remoto:
# tcpdump -w - I ssh <REMOTE HOST ADDRESS> -p 50005 "cat - > /

tmp/remotecapture.pcap"
Pegue o tráfego que contém a palavra pass:
# tcpdump -n -A -s0 eu passo grep
Obtenha muitas senhas de protocolo de texto não criptografado:
# tcpdump -n -A -s0 porta http ou porta ftp ou porta smtp ou porta

imap ou porta pop3 I egrep -i
'pass=lpwd=llog=llogin=luser=lusername=lpw=lpassw=IP
asswd=lpassword=lpass: I usuário: lusername: I senha: I log in: I pass I
user ' --color=auto --line-buffered -B20
Obtenha rendimento:
# tcpdump -w - lpv -bert >/dev/null
Filtre o tráfego IPv6:
# tcpdump não ip6
Arquivar o tráfego IPv4:
#tcpdumpip6
Script para capturar múltiplos tcpdumps de interface para arquivos

girando a cada hora:
#!/bin/bash
tcpdump -pni qualquer -s65535 -G 3600 -w qualquer%Y-%m

%d_%H:%M:%S.pcap
Script para mover vários arquivos tcpdump para local alternativo:
#!/bin/bash enquanto
verdadeiro; durma 1; rsync
-azvr -progress
<NOME DE USUÁRIO>@<ENDEREÇO IP>:<DIRETÓRIO DE
TRÁFEGO>/, <DIRETÓRIO DE DESTINO/. feito
46
Procure certificados SSL suspeitos e autoassinados:
# tcpdump -s 1500 -A '(tcp[((tcp[12:1] & 0xf0) >> 2)+5:1] = 0x01) e (tcp[((tcp[12:1]

& 0xf0) > > 2): 1]: 0x16) eu
Obtenha certificado SSL:
#openssl s_client -connect <URL>:443
# openssl s_client -connect <SITE>:443 </dev/null 2>/dev/null I sed -ne '/-

BEGIN CERTIFICATE-/,/-END CERTIFICATE-Ip' > <CERT>.pem
Examine e verifique o certificado e verifique se há

Autoassinado:
#openssl x509 -text -in <CERT>.pem
# openssl x509 -in <CERT>,pem -noout -issuer -

assunto -data inicial -data final -impressão digital
# openssl verifica <CERT>.pem

Extraia o nome do servidor de certificados:
# tshark -nr <NOME DO ARQUIVO PCAP> -Y "ssl.

handshake. ciphersuites" -Vx I grep "Nome do servidor:" I sort I uniq -c I
sort -r
Extraia informações do certificado para análise:
# ssldump -Nr <NOME DO ARQUIVO>.pcap I awk 'BEGIN {c=0;} { if ($0 ÿ / A[ ]

+Certificado$/) {c=l; imprimir
"=======================================";} if ($0 ! /A +/) {c=0;}
if (c==l) imprimir $0; }'
47
TUBARÃO
Obtenha a lista de interfaces de rede:

>tshark -D
Ouça em várias interfaces de rede:

> tshark -i ethl -i eth2 -i eth3
Salve no pcap e desative a resolução de nomes:

> tshark -nn -w <NOME DO ARQUIVO>,pcap
Obtenha carimbo absoluto de data e hora:

> tshark -ta
Obtenha tráfego arp ou icmp:

> tshark arp ou icmp
Capture o tráfego entre [hosts] e/ou [nets]:

> tshark "host <HOST l> && host <HOST 2>"
> tshark -n "rede <NET 1> && rede <NET 2>"
Filtre apenas host e IPs (ou não o seu IP):

> tshark -r <NOME DO ARQUIVO>,pcap -q -z hosts,ipv4
> tshark não hospeda <SEU ENDEREÇO IP>
Não ARP e não UDP:

> tshark não arp e não (udp.port -- 53)
Reproduza um arquivo pcap:

> tshark -r <NOME DO ARQUIVO>.pcap
Reproduza um pcap e apenas pegue hosts e IPs:

> tshark -r <NOME DO ARQUIVO>.pcap -q -z hosts Configure
uma sessão de captura (duração = 60 segundos):
> tshark -n -a arquivos:10 -a tamanho do arquivo:100 -a duração:60

-w <NOME DO ARQUIVO>,pcap
48
Obtenha apenas IPs src/dst:
> tshark -n -e ip.src -e ip.dst -T campos -E separador =, -Rip
Pegue o IP do DNS src e da consulta DNS:
> tshark -n -e ip.src -e dns,qry.name -E separador=';'

-T campos porta 53
Pegue o host do URL HTTP e solicite:
> tshark -R http.request -T campos -E separador=';' -e http.host -e

http.request.uri
Pegue apenas solicitações de host HTTP:
> tshark -n -R http.request -T campos -e http.host

Obtenha os melhores locutores por IP dst:
> tshark -n -c 150 eu awk '{print $4}' eu classifico -n eu uniq -c eu

classifico -nr
Obtenha as principais estatísticas dos protocolos:
> tshark -q -z io,phs -r <NOME DO ARQUIVO>.pcap

> tshark -r <ARQUIVO PCAP>,cap -R http.request -T campos
-e http.host -e http.request.uri lsed -e 'sf?,*$//' I sed -e 's#" (,*)t(,*)
$#http://l2#' Eu classifico eu uniq -c eu classifico -rn eu cabeça
> tshark -n -c 100 -e ip.src -R "dns.flags.response eq 1" -T campos

po rt 53
> tshark -n -e http.request.uri -R http.request -T campos I grep exe
> tshark -n -c 1000 -e http.host -R http.request -T campos porta 80

eu classifico eu uniq -c eu classifico -r
49
SNORTE
Execute o teste no arquivo de configuração do snort:
# snort -T -c /<PATH TO SNORT>/snort/snort.conf
Use snort(v=verbose,d=dump payload do pacote):
# snort -dv -r <NOME DO ARQUIVO DE LOG>, log
Reproduza um arquivo de log e corresponda ao tráfego icmp:
# snort -dvr packet.log icmp
Registros em ASCII:
# snort -K ascii -l <DIRETÓRIO DE LOG>
Registros em binário:
# snort -l <DIRETÓRIO DE LOG>
Eventos enviados para o console:
# snort -q -A console -i eth0 -c /etc/snort/snort.conf
# snort -c snort.conf -l /tmp/so/console -A console
Crie uma única regra de snort e salve:
# echo alert any any <SNORT RULE> > one.rule
Teste a regra única:
#snort -T -c one.rule
Execute uma única regra e saída para o console e o diretório de logs:
#mkdir ,/logs
# snort -vd -c one.rule -r <NOME DO ARQUIVO PCAP>,pcap -A console -l logs
50
FERRAMENTAS DE CAPTURA DE REDE (PCAP)
EDITCAP
Use para editar um arquivo pcap (dividido em 1000 pacotes):

> editcap -F pcap -c 1000 original.pcap out_split,pcap
Use para editar um arquivo pcap (dividido em 1 hora

cada pacote):
> editcap -F pcap -t+3600 orignal.pcap out_split.pcap
MERGECAP
Use para mesclar vários arquivos pcap:

> mergecap -w merged_cap.pcap capl.pcap cap2.pcap cap3.pcap
51
TÉCNICAS DE MEL
JANELAS
Janelas de portas Honey:
Ref. http://securityweekly.com/wp-content/uploads/
2013/06/howtogetabetterpentest.pdf
Etapa 1: Crie uma nova regra de bloqueio de firewall TCP em

qualquer coisa conectada na porta 3333:
C:\> echo @echo off for /L %%i in (1,1,1) do @for /f "tokens=3" %%j in ('netstat -nao
A l find "'":3333A" ') do@for /f "tokens=l delims=:" %%k in ("%%j") do netsh advfirewall
firewall add regraname="HONEY TOKEN RULE" dir=in remoteip=%%k
localport=qualquer protocolo =Ação TCP=bloco >> <NOME DO ARQUIVO DE
LOTE>.bat
Etapa 2: executar o script em lote
C:\> <NOME DO ARQUIVO DE LOTE>,bat
Script do Windows Honey Ports PowerShell:

Ref.
https://github.com/Pwdrkeg/honeyport/blob/master/hon eyport.psl
Etapa 1: Baixe o script do PowerShell
C: \> "%P rogramFiles%\Internet Exp lo rer\iexplo re. exe" https://github.com/Pwdrkeg/

honeyport/blob/master/hon eyport.psl
Etapa 2: execute o script do PowerShell
C:\> honeyport.psl
52
Honey Hashes para Windows (também para detectar

Uso de Mimikatz):
Ref.
https://isc.sans.edu/forums/diary/Detecting+Mimikatz +Use+On+Your+Network/19311/
Etapa 1: crie um hash de mel falso. Observe que digite uma

senha falsa e mantenha os prompts de comando abertos
para manter a senha na memória
C:\> runas /
usuário:seudominio.com\fakeadministratoraccount /netonly cmd.exe
Etapa 2: Consultar tentativas de acesso remoto

C:\> wevtutil qe Sistema /q:"*[Sistema
[(EventID=20274)]]" /f:text /rd:true /c:1 /r:nomedocomputadorremote
Etapa 3: consultar tentativas de login com falha

C:\> wevtutil qe Segurança /q:"*[System[(EventID=4624 ou EventID=4625)]]" /f:text /
rd:true /c:5 /r:remotecomputername
Etapa 4: (opcional) execute consultas em loop infinito com pausa de

30 segundos
C:\> for /L %i in (1,0,2) do (Inserir Etapa 2) &
(Inserir Etapa 3) e tempo limite 30
LINUX
Mel Portas Linux:

Ref. http://securityweekly.com/wp-content/uploads/
2013/06/howtogetabetterpentest.pdf
Etapa 1: Execute um loop while para criar regras de Firewall

TCP para bloquear qualquer host conectado na porta 2222
53
l> /dev/null I grep ; echo "iniciado"; do IP='nc -v -l -p # while [ 1 ] 2222 2>&1

from I cut -d[ -f 3 I cut -d] -f 1'; iptables -A INPUT -p tcp -s ${IP} -j
DERRUBAR ; feito
Script Python de portas Honey do Linux:

Ref.
https://github.com/gchetrick/honeyports/blob/master/ honeyports-0.5.py
Etapa 1: Baixe o script Python
# wget
https://github.com/gchetrick/honeyports/blob/master/ honeyports-0.5.py
Etapa 2: execute o script Python
# python honeyports-0.5.py -p <ESCOLHA UMA PORTA ABERTA> -h <ENDEREÇO

IP DO HOST>
Detecte varreduras não autorizadas com Labrea Tarpit:
# apt-get install labrea
# labrea -z -s -o -b -v -i eth0 2>&11 tee -a log.txt
NETCAT
Use o netcat para ouvir ameaças de varredura:

> nc -v -k -l 80
> nc -v -k -l 443
> nc -v -k -l 3389
54
MONITORAMENTO DE DNS PASSIVO
Use dnstop para monitorar solicitações de DNS em qualquer local do

sniffer:
# apt-get atualização
# apt-get install dnstop
# dnstop -l 3 <NOME DA INTERFACE>
Etapa 1: pressione a tecla 2 para mostrar os nomes das consultas
Use dnstop para monitorar solicitações de DNS de um arquivo pcap:
# dnstop -l 3 <NOME DO ARQUIVO PCAP> I <ARQUIVO DE SAÍDA

NOME>,txt
55
AUDITORIA DE LOG
JANELAS
Aumente o tamanho do log para suportar maior auditoria:
C:\>reg add
HKLM\Software\Policies\Microsoft\Windows\Eventlog\Ap plication /v MaxSize /
t REG_DWORD /d 0x19000
C:\>reg add
HKLM\Software\Policies\Microsoft\Windows\Eventlog\Se curity /v MaxSize /t
REG_DWORD /d 0x64000
C:\>reg add
HKLM\Software\Policies\Microsoft\Windows\EventLog\Sy stem /v MaxSize /t
REG_DWORD /d 0x19000
Verifique as configurações do log de segurança:
C:\> wevtutil gl Segurança
Verifique as configurações das políticas de auditoria:
C:\> auditpol /get /categoria:*
Ativar auditoria de log para sucesso e/ou falha

Todas as categorias:
C:\> auditpol /set /categoria:* /success:enable /failure:enable
Ativar auditoria de log para sucesso e/ou falha

Subcategorias:
C: \> auditpol /set /subcategory: "Arquivo detalhado

Compartilhar" /sucesso:habilitar /falha:habilitar
C:\> auditpol /set /subcategory:"Sistema de arquivos" /

success:enable /failure:enable
C:\> auditpol /set /subcategory:"Sistema de Segurança

Extensão" /sucesso:habilitar /falha:habilitar
56
C:\> auditpol /set /subcategory:"Integridade do Sistema" /success:enable /

failure:enable
C:\> auditpol /set /subcategory:"Estado de segurança

Alterar" /sucesso:habilitar /falha:habilitar
C:\> auditpol /set /subcategory:"Outro Sistema

Eventos" /sucesso:enable /failure:enable
C:\> auditpol /set /subcategory:"Integridade do Sistema" /success:enable /

failure:enable
C:\> auditpol /set /subcategory:"Logon" /success:enable /

failure:enable
C:\> auditpol /set /subcategory:"Logoff" /success:enable /

failure:enable
C:\> auditpol /set /subcategory:"Bloqueio de conta" /success:enable /

failure:enable
C:\> auditpol /set /subcategory:"Outro Logon/Logoff

C:\> auditpol /set /subcategory:"Política de Rede

Servidor" /sucesso:habilitar /falha:habilitar
C:\> auditpol /set /subcategory:"Registro" /success:enable /

failure:enable
C:\> auditpol /set /subcategory:"SAM" /success:enable /

failure:enable
C:\> auditpol /set /subcategory:"Certificação

Serviços" /sucesso:habilitar /falha:habilitar
C:\> auditpol /set /subcategory:"Aplicativo

Gerado" /sucesso:habilitar /falha:habilitar
C:\> auditpol /set /subcategory: "Manipular

Manipulação" /sucesso:habilitar /falha:habilitar
C:\> auditpol /set /subcategory:"Compartilhamento de arquivo" /

C:\> auditpol /set /subcategory:"plataforma de filtragem

Queda de pacote" /sucesso:ativar /falha:habilitar
57
C:\> auditpol /set /subcategory:"Plataforma de filtragem

Conexão" /sucesso:habilitar /falha:habilitar
C:\> auditpol /set /subcategory:"Outro acesso a objetos

C: \> auditpol /set /subcategory: "Arquivo detalhado

Compartilhar" /sucesso:habilitar /falha:habilitar
C: \> auditpol /set /subcategory: "Privilégio Sensível

Use" /sucesso:habilitar /falha:habilitar
C: \> auditpol /set /subcategory: "Não sensível

Uso de privilégio" /success:enable /failure:enable
C: \> auditpol /set /subcategory: "Outro uso de privilégios

C:\> auditpol /set /subcategory:"Processo

Rescisão" /sucesso:habilitar /falha:habilitar
C:\> auditpol /set /subcategory: "Atividade DPAPI" /success:enable /

failure:enable
C:\> audit pol /set /subcategory: "Eventos RPC" /

C:\> auditpol /set /subcategory:"Criação de Processo" /

C:\> auditpol /set /subcategory:"Política de Auditoria

Alterar" /sucesso:habilitar /falha:habilitar
C:\> auditpol /set /subcategory: "Autenticação

Alteração de política" /sucesso:enable /failure:enable
C:\> auditpol /set /subcategory: "Autorização

C: \> audit pol /set /subcategory: "Nível de regra MPSSVC

C:\> auditpol /set /subcategory:"Plataforma de filtragem

C:\> auditpol /set /subcategory:"Outra alteração de política

58
C:\> auditpol /set /subcategory:"Conta de usuário

Gerenciamento" /sucesso:habilitar /falha:habilitar
C:\> auditpol /set /subcategory:"Conta de computador

C:\> auditpol /set /subcategory:"Grupo de Segurança

C:\> auditpol /set /subcategory:"Grupo de Distribuição

C:\> auditpol /set /subcategory:"Grupo de aplicativos

C:\> auditpol /set /subcategory:"Outra conta

Eventos de gerenciamento" /success:enable /failure:enable
C:\> auditpol /set /subcategory:"Serviço de diretório

Alterações" /sucesso:habilitar /falha:habilitar
C:\> auditpol /set /subcategory: "Serviço de diretório

Replicação" /sucesso:habilitar /falha:habilitar
C:\> auditpol /set /subcategory:"Diretório detalhado

Replicação de serviço" /success:enable /failure:enable
C:\> auditpol /set /subcategory:"Serviço de diretório

Acesso" /sucesso:habilitar /falha:habilitar
C:\> auditpol /set /subcategory:"Serviço Kerberos

Operações de ticket" /success:enable /failure:enable
C:\> auditpol /set /subcategory:"Outra conta Logan

C:\> audit pol /set /subcategory: "Kerberos

Serviço de autenticação" /success:enable /failure:enable
C:\> auditpol /set /subcategory:"Credencial

Validação" /sucesso:habilitar /falha:habilitar
Verifique a lista de logs disponíveis, tamanho e limite de retenção:
PS C:\> Get-Eventlog -list
59
Lista parcial de eventos de auditoria de log de segurança chave a

serem monitorados:
PS C:\> Get-Eventlog -newest 5 -logname application

Eu formato-lista
Mostrar log do sistema remoto:

PS C:\> Show-Eventlog -computername <NOME DO SERVIDOR>
Obtenha uma lista específica de eventos com base no ID do evento:

PS C:\> Get-Eventlog Segurança I ? {$_.Evento -eq 4800}
PS C:\> Get-WinEvent -FilterHashtable

@{LogName="Segurança"; ID=4774}
Logon da conta - Validação de credencial de auditoria nos últimos 14

Dias:
PS C:\> Segurança Get-Eventlog
4768,4771,4772,4769,4770,4649,4778,4779,4800,4801,48
02,4803,5378,5632,5633 -after ((get-date).addDays( -
14))
Conta - Logon/Logoff:
4625,4634,4647,4624,4625,4648,4675,6272,6273,6274,62
75,6276,6277,6278,6279,6280,4649,4778,4779,4800, 4801
,4802,4803,5378,5632,5633,4964 -depois ((obter
data).addDays(-1))
Gerenciamento de contas - Grupo de aplicativos de auditoria

Gerenciamento:
4783,4784,4785,4786,4787,4788,4789,4790,4741,4742,47
43,4744,4745,4746,4747,4748,4749,4750,4751,4752, 4753,
4759.4760.4761.4762.4782.4793.4727.4728.4729.4730,4
731.4732.4733.4734.4755777.4777.4755.477.47777777777.4755.475.4777.47
60
Rastreamento detalhado - atividade e processo de auditoria DPAPI

Rescisão, eventos RPC:
PS C:\> Segurança Get-EventLog

4692,4693,4694,4695,4689,5712 -after ((get-
date).addDays(-1))
Acesso ao Serviço de Domínio - Serviço de Diretório de Auditoria
Acesso:

4662,5136,5137,5138,5139,5141 -after ((get-
date).addDays(-1))
Acesso a objetos - compartilhamento de arquivos de auditoria, sistema
de arquivos, SAM, registro, certificações:

4671,4691,4698,4699,4700,4701,4702,5148,5149,5888,58
89,5890,4657,5039,4659,4660,4661,4663,4656,4658, 4690,
4874.4875.4880.4881.4882.4884.4885.4888.4890.4891,4
892.4895.4896.4898.5145.5140.5141.5143.51.51.5145.5140.5142.5143,
5144,5168,5140,5142,5143,5144,5168,4664,
4985,5152,5153,5031,5140,5150,5151,5154,5155,5156,51 57,5158,5159
-após ((data de obtenção) .addDays(-1))
Mudança de Política - Mudança de Política de Auditoria, Microsoft
Serviço de proteção, plataforma de filtragem do Windows:

4715,4719,4817,4902,4904,4905,4906,4907,4908,4912,47
13,4716,4717,4718,4739,4864,4865,4866,4867,4704, 4705
,4706,4707,4714,4944,4945,4946,4947,4948,4949,4950,4
951,4952,4953,4954,4956,4957,4958,5046,5047,5048,544 9,5450,4670
- depois de ((get-date).addDays(-1))
Uso de privilégios - Auditoria não sensível/sensível
Uso de privilégio:
PS C:\> Segurança Get-EventLog 4672,4673,4674 -after ((get-

date),addDays(-1))
61
Sistema - Auditoria de Mudança de Estado de Segurança, Segurança

Extensão do sistema, integridade do sistema, eventos do sistema:

5024,5025,5027,5028,5029,5030,5032,5033,5034,5035,50
37,5058,5059,6400,6401,6402,6403,6404,6405,6406, 6407 ,4608,4609 ,4616, 4621,
4610, 4611, 4614, 4622,4697,4612,4615,4618,4816,5038,5056,5057,5060,50
61,5062,6281 -após ((data de obtenção) .addDays(-1))
Adicione o cmdlet Microsoft IIS:
PS C:\> add-pssnapin WebAdministration
PS C:\> Import-Module WebAdministration
Obtenha informações do site do IIS:
PS C:\> Get-IISSite
Obtenha a localização do caminho de log do IIS:
PS C:\> (Get-WebConfigurationProperty '/system.applicationHost/

sites/siteDefaults' -Name 'logfile.directory').Valor
Defina a variável para o caminho de log do IIS (caminho padrão):
PS C:\> $LogDirPath =
"C:\inetpub\logs\LogFiles\W3SVCl"
Obtenha a lista de arquivos de log HTTP do IIS dos últimos 7 dias:
PS C:\> Get-Child!tem -Path C:

\inetpub\logs\LogFiles\w3svcl -recurse I Where-Object {$_. lastwritetime -lt (get-
date).addDays(-7)}
Visualize os logs do IIS (usando a variável $LogDirPath definida acima):
PS C:\> Get-Content $LogDirPath\*, log I%{$_ -replace '#Fields: ', "} I?{$_ -notmatch
""#'} I ConvertFrom-Csv -Delimiter '
62
Ver registros do IIS:
PS C:\> Get-Content <!IS NOME DO ARQUIVO DE LOG>, log I%{$_ -

substitua '#Fields: ', ''} 17{$_ -notmatch 'A#'} I ConvertFrom-Csv -Delimiter '
'
Encontre nos logs do IIS o endereço IP 192.168.*·* padrão:
PS C:\> Select-String -Path $LogDirPath\*, log -

Padrão '192.168,*,*'
Encontre nos logs do IIS padrões comuns de injeção de SQL:
PS C:\> Select-String -Path $LogDirPath\*, log '(@@version) I

(sqlmap) I (Connect) I (cast\() I (char\(
) I ( bcha r\ () I
( bancos de dados sys) I ( \ (selecionar) I (converter\ () I ( Conectar\ () I ( contar
\() I (objetos sys)'
LINUX
Logs de autenticação no Ubuntu:
# tail /var/log/auth. registro
# grep -i "falha" /var/log/auth. registro
Logs de login do usuário no Ubuntu:
# cauda /var/
Veja a atividade do samba:
# grep -i samba /var/log/syslog
Veja a atividade do cron:
# grep -i cron /var/log/syslog
Veja a atividade sudo:
# grep -i sudo /var/log/auth. sorriu

Procure nos logs do Apache por erros 404:
# grep 404 <NOME DO ARQUIVO DE LOG> I grep -v -E

"favicon. ico I robots. txt"
Veja os logs do Apache para ver os arquivos solicitados:

63
# head access_log eu awk '{print $7}'
Monitore novos arquivos criados a cada Smin:

# watch -n 300 -d ls -lR /<DIRETÓRIO WEB>
Veja de onde vem o tráfego:

# cat <NOME DO ARQUIVO DE LOG> I fgrep -v <SEU DOMÍNIO> eu cortei
-d\" -f4 I grep -v ""-
Monitore conexões TCP a cada 5 segundos:

# netstat -ac 5 grep tcp
Instale a estrutura de auditoria e revise syscalls/eventos:

#apt-get install auditado
# auditctl -a exit, sempre -5 execve
# ausearch -m execve
Obtenha o resumo do relatório de auditoria:
#aureport
64
65
4 RESPOSTA (ANÁLISE)
66
TRIAGEM AO VIVO - WINDOWS
INFORMAÇÃO DO SISTEMA
C:\> echo %DATE% %TIME%
C:\> nome do host
C:\> informações do sistema
C:\> informações do sistema eu encontrostr /B /C:"Nome do SO" /C:"SO

Versão"
C:\> wmic csproduct obter nome
C:\> wmic bios obtém número de série
C:\> letra da lista do sistema de computador wmic
psinfo.aspx
C:\>psinfo -accepteula -s -h -d
INFORMAÇÃO DO USUÁRIO
C:\> uau
C:\> usuários da rede
C:\> administradores de grupo local da rede
C:\> administradores de grupo de rede
C:\> lista wmic rdtoggle

C:\> lista de contas de usuário wmic
C:\> lista de grupos wmic
C:\> wmic netlogin obter nome,

últimologon,badpasswordcount
C:\> resumo da lista wmic netclient
C:\> doskey /history> histórico.txt
67
INFORMAÇÕES DE REDE
(:\> netstat -e
(:\> netstat -naob
C:\> netstat -não
C:\> netstat -vb
(:\> nbtstat -s
(:\> impressão de rota
(:\> arp -a
(:\> ipconfig /displaydns
(:\> netsh winhttp mostrar proxy
(:\> ipconfig /allcompartments /all
(:\> netsh wlan mostrar interfaces
C:\> netsh wlan mostrar tudo
C:\> consulta de registro

"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Configurações de
Internet\Conexões\WinHttpSettings"
C:\> digite %SYSTEMROOT%\system32\drivers\etc\hosts
C:\> wmic nicconfig obtém

descrições, endereço IP, endereço MAC
C:\> wmic netuse obter nome,

nome de usuário, tipo de conexão, nome local
SERVIÇO DE INFORMAÇÃO
(:\> em
(:\> lista de tarefas
C:\> lista de tarefas /SVC
C:\> lista de tarefas /SVC /fi "nome da imagem eq svchost.exe"

C:\> tarefas
68
C:\> início líquido
C:\> consulta sc
C:\> resumo da lista de serviços wmic Eu achostr "Correndo"
C:\> configuração da lista de serviços wmic
C:\> resumo da lista de processos wmic
C:\> status da lista de processos wmic
C:\> memória da lista de processos wmic
C:\> resumo da lista de tarefas wmic
PS C:\> Get-Service I Where-Object { $_.Status -eq "running" }
Lista de todos os processos e todos os módulos carregados:
PS C:\> Get-Process !select módulos!Foreach-Object{$_.modules}
INFORMAÇÕES DE POLÍTICA, PATCH E CONFIGURAÇÕES
C:\> definir
C:\> gpresult /r
C:\> gpresult /z > <NOME DO ARQUIVO DE SAÍDA>.txt
C:\> gpresult /H report.html /F
C:\> wmic qfe
Listar software GPO instalado:
C:\> consulta reg

uHKLM\Software\Microsoft\Windows\Current
Versão\Política de Grupo\AppMgmt"
INFORMAÇÕES DE AUTORUN E AUTOLOAD
Informações de inicialização:
C:\> lista de inicialização do wmic completa
C:\> resumo da lista wmic ntdomain

69
Veja o conteúdo do diretório da pasta de inicialização:
C:\> você
"%SystemDrive%\ProgramData\Microsoft\Windows\Start
Menu\P rog rams\Iniciar"
C:\> dir "%SystemDrive%\Documents and Settings\Todos

Use rs\Menu Iniciar\Programas\Iniciar"
C:\> diretório %userprofile%\Menu Iniciar\Programas\Inicializar
C:\> %ProgramFiles%\Startup\
C:\> diretório C:\Windows\Menu Iniciar\Programas\inicialização

C:\> você
"C:\Usuários\%nomedeusuário%\AppData\Roaming\Microsoft\Windo
ws\Menu Iniciar\Programas\Inicializar"
C:\> dir "C:\ProgramData\Microsoft\Windows\Start
C:\> diretório "%APPDATA%\Microsoft\Windows\Start
Menu\Programas\Inicialização"
C:\> dir "%ALLUSERSPROFILE%\Microsoft\Windows\Start
Menu\Programas\Inicialização"
C:\> dir "%ALLUSERSPROFILE%\Start
C:\> digite C:\Windows\winstart.bat

C:\> digite %windir%\wininit.ini
C:\> digite %windir%\win.ini
Veja execuções automáticas, oculte arquivos da Microsoft:
bb963902.aspx
C:\> autorunc -accepteula -m

C:\> digite C:\Autoexec.bat"
Mostre todos os arquivos de execução automática, exporte para csv e verifique com
Total de vírus:
C:\> autorunsc.exe -accepteula -a -c -i -e -f -l -m

-em
HKEY_CLASSES_ROOT:
C:\> consulta reg HKCR\Comfile\Shell\Open\Command
C:\> consulta reg HKCR\Batfile\Shell\Open\Command
C:\> consulta reg HKCR\htafile\Shell\Open\Command
C:\> consulta reg HKCR\Exefile\Shell\Open\Command
C:\> consulta reg HKCR\Exefiles\Shell\Open\Command
C:\> consulta reg HKCR\piffile\shell\open\command
HKEY_CURRENT_USERS:
C:\> consulta reg uHKCU\Painel de Controle\Desktop"

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

HKCU\Software\Microsoft\Windows\CurrentVersion\Runon
Esse

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOn ceEx

HKCU\Software\Microsoft\Windows\CurrentVersion\RunSe rvices

HKCU\Software\Microsoft\Windows\CurrentVersion\RunSe rv ices Once

HKCU\Software\Microsoft\Windows\CurrentVersion\Windo ws\Run
71

HKCU\Software\Microsoft\Windows\CurrentVersion\Windo ws\Load

HKCU\Software\Microsoft\Windows\CurrentVersion\Windo ws\Scripts
C:\> consulta reg «HKCU\Software\Microsoft\Windows

NT\CurrentVersion\Windows« /f executar
C:\> consulta reg «HKCU\Software\Microsoft\Windows

NT\Versão Atual\Windows« /f carregar

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

HKCU\Software\Microsoft\Windows\CurrentVersion\Explo rer\RecentDocs

HKCU\Software\Microsoft\Windows\CurrentVersion\Explo
rer\ComDlg32\LastVisitedMRU

rer\ComD1g32\0pen5aveMRU

rer\ComDlg32\LastVisitedPidlMRU

rer\ComD1g32\0pen5avePidlMRU /s

HKCU\Software\Microsoft\Windows\CurrentVersion\Explo rer\RunMRU

«HKCU\Software\Microsoft\Windows\CurrentVersion\Expl orer\Shell Folders"
72
C:\> reg query

uHKCU\Software\Microsoft\Windows\CurrentVersion\Expl orer\User Shell
Folders"

HKCU\Software\Microsoft\Windows\CurrentVersion\Apple ts\RegEdit /v
LastKey
C:\> consulta reg "HKCU\Software\Microsoft\Internet

Explo re r\ TypedURLs"
C:\> consulta reg

uHKCU\Software\Policies\Microsoft\Windows\Control
Painel \Área de Trabalho"
HKEY_LOCAL_MACHINE:
C:\> reg query uHKLM\SOFTWARE\Mic rosoft\Act ive

Configuração\Componentes instalados" /s

"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\User Shell
Folders"

"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Shell
Folders"

HKLM\Software\Microsoft\Windows\CurrentVersion\explo rer\ShellExecuteHooks

"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Expl orer\Browser
Helper Objects" /s

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Runon
Esse
73

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOn ceEx

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunSe rvices

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunSe rvicesOnce

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Winlo gon\Userinit

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\shell
ServiceObjectDelayLoad
C:\> consulta reg "HKLM\SOFTWARE\Microsoft\Windows

NT\CurrentVersion\Schedule\TaskCache\Tasks" /s

NT\Versão Atual\Windows"

NT\CurrentVersion\Windows" /f Appinit_DLLs

NT\CurrentVersion\Winlogon" /f Shell
C:\> reg query "HKLM\SOFTWARE\Mic rosoft\Windows

NT\CurrentVersion\Winlogon" /f Inicialização do usuário

HKLM\SOFTWARE\Policies\Microsoft\Windows\Systern\Scri pts

HKLM\SOFTWARE\Classes\batfile\shell\open\cornrnand

HKLM\SOFTWARE\Classes\cornfile\shell\open\cornrnand
74

HKLM\SOFTWARE\Classes\exefile\shell\open\command
HKLM\SOFTWARE\Classes\htafile\Shell\Open\Command
HKLM\SOFTWARE\Classes\piffile\shell\open\command
11HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\Current
Versão\Explorador\Objetos auxiliares do navegador" /s
"HKLM\SYSTEM\CurrentControlSet\Control\Session
Gerente"
"HKLM\SYSTEM\CurrentControlSet\Control\Session
Gerenciador\DLLs conhecidas"

"HKLM\SYSTEM\ControlSet001\Control\Sessão
Gerenciador\DLLs conhecidas"
HISTÓRICO
Copiar logs de eventos:
C:\> wevtutil epl Segurança C:\<PATH DE BACK

UP>\mylogs.evtx
C:\> wevtutil epl Sistema C:\<BACK UP
PATH>\mylogs.evtx
C:\> wevtutil epl Aplicativo C:\<BACK UP
PATH>\mylogs.evtx
Obtenha lista de logs remotamente:
Ref. https://technet.microsoft.com/en-us/
sysinternals/psloglist.aspx
C:\> psloglist \\<COMPUTADOR REMOTO> -accepteula -h 12
-x
75
Limpe todos os logs e inicie um log de linha de base para monitorar:
PS C:\> wevtutil el I Foreach-Object {wevtutil cl "$_"}
Liste os nomes dos arquivos de log e a localização do caminho:
C:\> wmic nteventlog obtém caminho, nome do arquivo, gravável
Faça a exportação de log pré-violação:
PS C:\> wevtutil el I ForEach-Object{Get-Eventlog -

Log "$_"I Export-Csv -Path (:\<BASELINE LOG>,csv -
Acrescentar}
Faça a exportação do log pós-violação:
PS C:\> wevtutil el I ForEach-Object{Get-EventLog -

Log"$_"I Export-Csv -Path C:\<POST BASELINE
LOG>,CSV -Anexar}
Compare dois arquivos de linha de base e registros pós-violação:
PS C:\> Compare-Object -ReferenceObject $(Get-Content "C:\<PATH TO

FILE>\<ORIGINAL BASELINE LOGS>.txt") -DifferenceObject $(Get-Content
"C:\<PATH TO FILE> \<POST BASELINE LOGS>.txt") >> <DIFERENÇAS
LOG>.txt
Isso exclui todos os registros:
PS C:\> wevtutil el I Foreach-Object {wevtutil cl "$_"}
INFORMAÇÕES DE ARQUIVOS, UNIDADES E COMPARTILHAMENTOS
C:\> uso líquido \\<ENDEREÇO IP DE ALVO>
C:\> compartilhamento líquido
C:\> sessão de rede
C:\> resumo da lista de volumes wmic
C:\> disco lógico wmic obtém

descrição, sistema de arquivos, nome, tamanho
C:\> compartilhamento wmic obtém nome, caminho

76
Encontre vários tipos de arquivo ou um arquivo:
C:\> dir /A /5 /T:A *,exe *,dll *,bat *·PS1 *,zip
C:\> dir /A /5 /T:A <NOME DO ARQUIVO RUIM>,exe
Encontre arquivos executáveis (.exe) mais recentes que 1º de janeiro de 2017:
C:\> forfiles /p C:\ /M *,exe /5 /0 +1/1/2017 /C "cmd /c echo @fdate @ftime

@path"
Encontre vários tipos de arquivos usando o loop: C:
\> for %G in (.exe, .dll, .bat, .ps) do forfiles -

p "C:" -m *%G -s -d +1/1/2017 -c "cmd /c echo @fdate @ftime @path"
Procure por arquivos mais recentes que a data:
C:\> forfiles /PC:\ /5 /0 +1/01/2017 /C "cmd /c echo @caminho @fdate"
Encontre arquivos grandes: (exemplo <20 MB)
C:\> forfiles /5 /M * /C "cmd /c if @fsize GEO 2097152 echo @path

@fsize"
Encontre arquivos com fluxos de dados alternativos:
streams.aspx
C:\> streams -s <ARQUIVO OU DIRETÓRIO>
Encontre arquivos com assinatura incorreta em csv:
bb897441.aspx
C:\> sigcheck -c -h -s -u -nobanner <ARQUIVO OU

DIRETÓRIO> > <NOME DO ARQUIVO DE SAÍDA>,csv
Encontre e mostre apenas arquivos não assinados com assinatura

incorreta em C:
C:\> sigcheck -e -u -vr -s C:\
77
Listar DLLs não assinadas carregadas:
bb896656.aspx
C:\> listdlls.exe -u
C:\> listdlls.exe -u <NOME DO PROCESSO OU PID>
Execute a verificação de malware (Windows Defender) offline:
Ref. http://windows.microsoft.com/en-us/windows/
what-is-windows-defender-offline
C:\> MpCmdRun.exe -SignatureUpdate
C:\> MpCmdRun.exe -Scan
78
TRIAGEM AO VIVO - LINUX
INFORMAÇÃO DO SISTEMA
#unome -a
# tempo de atividade
# t imedatectl
#montar
INFORMAÇÃO DO USUÁRIO
Ver usuários logados:

# Em
Mostrar se um usuário já fez login remotamente:

# último registro
# durar
Ver logins com falha:

#faillog -a
Ver contas de usuários locais:
# gato /etc/passwd
#cat/etc/shadow
Veja grupos locais:

#cat/etc/grupo
Ver acesso sudo:
# cat /etc/sudoers
Ver contas com UID 0:
# awk -F: '($3 == "0") {p rint}' /etc/passwd

# egrep ':0+' /etc/passwd
79
Veja as autenticações de chave SSH autorizadas pela raiz:

# cat /root/.ssh/authorized_keys
Lista de arquivos abertos pelo usuário:

# lsof -u < NOME DE USUÁRIO>
Veja o histórico do bash do usuário root:
# gato /root/,bash_history
INFORMAÇÕES DE REDE
Veja interfaces de rede:
# ifconfig
Ver conexões de rede:
#netstat -antup
# netstat-plantux
Veja as portas de escuta:
#netstat -nap
Ver rotas:
# rota
Ver tabela arp:
# arp-a
Lista de processos escutando nas portas:

# lsof -i
SERVIÇO DE INFORMAÇÃO
Ver processos:
# ps -aux
Lista de módulos de carregamento:
#lsmod
80
Lista de arquivos abertos:
#lsof
Lista de arquivos abertos, usando a rede:
# lsof -nPi eu cortei -f 1 -d " "Eu uniq eu cauda -n +2

Lista de arquivos abertos em processos específicos:
# lsof -c <NOME DO SERVIÇO>
Obtenha todos os arquivos abertos de um ID de processo específico:
# lsof -p<PID>
Lista de processos desvinculados em execução:
#lsof +Ll
Obtenha o caminho do PID do processo suspeito:
#ls -to /proc/<PID>/exe

Salve o arquivo para análise binária de malware adicional:
# cp /proc/<PID>/exe >/<NOME DO ARQUIVO SUSPEITO PARA

SALVAR>, elfo
Monitore os logs em tempo real:
# menos +F /var/log/messages
Listar serviços:
#chkconfig --list
INFORMAÇÕES DE POLÍTICA, PATCH E CONFIGURAÇÕES
Veja os arquivos pam.d:
# cat /etc/pam.d/common*
81
INFORMAÇÕES DE AUTORUN E AUTOLOAD:
Listar tarefas cron:
# crontab -l
Liste os cron jobs por root e outras contas UID 0:
# crontab -u raiz -l
Revisão de cron jobs incomuns:
# cat /etc/crontab
#ls /etc/cron,*
HISTÓRICO
Veja o histórico de comandos do usuário root:
# gato /root/,*histórico
Ver últimos logins:
# durar
INFORMAÇÕES DE ARQUIVOS, UNIDADES E COMPARTILHAMENTOS
Ver espaço em disco:
# df-ah
Veja a listagem de diretórios para /etc/init.d:
#ls -la /etc/init.d

Obtenha mais informações sobre um arquivo:
#stat -x <NOME DO ARQUIVO>
Identifique o tipo de arquivo:
# arquivo <NOME DO ARQUIVO>
Procure por arquivos imutáveis:

11 11
# lsatt r -R / I g rep \ -eu-
82
Veja a listagem de diretórios para /root:
#ls -la /raiz
Procure por arquivos modificados recentemente no diretório atual:
# ls -alt eu vou
Procure por arquivos graváveis em todo o mundo:
#find/ -xdev -type d$ -perm -0002 -a ! -perm -

1000 $ -imprimir
Procure arquivos criados recentemente, neste caso mais recentes que 02 de

janeiro de 2017:
#encontrar/ -n ewermt 2017-01-02q

Liste todos os arquivos e atributos:
#find/ -printf 11%m;%Ax;

%AT;%Tx;%TT;%Cx;%CT;%U;%G;%s;%p\n"
Veja os arquivos no diretório pelo carimbo de data/hora mais

recente: (pode ser adulterado)
#ls -alt /<DIRETÓRIO>! cabeça

Obtenha informações completas do arquivo:
# stat /<CAMINHO DO ARQUIVO>/<NOME DO ARQUIVO SUSPEITO>
Revise o tipo de arquivo:
# arquivo /<CAMINHO DO ARQUIVO>/<NOME DO ARQUIVO SUSPEITO>
Verifique se há rootkits ou sinais de comprometimento:
Execute a ferramenta unix-privsec-check:
# wget
https://raw.githubusercontent.com/pentestmonkey/unix-privesc-check/l_x/unix-
privesc-check
# ./unix-privesc-check > saída.txt
83
Execute o chkrootkit:
pés apt-get instalar chkrootkit

#chkrootkit
Execute o rkhunter:
#apt-get install rkhunter
#rkhunter --atualização
#rkhunter -verifique
Corra tigre:
#apt-get install tigre
# tigre
#less /var/log/tiger/security.report,*
Execute Lynis:
#apt-get install lynis
# sistema de auditoria lynis

# mais /var/logs/lynis. cebola
Execute a detecção de malware do Linux (LMD):
# wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
# tar xfz maldetect-current.tar.gz
#cd maldetectado-*
# ./install.sh
Receba atualizações do LMD:
# inclinação -você
Execute a varredura LMD no diretório:
# maldet -a /<DIRETÓRIO>
84
ANÁLISE DE MALWARE
NOÇÕES BÁSICAS DE ANÁLISE ESTÁTICA
Monte a unidade Sysinternats ao vivo:
\\live.sysinternals.com\ferramentas
Verificação de assinatura de arquivos dlt, exe:
Ref. http://technet.microsoft.com/en-us/sysinternals/
bb897441.aspx
C:\> sigcheck.exe -u -e (:\<DIRETÓRIO>
Enviar para o VirusTotat:
C:\> sigcheck.exe -vt < NOME DO ARQUIVO SUSPEITO>
Análise do Windows PE:
Veja Hex e ASCI de PE (exe ou qualquer arquivo), com opcional

-n primeiros 500 bytes:
# hexdump -C -n 500 <NOME DO ARQUIVO SUSPEITO>
# od -x algum arquivo.exe
# xxd algum arquivo.exe
No Windows, usando debug toot {funciona também para

arquivos .java):
C:\> debug < NOME DO ARQUIVO SUSPEITO>
> -d (basta digitar d e obter uma página por vez em hexadecimal)
> -q (sair do depurador)
Análise do Windows PE:
PE Fite Compile o script pert de data/hora abaixo (script somente do

Windows PE).
Ref. https://www.perl.org/get.html Ref. http://
www.perlmonks.org/bare/?node_id=484287
85
C:\> perl.exe <NOME DO SCRIPT>.pl <NOME DO ARQUIVO SUSPEITO>
#! pérola -slw
use estrito;
abra EXE, '<:raw', $ARGV[0] ou morra "$ARGV[0] .

US$ 1" •,
meu $dos = do{ local$/ = \65536; <EXE>}; die "$ARGV[0]
não é um .exe ou .dll (sig='${ \substr $dos, 0, 2 } ')" a menos que

substr( $dos, 0, 2 ) eq 'MZ';
my $coffoff = 8+ descompacte 'x60 V', $dos;
leia( EXE, $dos, $coffoff - 65536 + 4, 65536 ) ou morra$! se $coffoff

> 65536;
my $ts = descompacte "x$coffoff V", $dos;
imprimir "$ARGV [0] : ", definido $ts
? ( scalar( localtime $ts) 11 "tem um valor de carimbo de data/

hora insondável $ts" )
: 'não tem carimbo de data / hora';
_FIM_
Visualize strings dentro do PE e opção opcional de comprimento
de string -n:
Usando picadas no Linux:
# strings -n 10 <NOME DO ARQUIVO SUSPEITO>
Ref. https://technet.microsoft.com/en-us/
sysinternals/strings.aspx
Usando strings no Windows:
C:\> strings <NOME DO ARQUIVO SUSPEITO>
86
Encontre malware no despejo de memória usando Volatilidade e

Perfil Windows7SPFix64:
Referência, https://github.com/volatilityfoundation/volatility
# python vol.py -f <NOME DO ARQUIVO DE DUMP DE MEMÓRIA>.raw -

profile=Win7SPFix64 malfind -D /<DIRETÓRIO DE DUMP DE SAÍDA>
Encontre malware com PID no despejo de memória usando

Volatilidade:

profile=Win7SPFix64 malfind -p <PID #> -D /<DIRETÓRIO DE DUMP DE SAÍDA>
Encontre processos suspeitos usando Volatilidade:

perfil=Win7SPFix64 lista de ps
# python vol.py -f <NOME DO ARQUIVO DE DUMP DE MEMÓRIA>,raw -

perfil=Win7SPFix64 pstree
Encontre DLLs suspeitas usando Volatilidade:

profile = lista de dll Win7SPFix64

profile=Win7SPFix64 dlldump -D /<DIRETÓRIO DE DUMP DE SAÍDA>
Ferramenta de análise de análise de malware:
Ref. https://github.com/Defense-Cyber-Crime-Center/DC3-MWCP
Instale a ferramenta dc3-mwcp:
# setup.py instalar
Use a ferramenta dc3-mwcp para analisar arquivos suspeitos:
# mwcp-tool.py -p <NOME DO ARQUIVO SUSPEITO>
87
IDENTIFICAR MALWARE
EXPLORADOR DE PROCESSO
Ref. https://youtu.be/80vfTA9LrBM
Etapa 1: observe os processos em execução executando Process

Explorer (GUI) e identifique possíveis indicadores de comprometimento:
• Itens sem ícone

• Itens sem descrição ou nome da empresa • Imagens não
assinadas da Microsoft (primeiro adicione Verified
Coluna do signatário na guia Exibir-> Selecionar colunas, vá
para a guia Opções e escolha Verificar imagem
Assinaturas)
• Verifique todos os hashes de processos em execução no Virus Total
(vá para a guia Opções e selecione Verificar
VirusTota l. com)
• Arquivos suspeitos estão em diretórios ou perfis de usuário do
Windows • Itens
roxos que estão compactados ou compactados • Itens com
pontos de extremidade TCP/IP abertos
Etapa 2: verificação do arquivo de assinatura:
(Veja Sigcheck)
Etapa 3: verificação de strings:
• Clique com o botão direito no processo suspeito em Processo

Explorer e na janela pop-up, escolha a guia Strings e revise URLs
suspeitos. Repita para os botões de opção Imagem e Memória. •
Procure URLs estranhos em strings
Etapa 4: visualização da DLL :
• Abra com Ct rl+D • Procure

DLLs ou serviços suspeitos • Procure nenhuma
descrição ou nome da empresa
88
• Veja a coluna Resultados do VirusTotal
Etapa 5: parar e remover malware:
• Clique com o botão direito e selecione Suspender para quaisquer processos suspeitos
identificados • Clique com o
botão direito e selecione Encerrar Anterior
Processos suspensos
Etapa 6: Limpe onde os arquivos maliciosos são iniciados automaticamente na

reinicialização.
• Iniciar Autoruns • Em
Opções, marque as caixas Verificar código
Assinaturas e ocultar entradas da Microsoft • Procure arquivos
de processos suspeitos anteriores
etapas na guia tudo e desmarque. É mais seguro desmarcar do que excluir, em
caso de erro. • Pressione FS para atualizar Autoruns e confirmar
arquivo malicioso não recriou a entrada maliciosa no local de início

automático não verificado anterior.
Etapa 7: Monitoramento de Processo
processmonitor.aspx
• Se a atividade maliciosa ainda persistir, execute

Monitor de Processo.
• Procure processos recém-iniciados que iniciam logo após o término das etapas
anteriores.
Etapa 8: Repita conforme necessário para encontrar todos os arquivos maliciosos e

processar e/ou combinar com outras ferramentas e suítes.
89
ANÁLISE DE HASH DE ARQUIVO
CONSULTA HASH
Consulta da API on-line do VirusTotal:

Ref.
https://www.virustotal.com/en/documentation/public-api/ (Pré-requisito: precisa de
uma chave de API VT)
Envie um hash suspeito para o VirtusTotal usando cURL:
# curl -v --request POST --url 1 https://

www.virustotal.com/vtapi/v2/file/report' -d apikey=<VT API KEY> -d
'resource=<SUSPICIOUS FILE HASH>'
Envie um arquivo suspeito para o VirusTotal usando cURL:
# curl -v -F 'file=/<PATH TO FILE>/<SUSPICIOUS FILE NAME>' -F apikey=<VT

API KEY> https://www.virustotal.com/vtapi/v2/
file/scan
API da equipe Cymru:
Ref. https://hash.cymru.com, http://totalhash.com
Pesquisa de hash de malware Team Cymru usando whois: (Nota:

A saída é o carimbo de data/hora da última visualização e taxa de detecção)
# whois -h hash,cymru.com <HASH DE ARQUIVO SUSPEITO>
90
AQUISIÇÃO DE DISCO RÍGIDO E MEMÓRIA
JANELAS
Crie despejo de memória remotamente:
Ref. http://kromer.pl/malware-análise/memory-forensics-using-volatility-
toolkit-to-extract-malware-samples-from-memory-dump/
Ref. http://sourceforge.net/projects/mdd/
psexec.aspx
C: \> psexec. exe \\< NOME DO HOST OU ENDEREÇO IP> -u

<DOMÍNIO>\<CONTA PRIVILEGIADA> -p <SENHA> -c mdd_l,3.exe --o
C:\memory.dmp
Ref.
https://github.com/volatilityfoundation/volatility
Extraia exe/dll do despejo de memória:
C:\> volatilidade dlldump -f memory.dmp -0 dumps/
C:\> volatilidade procmemdump -f memory.dmp -0 dumps/
Crie uma imagem do disco rígido usando dc3dd de C:\:

Ref.
https://sourceforge.net/projects/dc3dd/files/dc3dd/7.2%20-%20Windows/
C:\> dc3dd,exe if=\\,\c: of=d:\<ATTACHED OR TARGET

UNIDADE>\<NOME DA IMAGEM>,dd hash=md5 log=d:\<MONTADO
LOCALIZAÇÃO>\<NOME DO LOG>, registro
LINUX
Criar despejo de memória:
# dd if=/dev/fmem of=/tmp/<NOME DO ARQUIVO DE MEMÓRIA>.dd
91
Crie um despejo de memória usando LiME:
Ref. https://github.com/504ensicslabs/lime
#wget
https://github.com/504ensicslabs/LiME/archive/master.zip
# descompacte master.zip
# cd LiME-master/src
# fazer
# cp lime-*,ko /media/=/media/ExternalUSBDriveName/
# insmod lime-3.13.0-79-generic.ko "path=/media/Exte

rna lUSBDriveName/<MEMORY DUMP>, lime format= raw"
Faça cópia do processo suspeito usando o ID do processo:
# cp /proc/<ID DO PROCESSO SUSPEITO>/exe /<NOVO SALVO

LOCALIZAÇÃO>
Pegue o dump principal da memória do processo suspeito:
#gcore <PIO>
Strings no arquivo gcore:
# strings gcore.*
Crie uma cópia do disco rígido/partição com opções tog e hash:
# dd if=<DISPOSITIVO DE ENTRADA> of=<NOME DO ARQUIVO DE IMAGEM>
# dc3dd if=/dev/<TARGET DRIVE EXEMPLE SDA OR SDAl> of=/dev/

<MOUNTED LOCATION>\<FILE NAME>.img hash=md5 log=/<MOUNTED
LOCATION>/<LOG NAME>.log
Crie um disco rígido/partição remota via SSH:
# dd if=/dev/<INPUT DEVICE> I ssh <USER

NOME>@<ENDEREÇO IP DE DESTINO> "dd of=<DESTINO
CAMINHO>"
92
Envie a imagem do disco rígido compactada pelo netcat:
Anfitrião de envio:
# bzip2 -c /dev/<DISPOSITIVO DE ENTRADA> I nc <IP DE DESTINO

ENDEREÇO> <ESCOLHA UMA PORTA>
Anfitrião receptor:
# nc -p <ESCOLHA A MESMA PORTA> -l lbzip2 -d I dd of=/

dev/sdb
Envie a imagem do disco rígido pelo netcat:
Anfitrião de envio:
# dd if=/dev/<INPUT DEVICE> bs=16M I nc <PORT>
Recebendo host com medidor Pipe Viewer:
# nc -p <SAME PORT> -l -vv I pv -r I dd of=/dev/<INPUT

DEVICE> bs=16M
93
5RECUPERAR (REMEDIAR)
94
REMENDO
JANELAS
Atualização de hotfix único para Windows 7 ou superior:

C:\> wusa.exe C:\<PATH TO HOTFIX>\Windows6.0-
KB934307-x86.msu
Conjunto de atualizações de hotfix único para versões anteriores ao

Windows 7 executando um script em lote:
@eco desligado
definir local
definir PATHTOFIXES=E:\hotfix
%PATHTOFIXES%Q123456_w2k_sp4_x86.exe /2 /M
%PATHTOFIXES%\Ql23321_w2k_sp4_x86.exe /2 /M
%PATHTOFIXES%\Q123789_w2k_sp4_x86.exe /2 /M
Para verificar e atualizar o Windows 7 ou superior:

C:\> wuauclt.exe /detectnow /updatenow
LINUX
Ubuntu:
Buscar lista de atualizações disponíveis:

Atualize estritamente os pacotes atuais:

Instalar atualizações (novas):

# apt-get dist-upgrade Red Hat
Enterprise Linux 2.1,3,4:
# up2date
95
Para atualizar de forma não interativa:
# up2date-nox --atualização
Para instalar um pacote específico:
# up2date <NOME DO PACOTE>
Para atualizar um pacote específico:
# up2date -u <NOME DO PACOTE>
Red Hat Enterprise Linux 5:
# cachorrinho
Red Hat Enterprise Linux 6:
# yum atualização
Para listar um pacote específico instalado:
# lista yum instalada <NOME DO PACOTE>
Para instalar um pacote específico:
# yum install <NOME DO PACOTE>
Para atualizar um pacote específico:
# yum update <NOME DO PACOTE>

Tempo:
# apt-get update && apt-get upgrade
96
CÓPIA DE SEGURANÇA
JANELAS
Faça backup da política de auditoria do GPO para fazer backup do arquivo:
C:\> auditpol /backup /file:C\auditpolicy.csv
Restaure a política de auditoria do GPO do arquivo de backup:
C:\> auditpol /restore /file:C:\auditpolicy.csv
Faça backup de todos os GPOs no domínio e salve no caminho:
PS C:\> Backup-Gpo -All -Path \\<SERVER>\<PATH TO

BACKUPS>
Restaure todos os GPOs no domínio e salve no caminho:
PS C:\> Restore-GPO -All -Domain <INSERIR DOMÍNIO

NOME> -Caminho \\Serverl\GpoBackups
Inicie o serviço Volume Shadow:
C:\> net start VSS
Liste todos os arquivos shadow e armazenamento:
C:\> lista vssadmin ShadowStorage
Liste todos os arquivos shadow:
C:\> vssadmin Lista Sombras
Procure arquivos/pastas na cópia de sombra:
C:\> mklink /dc:\<CRIAR PASTA>\<FORNECER NOME DA PASTA, MAS NÃO CRIAR> \\?
\GLOBALROOT\Device\HarddiskVolumeShadowCopyl\
Reverter para um arquivo shadow selecionado no Windows

Servidor e Windows 8:
C:\> vssadmin reverter sombra /shadow={<CÓPIA DE SOMBRA

ID>} /ForceDismount
97
Liste o histórico de versões anteriores de arquivos usando

volrest.exe:
Ref. https://www.microsoft.com/en-us/download/
details.aspx?id=17657
C:\> "\Arquivos de programas (x86)\Windows Resource

Kits\Tools\volrest.exe" "\\localhost\c$\<CAMINHO PARA O
ARQUIVO>\<NOME DO ARQUIVO>"
Reverta para uma versão de arquivo anterior selecionada ou nome de arquivo

@GMT para uma versão anterior específica usando volrest.exe:
C:\> subst Z: \\localhost\c$\$\<PATH TO FILE>
C:\> "\Arquivos de Programas (x86)\Windows Resource

Kits\Tools\volrest.exe" "\\localhost\c$\<CAMINHO PARA O
ARQUIVO>\<NOME DO ARQUIVO ATUAL OU NOME DO ARQUIVO @GMT
DO COMANDO DE LISTA ACIMA> " /R:Z:\
C:\> sub Z: /0
Reverta a versão anterior dos arquivos de um diretório e subdiretório
usando volrest.exe:
C: \> "\Arquivos de Programas (x86) \Windows Resource

Kits\Tools\volrest.exe" \\localhost\c$\<PATH TO FOLDER\*·* /5 /r:\
\localhost\c$\< CAMINHO PARA A PASTA>\
Reverter para um arquivo shadow selecionado no Windows
Servidor e Windows 7 e 10 usando wmic:
C:\> wmic shadowcopy call create Volume='C:\'

Crie uma cópia sombra do volume C no Windows 7 e 10 usando PowerShell:
PS C:\> (gwmi -list

win32_shadowcopy).Create('C:\', 'ClientAccessible')
Crie uma cópia sombra do volume C no Windows Server 2003 e 2008:
C:\> vssadmin criar sombra /for=c:
98
Crie um ponto de restauração no Windows:
C:\> wmic.exe /Namespace:\\root\default Caminho SystemRestore

Chamada CreateRestorePoint "%DATE%", 100, 7
Inicie os pontos de restauração do sistema no Windows XP:
C:\> sc config srservice start= desativado

C:\>reg add
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\SystemRestore" /v DisableSR /t
REG_DWORD /d 1 /f
C:\> net stop srservice
Pare os pontos de restauração do sistema no Windows XP:
C:\> sc config srservice start=Auto

C:\> net start srservice
C:\>reg add
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\SystemRestore" /v DisableSR /t
REG_DWORD /d 0 /f
Lista de pontos de restauração:
PS C:\> Get-ComputerRestorePoint
Restaure a partir de um ponto de restauração específico:
PS C:\> Restore-Computer -RestorePoint <RESTORE

PONTO#> -Confirmar
99
LINUX
Redefinir a senha root no modo de usuário único:

Etapa 1: reinicie o sistema.
#reinicializar -f
Passo 2: Pressione ESC na tela do GRUB.

Etapa 3: Selecione a entrada padrão e depois 'e' para editar.
Passo 4: Role para baixo até ver uma linha que começa com
linux, linux16 ou linuxefi.
Etapa 5: No final dessa linha deixe um espaço e adicione sem

aspas 'rw init=/bin/bash'
Etapa 6: pressione Ctrl-X para reiniciar.
Etapa 7: Após a reinicialização, deve estar no modo de usuário único
e root, altere a senha.
# senha
Etapa 8: reinicie o sistema.
#reinicializar -f
Reinstale um pacote:
# apt-get install --reinstall <PACOTE COMPROMETIDO
NOME>
Reinstale todos os pacotes:

# apt-get install --reinstall $(dpkg --get-selections lgrep -v
deinstall)
100
MATAR PROCESSO DE MALWARE
JANELAS
Remoção de malware:
Ref. http://www.gmer.net/
C:\> gmer.exe (GUI)

Mate o arquivo malicioso em execução:
C:\> gmer.exe -killfile C:

\WINDOWS\system32\drivers\<NOME DE ARQUIVO MALICIOSO>.exe
Elimine o arquivo malicioso em execução no PowerShell:
PS C:\> Stop-Process -Name <NOME DO PROCESSO>
PS C:\> Parar-Processo -ID <PID>
LINUX
Interrompa um processo de malware:
#matar <PID MALICIOSO>
Altere o processo de malware da execução e mova:
# chmod -x /usr/sbin/<NOME DO ARQUIVO SUSPEITO>
# mkdir /home/quarentena/
# mv /usr/sbin/<NOME DO ARQUIVO SUSPEITO> /
home/quarantine/
101
6 TÁTICAS (DICAS E TRUQUES)
102
CHEATS DO SO
JANELAS
Canalize a saída para a área de transferência:
C:\> some_command.exe eu recorto
Clipe de saída para arquivo: (requer PowerShell 5)
PS C:\> Get-Clipboard> clip.txt
Adicione carimbos de data/hora ao arquivo de log:
C:\> echo %DATE% %TIME%>> <TXT LOG>,txt
Adicionar/modificar o valor do registro remotamente:
C:\> reg add \\<COMPUTADOR REMOTO

NOME>\HKLM\Software\<INFO DA CHAVE DE REG>
Obtenha o valor do registro remotamente:
C:\> consulta reg \\<COMPUTADOR REMOTO

NOME>\HKLM\Software\<INFO DA CHAVE DE REG>
Teste para ver se o caminho do registro existe:
PS C:\> Caminho de teste "HKCU:\Software\Microsoft\<HIVE>"
Copie arquivos remotamente:
C:\> robocopy C:\<PASTA COMPARTILHADA FONTE>

\\<COMPUTADOR DE DESTINO>\<PASTA DE DESTINO> /E
Verifique se determinadas extensões de arquivo estão em um diretório:
PS C:\> Caminho de teste C:\Scripts\Archive\* -include

*·PSl, *,VbS
Mostrar o conteúdo de um arquivo:
C:\> digite <NOME DO ARQUIVO>
103
Combine o conteúdo de vários arquivos:
C:\> digite <NOME DO ARQUIVO 1> <NOME DO ARQUIVO 2> <NOME DO ARQUIVO 3>
> <NOVO NOME DO ARQUIVO>
Desktops, permite múltiplas telas de desktop:
cc817881 Opção de execução ao
vivo:
C:\> "%ProgramFiles%\Internet Explorer\iexplore.exe "https://live.sysinternals.com/

desktops.exe
Montagem remota, leitura e leitura/gravação:
C:\> compartilhamento líquido MyShare_R=c:\<PASTA SOMENTE LEITURA>

/GRANT: TODOS, LEIAM
C:\> compartilhamento líquido MyShare_RW=c:\<READ/WRITE FOLDER>

/GRANT: TODOS, COMPLETO
Execução remota de tarefas usando PSEXEC:
Ref. https://technet.microsoft.com/en-us/sysinternals/psexec.aspx
C:\> psexec.exe \\<ENDEREÇO IP DE ALVO> -u <NOME DE USUÁRIO> -p <SENHA> /C

C:\<PROGRAMA>.exe
C:\> psexec @(:\<LISTA DE ARQUIVOS DE ALVO>.txt -u <NOME DE USUÁRIO DE

NÍVEL ADMIN> -p <SENHA> C:\<PROGRAMA>,exe >> C:\<NOME DO ARQUIVO DE
SAÍDA>,txt
C:\> psexec.exe @(:\<LISTA DE ARQUIVOS DE ALVO>.csv -u <NOME DE

DOMÍNIO>\<NOME DE USUÁRIO> -p <SENHA> /c C:\<PROGRAMA>.exe
Execução remota de tarefas e envio de saída para compartilhamento:
C:\> wmic /node:ComputerName chamada de processo create ucmd,exe /c netstat

-an > \\<REMOTE SHARE>\<OUTPUT
NOME DO ARQUIVO>,txtn
104
Compare dois arquivos para alterações:

PS C:\> Compare-Object (Get-Content ,<LOG FILE NAME l>, log) -DifferenceObject
(Get-Content .<LOG FILE NAME 2>,log)
Execução remota de tarefas usando PowerShell:

PS C:\> Invoke-Command -<NOME DO COMPUTADOR> {<PS
COMANDO>}
Ajuda do comando PowerShell:

PS C:\> Get-Help <PS COMMAND> -full
LINUX
Analise o tráfego remotamente por ssh:

# ssh root@<ENDEREÇO IP REMOTO DO HOST PARA SNIFF> tcpdump
-i any -U -s 0 -w - 'não porta 22'
Adicione manualmente notas/dados ao syslog:

# logger uso algo importante a ser observado no Log"
# dmesg eu grep <COMMENT>
Montagem simples somente leitura:

# mount -o ro /dev/<SUA PASTA OU UNIDADE> /mnt
Montando remotamente via SSH:

# apt-get install sshfs
# adduser <NOME DE USUÁRIO> fusível
Saia e faça login novamente.
mkdir ÿ/<ONDE MONTAR LOCALMENTE>
# sshfs <NOME DE USUÁRIO REMOTO>@<HOST REMOTO>:/<REMOTE

CAMINHO> ÿ/<ONDE MONTAR LOCALMENTE>
105
Criando compartilhamento SMB no Linux:
# useradd -m <NOVO USUÁRIO>
# passwd <NOVO USUÁRIO>
# smbpasswd -a <NOVO USUÁRIO> #
echo [Compartilhar] >> /etc/samba/smb.conf
# echo /<PATH OF FOLDER TO SHARE> >> /etc/samba/

smb.conf
# echo disponível = sim >> /etc/samba/smb.conf
# echo usuários válidos = <NOVO USUÁRIO> >> /etc/

samba/smb.conf
# echo somente leitura = não >> /etc/samba/smb.conf
# echo navegável = sim >> /etc/samba/smb.conf
# echo public = sim >> /etc/samba/smb.conf
# echo gravável = sim >> /etc/samba/smb.conf
# reinicialização do serviço smbd
Visite compartilhar do sistema remoto:
> smb:\\<ENDEREÇO IP DO LINUX SMB SHARE>
Copie os arquivos para o sistema remoto:
> scp <NOME DO ARQUIVO> <NOME DO USUÁRIO>@<IP DE DESTINO

ENDEREÇO>:/<PASTA REMOTA>
Monte e compartilhe SMB no sistema remoto:
# mount -t smbfs -o nomedeusuário=<NOME DE USUÁRIO> //<SERVIDOR

NOME OU ENDEREÇO IP>/<NOME DO COMPARTILHAMENTO> /mnt/<PONTO DE MONTAGEM>/
Monitore um site ou arquivo ainda ativo:
#enquanto :; faça curl -sSr http://<URL> I head -n 1; dormir 60; feito
106
DECODIFICAÇÃO
CONVERSÃO HEX
Converter de hexadecimal em decimal no Windows:
C:\> set /a 0xff

255
PS C:\> 0xff
255
Outra matemática básica no Windows:
C:\> definir /a 1+2

3
C:\> definir /a 3*(9/4)
6
C:\> definir /a (2*5)/2
5
C:\> definir /a "32>>3"
4
Decodifique o texto Base64 em um arquivo:
C:\> certutil -decode <BASE64 CODIFICADO NOME DO ARQUIVO>
<NOME DO ARQUIVO DECODIFICADO>
Decodifique XOR e pesquise http:

Ref,
https://blog.didierstevens.com/programs/xorsearch/
C:\> xorsearch,exe -i -s <NOME DO ARQUIVO DE ENTRADA> http
Converter de hexadecimal em decimal no Linux:
# echo u0xff"lwcalc -d
= 255
107
Converter de decimal para hexadecimal no Linux:
$ echo u25s"1wcalc -h
= 0xff
Decodificar strings HTML:
PS C:\> Add-Type -AssemblyName System.Web

PS C:\>
[System.Uri] ::UnescapeDataString("HTTP%3a%2f%2fHello %20World.com")
HTTP://Hello World.com
108
SNORTE
REGRAS DE SNORTE
Regras do Snort para detectar tráfego do Meterpreter:

Ref.
https://blog.didierstevens.com/2015/06/16/metasploit -meterpreter-reverse-https-snort-
rule/
alert tcp $HOME_NET any-> $EXTERNAL_NET $HTTP_PORTS (msg:"Metasploit

User Agent String"; flow:to_server,established; content:"User-
Agentl3al Mozilla/4,0 (compatível\; MSIE 6.0\; Windows NT 5.1 ) l0d 0al"; http_header;
classtype:trojan-activity; reference:url,blog,didierstevens.com/2015/03/16/quic
kpost-metasploit-user-agent-strings/; sid:1618000; rev:1;)
alert tcp $HOME_NET any-> $EXTERNAL_NET $HTTP_PORTS ( msg: "Metasploit

User Agent St ring"; flow:to_server,established; content:"User-
Agentl3al Mozilla/4.0 (compatível\; MSIE 6,1\; Windows NT) l0d 0al"; http_header;
classtype:trojan-activity; reference:url,blog,didierstevens.com/2015/03/16/quic kpost-
metasploit-user-agent-strings/; sid:1618001; rev: 1;)
alert tcp $HOME_NET any-> $EXTERNAL_NET $HTTP_PORTS (msg: "Metasploit

User Agent String"; flow:to_server,established; content:"User-
Agentl3al Mozilla/4,0 (compatível\; MSIE 7,0\; Windows NT 6.0) l0d 0al"; http_header;
classtype:trojan-activity; reference:url,blog.didierstevens.com/2015/03/16/quic
kpost-metasploit-user-agent-strings/; sid:1618002; rev: 1; )
alert tcp $HOME_NET any-> $EXTERNAL_NET $HTTP_PORTS (msg:"Metasploit

User Agent String";
109
fluxo:to_server,estabelecido; content:"User-Agentl3al Mozilla/4,0

(compatível\; MSIE 7,0\; Windows NT 6,0\; Trident/4,0\;
SIMBAR={7DB0F6DE-8DE7-4841-9084-
28FA914B0F2E}\; SLCCl\; ,Nl0d 0al"; http_header; classtype:trojan-
activity;
reference:url,blog.didierstevens.com/2015/03/16/quic kpost-metasploit-
user-agent-strings/; sid:1618003; rev: 1;)
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS

(msg:"Metasploit User Agent String";
flow:to_server,established; content:"User-Agentl3al Mozilla/4.0
(compatível\; Metasploit RSPEC)l0d 0al"; http_header; classtype :atividade
de trojan; referência:url,blog,didierstevens.com/
2015/03/16/quic kpost-metasploit-user-agent-strings/; sid:1618004; rev:
1;)
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS

(msg:"Metasploit User Agent String";
flow:to_server,established; content:"User-Agentl3al Mozilla/5,0
(Windows\; U\; Windows NT 5,1 \; en-US)
AppleWebKit/525.13 (KHTML, como Gecko)
Chrome/4.0.221.6 Safari/525,13l0d 0al"; http_header; classtype:trojan-
activity;
reference:url,blog.didierstevens.com/2015/03/16/quic kpost-metasploit-
user-agent-strings/; sid :1618005; rev: 1;)
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS ( msg:

"Metasploit User Agent St ring";
flow:to_server,established; content:"User-Agentl3al Mozilla/5.0
(compatível\; Googlebot/2.1\; +http:/ /www.google.com/
bot.html) l0d 0al"; http_header; classtype:trojan-activity;
reference:url,blog,didierstevens.com/2015/03/16/quic
kpost-metasploit-user-agent-strings/ ; sid:1618006; rev: 1;)
alert tcp $HOME_NET any -> $EXTERNAL_NET $HTTP_PORTS (msg:

"Metasploit User Agent St ring";
110
fluxo:to_server,estabelecido; content:"User-Agentl3al Mozilla/5,0 (compatível\;

MSIE 10,0\; Windows NT 6,1\; Trident/6,0) l0d 0al"; http_header; tipo de
classe: atividade de trojan; referência:url,blog.didierstevens.com/
2015/03/16/quic kpost-metasploit-user-
agent-strings/; sid:1618007; rev: 1;)
Regras do Snort para detectar tráfego PSEXEC:
Ref. https://github.com/John-Lin/docker-snort/blob/master/
snortrules-snapshot-2972/rules/policy-other.rules
alert tcp $HOME_NET any -> $HOME_NET [139,445] (msg:"POLICY-

OTHER uso da ferramenta de administração remota
psexec"; fluxo: to_server, estabelecido; conteúdo:" IFFISMB1A2I";
profundidade:5; deslocamento:4; content:"ISC .00 I p I 00 Is
I 00 I e I 00 Ix I
00 I e I 00 I c I 00 I s I 00 Iv I 00 I c" ; nocase; metadata:service
netbios-ssn; referência: url,technet.microsoft.com/en-
us/sysinternals/bb897553.aspx; classtype:policy-violation;
sid:24008; rev:1;)
alert tcp $HOME_NET any -> $HOME_NET [139,445] (msg:"POLICY-

OTHER uso da ferramenta de administração remota
psexec SMBv2"; flow:to_server,established;
content:"IFEISMB"; profundidade:8; nocase; content:"105 001";
dentro de:2; distância:8;
conteúdo:"Pl001Sl00IEl00IXl00IEl00ISl00IVl00ICl00I"; fast_pattern:only;
metadados:serviço netbios-ssn; referência:url,technet.microsoft,com/en-
us/sysinternals/bb897553.aspx[l] ; classtype:violação de
política; sid:30281; rev:1;)
111
DOS/DDOS
FINGERPRINT DOS/DDOS
Impressão digital do tipo de DoS/DDoS:

Ref. https://www.trustwave.com/Resources/SpiderLabs-Blog/PCAP-Files-Are-Great-
Arn-t-They--/
Volumétrico: Consumo de largura de banda
Exemplo, sustentando o envio de 1 Gb de tráfego para uma conexão de 10 Mb
Ref. http://freecode.com/projects/iftop
# iftop -n
e Protocolo: Uso de protocolo específico
Exemplo, inundação SYN, inundação ICMP, inundação UDP
# tshark -r <NOME DO ARQUIVO>,pcap -q -z io,phs
#tshark -c 1000 -q -zio,phs
# tcpdump -tn r $FILE I awk -F '. ' '{print $1","$2"."$3","$4}' Eu

classifico eu uniq -c eu classifico -n eu tail
# tcpdump -qnn "tcp[tcpflags] & (tcp-syn) != 0"
# netstat -s
Exemplo, isolar um protocolo e/ou remover outros protocolos
# tcpdump -nn não arp e não icmp e não udp
# tcpdump -nn tcp
112
Recurso: Esgotamento de estado e conexão
Exemplo, o Firewall pode lidar com 10.000 conexões simultâneas e o

invasor envia 20.000
# netstat -n I awk '{print $6}' eu classifico I uniq -c sort -nr I head
Aplicação: Ataques da Camada 7
Exemplo, inundação HTTP GET, para um arquivo de imagem grande.
# tshark -c 10000 -T campos -e http.host uniq -c eu classifico então eu vou
-r eu cabeça -n 10
# tshark -r capture6 -T campos -e http.request.full\_uri

eu classifico eu uniq -c eu classifico -r eu cabeça -n 10c
# tcpdump -n 'tcp[32:4] = 0x47455420' eu cortei -f 7- -d

.
II•II
Por exemplo, procure solicitações excessivas de arquivos, GIF, ZIP, JPEG, PDF,
PNG.
# tshark -Y "http contém 11ff: d811 11 11 "http contém 11GIF89a11

" EU I "http contém
11\x50\x4B\x03\x0411 11 11 "http contém\xff\xd8 11 11 11 "http contém
11%PDF11 11 EU Eu "http contém
"\x89\x50\x4E\x47""
Exemplo: procure o padrão de abuso 'usuário-agente' do aplicativo da

web.
# tcpdump -c 1000 -Ann I grep -Ei 'user-agent' sort I uniq -c I sort -nr I
head -10
Exemplo, mostre o cabeçalho HTTP dos recursos solicitados.
# tcpdump -i en0 -A -s 500 I grep -i refiro
Fareje cabeçalhos HTTP em busca de sinais de abuso repetido:
# tcpdump -s 1024 -l -A dst <EXAMPLE.COM>
113
Veneno: ataques da camada 2
Exemplo, veneno ARP, condição de corrida DNS, DHCP
# tcpdump 'arp ou icmp'
# tcpdump -tnr <ARQUIVO DE TRÁFEGO DE EXEMPLO>.pcap ARP lawk -

F ',' '{print $1"."$2","$3","$4}' Eu classifico I uniq -c sort -n I tail
# tshark -r <ARQUIVO DE TRÁFEGO DE EXEMPLO>.pcap -q -z io,phsl grep

arp.duplicate-address-detectado
114
CONJUNTOS DE FERRAMENTAS
ISO PRÉ-CONSTRUÍDO, MÁQUINA VIRTUAL E DISTRIBUIÇÕES
KALI - Distribuição de Pentesting de Código Aberto

Ref. https://www.kali.org
SIFT - Kit de ferramentas de investigação forense SANS
Ref. http://sift.readthedocs.org/
REMNUX - Um kit de ferramentas Linux para engenharia reversa e
Analisando malware
Ref. https://remnux.org
OPEN VAS - scanner e gerenciador de vulnerabilidades de código aberto
Ref. http://www.openvas.org
MOLOCH - Captura de pacotes IPv4 em grande escala (PCAP),
indexação e sistema de banco de dados
Ref. https://github.com/aol/moloch/wiki
SECURITY ONION - distribuição Linux para detecção de
invasões, monitoramento de segurança de rede e gerenciamento
de logs
Ref. https://security-onion-
solutions.github.io/security-onion/
NAGIOS - Monitoramento de Rede, Alerta, Resposta e
Ferramenta de relatórios
Ref. https://www.nagios.org
OSSEC - Sistema de detecção de intrusão baseado em host,
escalável, multiplataforma e de código aberto
Ref. http://ossec.github.io
115
SAMURAI WTF - Ambiente de pen-testing web pré-configurado
Ref. http://samurai.inguardians.com
RTIR - Rastreador de Solicitações para Resposta a Incidentes
Ref. https://www.bestpractical.com/rtir/
HONEYDRIVE - Pacotes de software honeypot pré-configurados
Ref. http://sourceforge.net/projects/honeydrive/
O Enhanced Mitigation Experience Toolkit - ajuda a evitar que
vulnerabilidades em software sejam exploradas com sucesso
Ref. https://support.microsoft.com/en-us/kb/2458544
ANALISADOR DE SUPERFÍCIE DE ATAQUE DA MICROSOFT - Ferramenta de linha de base
Ref. https://www.microsoft.com/en-us/
download/confirmation.aspx?id=24487
WINDOWS TO GO - USB portátil Windows 8
hh831833.aspx
WINFE - Ambiente Forense do Windows em CD/USB
Ref. http://winfe.wordpress.com/
DCEPT - Implantando e detectando o uso do Active
Honeytokens de diretório
Ref. https://www.secureworks.com/blog/dcept
TAILS - O sistema amnésico incógnito ao vivo
Ref. https://tails.boum.org
116
117
7 GESTÃO DE INCIDENTES (CHECKLIST)
118
LISTA DE VERIFICAÇÃO DE RESPOSTA A INCIDENTES
Nota: Esta seção pretende ser um guia de resposta a incidentes. Algumas

tarefas podem não ser relevantes, obrigatórias ou apropriadas. Considere
seu ambiente antes de implementar cada etapa ou outras etapas conforme
necessário.
TAREFAS DE IDENTIFICAÇÃO
Adquirir uma cópia do(s) arquivo(s) malicioso(s) para análise?
Prioridade: H/M/L I Esforço: H/M/LI Aberto/Fechado

Efeitos maliciosos na lista de sistemas. Obtenha uma lista
detalhada de todas as alterações conhecidas em sistemas de
computador, arquivos, configurações, registro, serviços
adicionados/modificados/excluídos ou interrompidos/iniciados.
Prioridade: H/M/L I Esforço: H/M/L I Aberto fechado
Quais ferramentas A/V ou de malware podem detectar e remover
ameaças maliciosas ?
Prioridade: H/M/L I Esforço: H/M/L J Aberto fechado

Onde o malware/atacante sai da rede?
Prioridade: H/M/L I Esforço: H/M/LI Aberto fechado

Sites/conexões internas/externas maliciosas ainda ativas?
Prioridade: H/M/L I Esforço: H/M/L J Aberto fechado
Malware escutando em alguma porta?
Prioridade: H/M/L I Esforço: H/M/L I Método de malware aberto/

fechado de infecção original e/ou
fraqueza?
Prioridade: H/M/L I Esforço: H/M/L I Captura Aberto fechado

de pacotes de malware tentando infectar outras pessoas?
Prioridade: H/M/L I Esforço: H/M/LI Aberto fechado
119
Qualquer captura de pacote de malware tentando se comunicar fora da rede e

método de identificação de portas, IPs, DNS, etc?
Prioridade: H/M/L I Esforço: H/M/L I Malware aberto/fechado

representa uma ameaça a quaisquer dados confidenciais
(arquivos, credenciais, propriedade intelectual, PII, etc.?
Prioridade: H/M/L I Esforço: H/M/L I Aberto/Fechado Quais

são as entradas DNS em um sistema infectado?
Prioridade: H/M/L jEsforço: H/M/L I Aberto/Fechado

É possível detectar o(s) primeiro (s) sistema(s ) infectado (s)?
Prioridade: H/M/L jEsforço: H/M/L I Aberto fechado
O primeiro disco rígido do sistema foi preservado?
Prioridade: H/M/L jEsforço: H/M/L I Aberto fechado

Algum script precisa ser executado em sistemas
infectados em tempo real?
Prioridade: H/M/L I Esforço: H/M/L I Aberto/Fechado
O cliente possui ferramenta de gerenciamento de desktop? Em
caso afirmativo, quais relatórios estão disponíveis para inventariar todos o
e status?
Prioridade: H/M/L I Esforço: H/M/L I Lista Aberto fechado

de todos os sistemas infectados?
Identifique qualquer correção ausente na verificação de

vulnerabilidade atual e/ou anterior.
Procure sistemas que pararam de reportar atualizações aos servidores de

malware ou que pararam de recorrer a fornecedores de antivírus para
obter atualizações.

Procure sistemas que pararam de ir ao servidor de atualização
ou diretamente à Microsoft para atualizações.
120
TAREFAS DE CONTENÇÃO
Quantos sistemas ainda são desconhecidos,

limpos, suspeitos ou infectados?
Prioridade: H/M/L I Esforço: H/M/L I Mudanças de

dispositivo(s) de rede aberta/fechada . (Switches,
Roteadores, Firewalls, IPS, NAC, Wi-Fi, etc.).
Prioridade: H/M/L I Esforço: H/M/L I Isolamento de UO do
Active Directory aberto/fechado de sistemas suspeitos.
Active Directory - Restrições e redefinições de conta de usuário.
Prioridade: H/M/L I Esforço: H/M/L I Políticas abertas/

fechadas do Active Directory para proibir a execução e/ou
acesso de ameaças.
Prioridade: H/M/L I Esforço: H/M/L Eu abro/fecho
Bloqueios de firewall.

Blocos DNS (site(s) de matware de rota nula.
Blocos de filtragem Web.
121
TAREFAS DE REMEDIAÇÃO
Alterações de senha administrativa do AD.

Alterações de senha administrativa local.
Prioridade: Alterações
Esforço: H/M/L I Aberto/Fechado
de senha do usuário AD H/M/L I.
Alterações de senha de usuário local.
Prioridade: Alterações
de senha da conta de serviço H/M/L I.
Envie atualizações de antivírus para malware detectado.
Experimente várias ferramentas antivírus.
Quais políticas de GPO do Active Directory estão definidas (logs,
restrições, etc.)?
Qual é a arquitetura da rede e como o malware passaria?

Existem segmentos adicionais de IDS/IPS que necessitam de cobertura
para prevenir/detectar surtos?
Prioridade: H/M/L I
Aplicativos de terceiros com patches ausentes (Adobe, Java, etc.)?

Monitore o e-mail do cliente em busca de itens de interesse do fornecedor
ou de continuidade de negócios .
Monitore sessões RDP em sistema cliente RDP acessível externamente .

122
Há algum aplicativo em uso que esteja facilitando o ataque?

Se sim, existem alternativas?

Existe um sistema de linha de base para revisão em busca de mudanças?

Monitore variações de nome de usuário.

Gerenciamento e monitoramento de tarefas.
Prioridade: H/M/LI Esforço: H/M/L Revise os Eu abro/fecho

logs do roteador de fronteira.

Revise os registros de VPN (acesso remoto).

Citrix/VMWare ou registros semelhantes.

Revise os registros do(s) servidor(es) de contabilidade e as tendências de
Usuários.
Prioridade: H/M/L I Esforço: Logs do Eu abro/fecho

servidor H/M/L AD .

Revise os registros do antivírus ( serviços de código malicioso).

Revise notificações e registros de abuso por e-mail.

Revise os logs de DNS.
Prioridade: H/M/L I Esforço: H/M/L Abro /fecho
Revise os registros de abuso de políticas e contas.
Revise os logs do firewall do host.
123
OUTRAS/LIÇÕES APRENDIDAS TAREFAS
Reconstrua todos os sistemas no plano de reconstrução do ciclo de vida.

Sincronizar serviços de horário entre sistemas.
Crie um repositório de dados de incidentes.

Considere IPS baseado em host.

Considere o controle de acesso à rede (NAC).

serviços de avaliação e segurança interna/externa de
terceiros e segurança perimetral.
124
LISTA DE VERIFICAÇÃO DE ATRIBUTOS DE MALWARE
Presença de malware no sistema: é executado

apenas na memória, YeslNolUnknownlN/A Fica sem registro ou YeslNolUnknownlN/A
Artefatos no disco YeslNolUnknownlN/A Presença de arquivo em disco oculta,
armazenada em espaço não alocado, livre/ocioso ou criptografado.
SimlNãolDesconhecidoN/A
Não tem ícone. YeslNolUnknownlN/A

Não tem descrição ou empresa
nome. YeslNolUnknownlN/A
Imagens não assinadas da Microsoft. YeslNolUnknownlN/A São
compactados e provavelmente criptografados. SimlNãolDesconhecidoN/A
DLLs ou serviços suspeitos. YeslNolUnknownlN/A Faz
backup e troca-se e YeslNolUnknownlN/A no
lugar do arquivo real.
Permanece ativo trabalhando em pares de
arquivos
Encontrado em dispositivos embarcados,
controles industriais e atividades de IOT SimlNãolDesconhecidoN/A
Matware
Baixa novo código/
funcionalidade.
Aproveita sistemas dinâmicos e caminhos de
rede para sair da rede da vítima, incluindo
VPN/dial-up, HTTP/HTTPS e outros
serviços e portas padrão ou não padrão .
Capacidade de aproveitar dispositivos

móveis e outras mídias removíveis. SimlNãolDesconhecidoN/A
Capacidade de detectar e utilizar proxies

web autenticados YeslNolUnknownlN/
A.
Morphs no sistema cliente vítima. SimlNãolDesconhecidoN/A Contém recursos falsos
(enganosos/distrativos),
dependendo do ambiente que detecta.
Capacidade de percorrer todos os sistemas

operacionais conhecidos.
Capacidade de migrar para dispositivos
incorporados. SimlNãolDesconhecidoN/A
125
Capacidades de malware
Capacidade de executar a maioria dos
comandos do Active Directory baseados no Windows.
Capacidade de fazer upload e download de
arquivos/cargas úteis.
Pode usar serviços integrados ou malware
criado especificamente para serviços YeslNolUnknownlN/A necessários.
Possui vários recursos persistentes, tornando o

malware altamente resiliente às defesas SimlNãojDesconhecidojN/A
A/V.
Capacidade de força bruta. SimlNãolDesconhecidoN/A
Capacidade de ferramentas DoS/DDoS. SimlNãolDesconhecidoN/A
Capacidade de roubar e/ou passar o hash.
SimJNãoJDesconhecidoJN/A
Capacidade de conduzir coleta de credenciais

YeslNoJUnknownJN/A .
Capacidade de escalonamento de privilégios. YeslNolUnknownlN/A YeslNolUnknownlN

semelhante. A Ransomware ou capacidade
Modo de autodestruição, incluindo métodos
destrutivos YesJNoJUnknownJN/A .
Análise forense de antimemória YeslNolUnknownlN/A O sandbox reconhece e a

máquina virtual YesJNolUnknownJN/A
reconhece.
Patch de software Aoply para evitar outras

técnicas C2 de infecção por malware: SimJNãoJDesconhecidoJN/A
DNS, HTTP, HTTPS, estegonagrafia, nuvem, TOR,

código online, etc. SimJNãojDesconhecidoJN/A
Instalação/detonação única Comunica-se SimlNãolDesconhecidoN/A

em padrões não previsíveis, incluindo técnicas
de sono de curto e longo prazo. SimlNãoJDesconhecidoN/A
Faz uso de CA comprometida, para ocultar

comunicações. SimlNãoJDesconhecidoN/A
Consciente de fuso horário e IP Geo Faz SimlNãolDesconhecidoN/A
uso de sites comerciais comprometidos bem
estabelecidos para C2, ou seja, Dropbox, Gmail, etc.
SimlNãolDesconhecidoJN/A
126
127
8 IDENTIFICAÇÃO DE INCIDENTES DE SEGURANÇA

(ESQUEMA)
128
VOCABULÁRIO PARA GRAVAÇÃO DE EVENTOS E INCIDENTES
COMPARTILHAMENTO (VERIS)
EM GERAL
Ref. http://veriscommunity.net/
Use este modelo para identificar ameaças de maneira uniforme:
ID de incidente
#
incidente_de segurança
Confirmado, Suspeito, Falso positivo, Quase acidente, Não

confiança
Alto, Médio, Baixo, Nenhum

vítima.employee_count
#
linha do tempo.unit
Desconhecido, NA, Segundos, Minutos, Horas, Dias, Semanas, Meses,

Anos, Nunca
impacto.overall_rating
Impacto desconhecido, insignificante, perturbador, doloroso,
prejudicial e
catastrófico.perda.variedade
Ativos e fraude, danos à marca, interrupção dos negócios,

Custos operacionais, Jurídicos e regulatórios, Vantagem competitiva ,
Resposta e recuperação
impacto.perda.classificação
Desconhecido, Maior, Moderado, Menor, Nenhum
129
método_descoberta
Desconhecido, Ext - divulgação do ator, Ext - detecção de
fraude, Ext - serviço de monitoramento, Ext -
cliente, Ext - parte não relacionada, Ext - auditoria, Ext -
desconhecido, Int - antivírus, Int - resposta a incidentes,
Int - auditoria financeira, Int - detecção de fraude, Int -
HIDS, Int - auditoria de TI, Int - revisão de log, Int - NIDS,
Ext - aplicação da lei, Int - alarme de segurança, Int -
relatado pelo usuário, Int - desconhecido, Outro
visadas
Desconhecido, Oportunista, Direcionado, NA
cost_corrective_action
Desconhecido, Simples e barato, Difícil e caro,
Algo intermediário
país
Desconhecido, duas letras, outro
iso_currency_code
AED, AFN, TODOS, AMD, ANG, AOA, ARS, AUD, AWG, AZN,
BAM, BBD, BDT, BGN, BHD, BIF, BMD, BND, BOB, BRL,
BSD, BTN, BWP, BYR, BZD, CAD, CDF, CHF, CLP, CNY,
COP, CRC, CUC, COPA, CVE, CZK, DJF, DKK, DOP, DZD,
EGP, ERN, ETB, EUR, FJD, FKP, GBP, GEL, GGP, GHS,
GIP, GMD, GNF, GTQ, GYD, HKD, HNL, HRK, HTG, HUF,
IDR, ILS, IMP, INR, IQD, IRR, ISK, JEP, JMD, JOD,
JPY, KES, KGS, KHR, KMF, KPW, KRW, KWD, KYD, KZT,
LAK, LBP, LKR, LRD, LSL, LTL, LVL, SOM, MAD, MDL,
MGA, MKD, MMK, MNT, MOP, MRO, MUR, MVR, MWK, MXN,
MYR, MZN, NAD, NGN, NIO, NOK, NPR, NZD, OMR, PAB,
CANETA, PGK, PHP, PKR, PLN, PYG, QAR, RON, RSD, RUB,
RWF, SAR, SBD, SCR, SDG, SEK, SGD, SHP, SLL, SOS,
SPL, SRD, STD, SVC, SYP, SZL, THB, TJS, TMT, TND,
TOP, TRY, TTD, TVD, TWD, TZS, UAH, UGX, USD, UYU, uzs,
VEF, VND, vuv, WST, XAF, XCD, XDR , XOF , XPF,
YER, ZAR, ZMK, ZWD
130
ATOR
ator.x.motivo
Desconhecido, NA, Espionagem, Medo, Financeiro, Diversão,
Rancor, Ideologia, Conveniência, Outros
>------------ ator.externo.variedade
Desconhecido, Ativista, Auditor, Concorrente, Cliente,
Força maior, Ex-funcionário, Estado-nação,
Crime organizado, Conhecido, Afiliado ao Estado,
Terrorista, Não Afiliado, Outros
porra-------------
ator.interno.variedade
Desconhecido, Auditor, Call center, Caixa, Usuário final,
Executivo, Financeiro, Helpdesk, Recursos Humanos,
Manutenção, Gerente, Guarda, Desenvolvedor, Administrador
de sistema, Outros
131
AÇÃO
action.malware.variety
Desconhecido, Adware, Backdoo r, Força bruta, Capturar dados de
aplicativos, Capturar dados armazenados, Ataque do lado do cliente,
Fraude de cliques, C2, Destruir dados, Desativar controles, Dos, Down
loader, Explorar vulnerabilidade, Expor dados rt , Sniffer de pacotes ,
Dumper de senha, Raspador de Ram, Ransomware, Rootkit, Varredura
de rede, Spam, Spyware/Keylogger, Inieção SQL , Adminware, Worm,
Outros
ação.malware.vector
Desconhecido, Instalação direta , Download por malware, Execução
automática de e-mail , Link de e-mail, Anexo de e-mail, Mensagens
instantâneas , Propagação de rede, Injeção remota, Mídia removível,
Web drive-by, Download da Web, Outras ações.hacking.variety
Desconhecido, Abuso de funcionalidade, Força bruta, Estouro de

buffer, Envenenamento de cache, Previsão de sessão ,
CSRF, XSS, Criptoanálise, DoS, Footprinting, Navegação fo
reed, Ataque de anel de formato , Teste de fuzz , Contrabando
de solicitação HTTP , Divisão de solicitação HTTP , Resposta HTTP
contrabando, divisão de resposta HTTP , estouro de números inteiros,
injeção LDAP , injeção de comando de correio, MitM, injeção
de byte nulo , cracking offline, comando de sistema operacional, passagem
de caminho , RFI, engenharia reversa, desvio de roteamento , fixação
de sessão, repetição de sessão , abuso de matriz de sabão ,
especial injeção de elemento, SQLi, injeção SSI , abuso de
redirecionador de URL, uso de backdoor ou C2, uso de credenciais
roubadas, explosão de atributos XML, expansão de entidade XML ,
entidades externas XML, injeção XML , injeção XPath, injeção XQuery,
escape de máquina virtual, outras ações .hacking.vector
Desconhecido, desktop de terceiros, Backdoor ou C2,
compartilhamento de desktop , acesso
físico, shell de comando,
parceiro, VPN, aplicativo da Web , outros
132
action.social.variety
Desconhecido, Isca, Suborno, Elicitação , Extorsão, Falsificação, Influência,
Golpe, Phishing, Pretexto, Propaganda, Spam, Outros
action.social.vector
Desconhecido, Documentos, Email, Pessoalmente, IM, Telefone, Mídia
removível, SMS, Mídia social, Software, Site, Outros
ação.social.target
Desconhecido, Auditor, Call center, Caixa, Cliente,
Usuário final, executivo, financeiro, ex-funcionário,
Helpdesk, Recursos Humanos , Manutenção, Gerente,
Parceiro, Guarda, Desenvolvedor, Administrador de sistema, Outro
action.misuse.variety
Desconhecido, Abuso de conhecimento, Abuso de privilégio,
Desfalque, Manipulação incorreta de dados, Uso indevido de e-mail, Uso
indevido de rede , Conteúdo ilícito, Solução alternativa não aprovada,
Hardware não aprovado, Software não aprovado, Outro
action.misuse.vector
Desconhecido, Acesso físico, Acesso LAN, Acesso remoto , Não
corporativo, Outra ação.física.variedade
Desconhecida, Assalto, Sabotagem ,
Espionagem , Vigilância, Adulteração, Roubo, Escuta telefônica, Conexão,
Outros
action.physical.location
Desconhecido, instalação do parceiro, veículo do parceiro,
residência pessoal , veículo pessoal, instalação pública , veículo
público, área segura da vítima, área de trabalho da vítima, área
pública da vítima, terreno da vítima , outro action.physical.vector
Desconhecido, Acesso privilegiado, Privilégios de visitante,

Controles ignorados, Controles desativados, Localização não controlada ,
Outros
133
action.error.variety
Desconhecido, Erro de classificação, Erro de entrada de dados, Erro de
descarte, Gafe, Perda, Erro de manutenção, Configuração incorreta, Entrega
incorreta, Informação incorreta, Omissão, Acidentes físicos, Falta de
capacidade, Erro de programação, Erro de publicação, Mau funcionamento,
Outros
ação.erro.vetor
Desconhecido, Erro aleatório, Descuido, Pessoal inadequado , Processos
inadequados, Tecnologia inadequada , Outra ação.ambiental.variety
Desconhecido, Deterioração,
Terremoto, EMI, ESD, Temperatura, Incêndio,
Inundação, Hazmat, Umidade, Furacão, Gelo, Deslizamento de terra,
Relâmpago, Meteorito, Partículas, Patógeno, Falha de energia,
Tornado, Tsunami, Vermes, Vulcão, Vazamento, Vento, Outros
134
ATIVO
ativo.variety
Desconhecido, S - Autenticação, S - Backup, s -
Banco de dados, S - DHCP, S - Diretório, S - DCS, s -
DNS, S - Arquivo, S - Log, S - Mail, S - Mainframe, s - Switch de
pagamento , S - Controlador POS, S - Print, s - Proxy, S - Acesso
remoto, S - SCADA, S - Aplicativo Web, S - repositório de código,
S - host VM, s -
Outros N - Leitor de acesso, N - Câmera, N - Firewall, N - HSM, N -
IDS N - Banda larga, N - PBX, N -
EU
WAN privada , N - PLC, N - WAN pública , N - RTU, N-

Roteador ou switch, N - SAN, N - Telefone, N - Adaptador VoIP , N -
LAN, N - WLAN, N - Outro U - Token de autenticação, U -
Desktop, U - Laptop, U - Media, u -
Telemóvel, U - Periférico, U - Terminal POS, u -
Tablet, U - Telefone, U - Telefone VoIP, U - Outro T - ATM, T - PED
pad, T - Terminal de gás, T - Quiosque, T - Outros M - Fitas, M - Mídia
de disco, M - Documentos, M - Unidade flash, M - unidade de disco, M
- cartão inteligente, M -
Cartão de pagamento, M - Outro P - Administrador do sistema, p -
Auditor, P - Central de atendimento, P - Caixa, p -
Cliente, P - Desenvolvedor, P - Usuário final, p -
Executivo, P - Financeiro, P - Ex-funcionário, p -
Guarda, P - Helpdesk, P - Recursos humanos, p -
Manutenção, P - Gerente, P - Parceiro, P - Outros ativos.
Acessibilidade
Desconhecida, Externa, Interna, Isolada, NA
propriedade.de ativo
Desconhecido, Vítima, Funcionário, Parceiro, Cliente, NA
gestão de ativos
Desconhecido, Interno, Externo, ativo
NA.hospedagem
Desconhecido, Interno, Externo compartilhado, Externo
dedicado, Externo, NA
ativo.cloud
Desconhecido, Hype rv iso r, Aplicativo de parceiro, Governança de
hospedagem , Ataque ao cliente, Hospedagem
135
ATRIBUTO
atributo.confidencialidade.data_disclosure
Desconhecido, Sim, Potencialmente,
Nenhum atributo.confidentiality.data.variety
Desconhecido, Credenciais, Banco, Classificado, Direitos autorais,
Médico, Pagamento, Pessoal, Interno, Sistema, Segredos,
Outro
atributo.confidentiality.state Desconhecido,
Armazenado, Armazenado criptografado, Armazenado
não criptografado, transmitido, transmitido criptografado,
transmitido não criptografado, atributo
processado.integridade.variety
Desconhecido, Conta criada, Adulteração de hardware, Alteração de
comportamento, Transação fraudulenta, Adulteração de log,
Apropriação indevida, declaração falsa, modificação de
configuração, modificação de privilégios, modificação de dados,
Instalação de software, Outros
atributo.disponibilidade.variedade
Desconhecido, Destruição, Perda, Interrupção, Grau de
íon, Aceleração, Obscurecimento, Outros
136
CURSO DE AÇÃO
Expressão estruturada de informações sobre ameaças (STIX™ )

(Adaptado)
Ref. https://stixproject.githu bi 0
coa.type
Bloqueio, Redirecionamento, Endurecimento · mg I Patching, Reconstrução,

Monitoramento, Outros impactos de
coa.Insignificante ,
Distrativo , Doloroso , Prejudicial, Catastrófico, Desconhecido
coa.eficácia
Ineficaz, Pouco Eficaz iv e, Principalmente Eficaz, Completamente Eficaz
NA e, coa.stag e
Preparar, Remédio, Resposta, Hospedagem recuperada
Desconhecida ,
Interna, Externa compartilhada , Exte ma l dedicada , Externa , NA coa.objetivo
Detectar, Negar, Interromper, Degradar, Enganar , Destruir
137
MAPEAMENTO DA CADEIA DE MATANÇA
COLETE DADOS PARA MAPEAR CADEIA DE MORTE
Ref.
http://www.lockheedmartin.com/content/dam/lockheed/d ata/corporate/documents/LM-
White-Paper-Intel-Driven-Defense.pdf
Evidência, artefato, Claro

Estágio informação ou informação
Ação
identificada
Detectar, negar,
Ativo
Perturbar, degradar,
Reconhecimento Enganar, destruir
Detectar, negar,
Costumização Perturbar, degradar,
Enganar, destruir
Detectar, negar,
Entrega Perturbar, degradar,
Enganar, destruir
Detectar, negar,
Exploração Perturbar, degradar,
Enganar, destruir
Detectar, negar,
Instalação Perturbar, degradar,
Enganar, destruir
Detectar, negar,
Comando e
Controle (C2) Enganar, destruir
Detectar, negar,
Ação ativada
Objetivos Enganar, destruir
138
LISTA DE ATIVOS DEFENDIDOS PRI ORITIZADOS (PDAL)
REÚNE DADOS E PRIORIZE ATIVOS PARA DEFENDER
Ativo :
Localização n: Crítico:
Descrição : Vulnerabilidade:
Propósito Recuperabilidade
Tempo
Classificação:
Priorizado :
Antes EU
Ativo:
Eu gato ele n: Crítico:
Descrição : Vulnerável aceso
Propósito Recuperabi iluminado

Tempo
Classificação:
Priorizado:
Antes II
Ativo :
Localização n: Crítico:
Descrição : Vulnerável aceso
Propósito Recuperabilidade
Tempo
Classificação:
Priorizado :
Prioridade : III
139
CADERNO DE RABISCOS
140
CADERNO DE RABISCOS
141
10ÍNDICE (AZ)
A hexdump ............ 85 I
Diretório Ativo .17, 18, p passwd ................ 39
19, 31 iftop .................. 112 PowerShell .. 19, 28, 29,
AdFind ................ 19 initctl .............. .... 36 59, 60, 62, 76,
Fluxos de dados IPSEC. ............ 30, 40 98.105.108
alternativos .......... 77 iptables ... 37, 38, 40 Configuração automática de
Apache ................ 63 1Pv6 ..................... 33 L (PAC) ........ 26, 39 ps 36
Applocker .......... 26
auditd ..... ............ 64 lábrea . ................ 54 PsExec ......... 91, 104
Auditoria . 32, 56, 57, ldifde .................. 19 Pslnfo .................. 67
58,59,97 Lima .................... 92 PsloggedOn ........ 16

Firewall Linux ...... 37 Psloglist ............. 75
C Certutil ............. 107 Scripts Linux ... 20, 21, pspasswd ............ 25 R
Cron .............. 63, 82 46, 53, 106

cURL ............... .... 90 D Serviços Linux ..... 36 Racoon .......... ...... 40 Protocolo
ListDLLs ............... 78 M de Área de Trabalho
dc3dd ............ 91, 92 dd Remota (RDP)32

91 Mergecap ........... 51 Linha Robocopy ......... 103
Decodificação ..... 107 de base da Microsoft runas ................... 53
DHCP ............ 14 , 20 Analisador de é

DNS ... 14, 21, 25, 39 Segurança SC 23, 99
DNSCmd ............. 15 (MBSA) ........... 17 scp .................... 106
dnstop ................ 55 Microsoft IIS ....... 62 Sigcheck ........ 77, 85
dsadd ... ............... 32 Mimikatz ............. 53 smbclient ........... . 20
dsmove ............... 32 Mklink ....... .......... 97 smbtree ............ 20 Snort ..
dsquery ......... 17, 18 E 50, 109, 110,

montagem ............... 106 111
editcap .. .............. 51F N nbtscan ............... 21 nbtstat ... .............

SSH16 ............. 80, 105
Nessus ................ 11 ssldump .............. 47
Verificador de usuário líquido .............. 25 teclas adesivas .......... 33
integridade de soma de visualização líquida .............. 14 T
verificação de arquivo NetBIOS .............. 16 tcpdump45, 46, 112, 113

(FCIV) .......... 15 para arquivos ................ 77 Netcat ................ 54
netdom ............... 18 Equipe Cymru ....... 90

G GMER ................ 101 Netsh23, 24, 25, 30, 31,68 TShark .... 47, 48, 49, 112,
gpresult .............. 69 113
gpupdate ............ 32 Nmap .. . ............... 11 0
Grupo Objeto de você ufw .................... 38
política ........................ 31 OpenSSL ............. 47 unix-privsec-check
OpenVAS ............ 12 ....................... 83
Hashing H ......... 15, 21 iniciante ................ 36
142
Controle de acesso do Wget ................... 54 Registro do Windows

usuário (UAC) ............. 35 Execução automática do Windows 32, 33, 34, 56, 71, 72,
V ................. 69, 70 73, 74
VirusTotal .......... 90 Windows Defender Scripts do Windows
Volatilidade ....... 87, 91 ....................... 78 ..... 14, 16, 52, 77
Volrest ................ 98 Log de eventos do wmic ....... 23, 67, 69
Vssadmin ...... 97 , 98 Windows ................. 60, 61 então ................... 95 X
Em Firewall do Windows
Utilitário web. 53, 56, 75, ........... 23, 31, 35 xorsearch .. ........ 107
76
143
Feito nos Estados Unidos
São Bernardino, CA
10 de fevereiro de 201 7

BTFM Blue Team Field Manual

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

BTFM Blue Team Field Manual

Enviado por

Direitos autorais:

Formatos disponíveis

Machine Translated by Google

Hackeado em PDF por:

BTFM. Copyright© 2017 por Alan White e Ben Clark

Todos os direitos reservados. Nenhuma parte deste trabalho é pode ser

Editor Técnico: Matt Hulse

Os nomes de produtos e empresas aqui mencionados podem ser marcas

As informações neste livro são distribuídas "como estão".

Sintaxe de linha de comando BTFM:

Prompt genérico do shell Linux/*nux ,

Prompt do Windows , pode

PSC :\> Windows PowerShell

> Prompt genérico , vários sistemas operacionais

< ENDEREÇO IP>, <PORTA>, Requer entrada determinada pelo

Cuidado ao usar copiar/colar com

Certifique- se de verificar espaços

Atualizações, edições e material complementar:

Ref. http://www.blueteamfieldmanual.com BTFM é baseado

na Estrutura de Segurança Cibernética do NIST:

0 PREPARAÇÃO (REVISÃO DA DOCUMENTAÇÃO} ............................................ ................................ 8

DOCUMENTOS PRINCIPAIS ................................................ ....................•.................................. ......•.................. 9

1 IDENTIFICAR (ESCOPO} ............................................. .................................................. ................... 10

VERIFICAÇÃO E VULNERABILIDADES ................................................ ................................................

11 . ................. .' .................................................. .................................................. ............... 11 NMAP

NESSUS ................................ .................................................. .................................................. 11

ABERTA ................................................. ................................................. . ................................ 12

HASH ......... .................................................. .................................................. ..................... é

NETBIOS ........................... .................................................. .................................................. .... 16 ATIVIDADE DO

USUÁRIO ........................................... .................................................. ............................ 16

SENHAS .................... .................................................. .................................................. .... 17 ANALISADOR DE SEGURANÇA DE BASE

MICROSOFT (MBSA) ...................................... ......................... 17 INVENTÁRIO DO DIRETÓRIO

LINUX.................................................. .................................................. ........................................ 20 DESCOBERTA DE

2 PROTEGER (DEFENDER) ............................................. .................................................. ................. 22

JANELAS ................................................. .................................................. ................................ 23 DESATIVAR/PARAR

BRANCO ................. .................................................. .................................................. .......... 26 RESTRIÇÕES DE

APLICAÇÃO ..................................... .................................................. ............ 26

IPSEC.................................. .................................................. .................................................. 30 DIRETÓRIO ATIVO (AD) -OBJETO DE POLÍTICA

32 LINUX .................. .................................................. .................................................. .................... 36 DESATIVAR/PARAR

HOST .............. .................................................. ........................................ 37

SENHAS ................................................... .................................................. ........................... 39

3 DETECTAR {VISIBILIDADE} ............................................. .................................................. ................ 44

MONITORAMENTO DE REDE ................................................ .................................................. ........... 45

TSHARK ................................................. .................................................. ................................. 48

SNORTE ............... .................................................. .................................................. ................... então FERRAMENTAS DE CAPTURA DE

REDE (PCAP) ........................ .................................................. ................... 51

MERGECAP ............................................. .................................................. .............................. 51 TÉCNICAS DE

MEL ................. .................................................. ................................................ 52

LINUX.................................................. .................................................. .................................... 53

NETCAT ............ .................................................. .................................................. .................... 54 MONITORAMENTO DE DNS

PASSIVO ........................... .................................................. .................... 55 AUDITORIA DE

REGISTRO ...................... .................................................. .................................................. ... 56

JANELAS ................................................. .................................................. ............................ 56

LINUX .................... .................................................. .................................................. ............... 63

4 RESPOSTA (ANÁLISE) ............................................. .................................................. ............. 66

JANELAS DE TRIAGEM AO VIVO ............................................. .................................................. ............. 67 INFORMAÇÕES DO

USUÁRIO ........................ .................................................. .................................... 67 INFORMAÇÕES DE

REDE ......... .................................................. ........................................... 68 INFORMAÇÕES DE

SERVIÇO .... .................................................. .................................................. .... 68 INFORMAÇÕES SOBRE POLÍTICA, PATCH E

CONFIGURAÇÕES ........................................ ................................ 69 INFORMAÇÕES DE AUTORUN E AUTO

REGISTROS .................................. .................................................. .................................................. ... 75

INFORMAÇÕES SOBRE ARQUIVOS, UNIDADES E COMPARTILHAMENTOS ........................................... ................................. 76 TRIAGEM

SISTEMA .......................................... .................................................. ............... 79 INFORMAÇÕES DO

USUÁRIO ................................ .................................................. .............................. 79 INFORMAÇÕES DE

REDE ................. .................................................. .................................... 80