Escolar Documentos
Profissional Documentos
Cultura Documentos
BTFM
Manual de campo da equipe azul
ALAN BRANCO
BEN (LARK
Versão 1
(13/02/2017)
1
Machine Translated by Google
ISBN-13: 978-1541016361
ISBN-10: 154101636X
2
Machine Translated by Google
PREFÁCIO
Notação Descrição
hífen -
Ref. http://www.nist.gov/cyberframework/
3
Machine Translated by Google
ÍNDICE
DE GRUPO (GPO) ..................................... ................... 31 SISTEMA STAND ALONE -SEM DIRETÓRIO ATIVO {AD) .................... ..............................
4
Machine Translated by Google
5
Machine Translated by Google
COLETAR DADOS PARA MAPEAR CADEIA DE MORTE ........................................... ................................... 138 LISTA DE ATIVOS
DEFENDIDOS PRIORIZADOS (PDAL) ........ .................................................. ..................... 139 REÚNE DADOS E PRIORIZE ATIVOS PARA
DEFENDER ..................... ........................................... 139
6
Machine Translated by Google
7
Machine Translated by Google
8
Machine Translated by Google
DOCUMENTOS CHAVE
ANÁLISE
• Organograma
• Diagramas de Rede
• Recursos de plantão/contratados
• Plano de comunicação
9
Machine Translated by Google
1 IDENTIFICAR (ESCOPO)
10
Machine Translated by Google
VERIFICAÇÃO E VULNERABILIDADES
NMAP
NESSUS
11
Machine Translated by Google
Conversão de relatório:
ABERTOS
# openvas-nvt-sync
Etapa 3: adicione um usuário para executar o cliente:
# openvas adduser
Etapa 4: Login: sysadm
Etapa 5: Autenticação (pass/cert) [pass]: [HIT
DIGITAR]
negar padrão
# nós escaneamosme.txt
12
Machine Translated by Google
13
Machine Translated by Google
JANELAS
DESCOBERTA DE REDE
C:\> para /L %I in (1,1,254) faça ping -w 30 -n 1 192.168. l.% I encontro "Responder" >>
DHCP
C:\>reg add
HKLM\System\CurrentControlSet\Services\DhcpServer\Pa rameters /v ActivityLogFlag /
t REG_DWORD /d 1
C:\> %windir%\System32\Dhcp
DNS
C:\> %SystemRoot%\System32\Dns
C:\> %SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-
DNSServer%4Analytical.etl
14
Machine Translated by Google
Ref. https://technet.microsoft.com/en-us/library/
cc940779.aspx
HASH
Ref. http://support2.microsoft.com/kb/841290
Hash um arquivo:
Nota: Pode ser possível criar um banco de dados mestre e comparar com
todos os sistemas a partir de uma linha cmd. Linha de base rápida e
diferença.
Ref. https://technet.microsoft.com/en-us/library/
dn520872.aspx
15
Machine Translated by Google
NETBIOS
C:\> nbtstat -c
ATIVIDADE DO USUÁRIO
Ref. https://technet.microsoft.com/en-us/sysinternals/
psloggedon.aspx
16
Machine Translated by Google
SENHAS
echo %i:%j >> sucesso.txt && net use \\<ENDEREÇO IP> /del)
17
Machine Translated by Google
18
Machine Translated by Google
Opção alternativa:
Opção alternativa:
(objectClass=Usuário)(whenCreated>=20151001000000.0Z))"
Opção alternativa:
(objectClass=Usuário)(whenCreated>=20151001000000.0Z))"
19
Machine Translated by Google
LINUX
DESCOBERTA DE REDE
#smbtree -b
#smbtree -D
#smbtree -5
DHCP
Chapéu Vermelho 3:
20
Machine Translated by Google
DNS
HASH
NETBIOS
SENHAS
21
Machine Translated by Google
2 PROTEGER (DEFENDER)
22
Machine Translated by Google
JANELAS
DESATIVAR/PARAR SERVIÇOS
Ative/desative o firewall:
C:\> netsh advfirewall ativa o estado do perfil atual
23
Machine Translated by Google
24
Machine Translated by Google
SENHAS
Alterar a senha:
C:\> net user <NOME DE USUÁRIO> * /domínio
ARQUIVO HOSPEDEIRO
C:\> nbtstat -R
25
Machine Translated by Google
LISTA DE BRANCO
Use um arquivo Proxy Auto Config (PAC) para criar URL inválido ou lista de
IP (IE, Firefox, Chrome):
if (dnsDomainis(host, ".badsite.com"))
retornar "DIRETO";
RESTRIÇÕES DE APLICAÇÃO
Passo 2: Clique com o botão direito para editar e navegue através de Configuração
do Computador, Políticas, Configurações do Windows, Configurações de
Segurança, Políticas de Controle de Aplicativos e Applocker.
Etapa 5: clique com o botão direito no painel direito e selecione Criar nova
regra.
Etapa 10: arraste o controle deslizante até Qualquer editor e clique em Avançar.
Etapa 13: Se esta for a primeira vez que você cria uma política do Applocker,
o Windows solicitará que você crie uma regra padrão, clique em Sim.
Crie uma política Applocker que permita regras para todos os arquivos
executáveis em C:\Windows\System32:
28
Machine Translated by Google
CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Políticas,CN=Sistema,DC=<DOMÍNIO>,DC=c
om "
29
Machine Translated by Google
IPsec
30
Machine Translated by Google
Opção alternativa:
C:\>reg add
"HKCU\Software\Microsoft\Windows\CurrentVersion\Poli cies\Explorer" /v DisallowRun /
t REG_DWORD /d "00000001" /f
C:\>reg add
"HKLM\SYSTEM\Cu rrentCont ro lSet\Cont ro l \ Terminal
Servidor" /f /v fDenyTSConnections /t REG_DWORD /d 1
32
Machine Translated by Google
C:\>reg add
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\ /v lmcompatibilitylevel /t
REG_DWORD /d 5 /f
C:\>reg add
HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v restritoanônimo /t
REG_DWORD /d 1 /f
C:\>reg add
HKLM\SYSTEM\CurrentControlSet\Control\Lsa /v restringiranonymoussam /
t REG_DWORD /d 1 /f
Desative IPV6:
C:\>reg add
HKLM\SYSTEM\CurrentControlSet\services\TCPIP6\Parame ters /v
DisabledComponents /t REG_DWORD /d 255 /f
nticação\LogonUI /f /v ShowTabletKeyboard /t
REG_DWORD/d0
Desabilitar Compartilhamentos Administrativos - Estações de Trabalho:
C:\>reg add
HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\
Parâmetros /f /v AutoShareWks /t REG_DWORD /d 0
Desativar compartilhamentos administrativos - Servidores
C:\>reg add
HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\
Parâmetros /f /v AutoShareServer /t REG_DWORD /d 0
Remover a criação de hashes usados para passar o hash
Ataque (requer redefinição de senha e reinicialização para limpar hashes
antigos):
C:\>reg add
HKLM\SYSTEM\CurrentControlSet\Control\Lsa /f /v
NoLMHash /t REG_DWORD /d 1
C:\>reg add
HKCU\Software\Microsoft\Windows\CurrentVersion\Polic ies\System /v
DisableRegistryTools /t REG_DWORD /d 1 /f
C:\>reg add
HKCU\Software\Microsoft\Windows\CurrentVersion\Configurações da Internet /
v DisablePasswordCaching /t REG_DWORD /d 1 /f
C:\>reg add
HKCU\Software\Policies\Microsoft\Windows\System /v
DesabilitarCMD /t REG_DWORD /d 1 /f
34
Machine Translated by Google
C:\>reg add
HKLM\System\CurrentControlSet\Control\Lsa /v
DisableRestrictedAdmin /t REG_DWORD /d 0 /f
C:\>reg add
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v
DisableLocalMachineRunOnce /t
REG_DWORD/d1
C:\>reg add
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v
DisableLocalMachineRunOnce /t
REG_DWORD/d1
C:\>reg add
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v
EnableLUA /t REG_DWORD /d 1 /f
35
Machine Translated by Google
LINUX
DESATIVAR/PARAR SERVIÇOS
# serviço --status-tudo
# ps -ef
# ps -aux
#lista initctl
# /etc/init,d/apache2 start
# /etc/init.d/apache2 reiniciar
#ls /etc/init/*,conf
36
Machine Translated by Google
# vi firewall.out
Aplicar iptables:
# iptables-restore < firewall.out
# /etc/init.d/iptables salva
# /sbin/service iptables salva
RedHat/CentOS:
# /etc/init.d/iptables salva
# /sbin/iptables-save
37
Machine Translated by Google
# cp /lib/ufw/{user.rules,user6.rules} ./
Exemplo de comandos descomplicados de firewall (ufw) (IP,
Faixa de IP, blocos de portas):
# ufw status detalhado
#ufw excluir <RULE#>
# ufw deny from <BAD IP ADDRESS> proto udp para qualquer porta 443
38
Machine Translated by Google
SENHAS
Alterar a senha:
ARQUIVO HOSPEDEIRO
# /etc/init.d/dns-clean start
# /etc/init.d/nscd reiniciar
#nscd -i hosts
# /etc/init.d/dnsmasq reiniciar
LISTA DE BRANCO
Use um arquivo Proxy Auto Config (PAC) para criar URL ou lista de IP
inválidos:
39
Machine Translated by Google
if (dnsDomainis(host, ",badsite.com"))
retornar "DIRETO";
IPsec
rubor;
spdflush;
40
Machine Translated by Google
esp/transporte//exigir;
esp/transporte//exigir;
notificação de registro;
remoto anônimo {
proposta {
hash_algoritmo sha256;
Método de autenticação
Chave Pré-Compartilhada;
dh_grupo modp1024;
generate_policy desativado;
sainfo anônimo{
grupo_pfs 2;
algoritmo_autenticação hmac_sha256;
compressão_algoritmo deflacionar;
41
Machine Translated by Google
No HOSTl:
No HOST2:
# setkey -D
# setkey-DP
42
Machine Translated by Google
43
Machine Translated by Google
3 DETECTAR (VISIBILIDADE)
44
Machine Translated by Google
MONITORAMENTO DE REDE
TCPDUMP
#tcpdump -A
#tcpdump -X
45
Machine Translated by Google
Obtenha rendimento:
#tcpdumpip6
#!/bin/bash
#!/bin/bash enquanto
verdadeiro; durma 1; rsync
-azvr -progress
<NOME DE USUÁRIO>@<ENDEREÇO IP>:<DIRETÓRIO DE
TRÁFEGO>/, <DIRETÓRIO DE DESTINO/. feito
46
Machine Translated by Google
47
Machine Translated by Google
TUBARÃO
48
Machine Translated by Google
49
Machine Translated by Google
SNORTE
Registros em ASCII:
Registros em binário:
#snort -T -c one.rule
#mkdir ,/logs
50
Machine Translated by Google
EDITCAP
MERGECAP
51
Machine Translated by Google
TÉCNICAS DE MEL
JANELAS
Ref. http://securityweekly.com/wp-content/uploads/
2013/06/howtogetabetterpentest.pdf
C:\> echo @echo off for /L %%i in (1,1,1) do @for /f "tokens=3" %%j in ('netstat -nao
A l find "'":3333A" ') do@for /f "tokens=l delims=:" %%k in ("%%j") do netsh advfirewall
firewall add regraname="HONEY TOKEN RULE" dir=in remoteip=%%k
localport=qualquer protocolo =Ação TCP=bloco >> <NOME DO ARQUIVO DE
LOTE>.bat
C:\> honeyport.psl
52
Machine Translated by Google
LINUX
53
Machine Translated by Google
DERRUBAR ; feito
# wget
https://github.com/gchetrick/honeyports/blob/master/ honeyports-0.5.py
NETCAT
> nc -v -k -l 443
> nc -v -k -l 3389
54
Machine Translated by Google
# apt-get atualização
55
Machine Translated by Google
AUDITORIA DE LOG
JANELAS
C:\>reg add
HKLM\Software\Policies\Microsoft\Windows\Eventlog\Ap plication /v MaxSize /
t REG_DWORD /d 0x19000
C:\>reg add
HKLM\Software\Policies\Microsoft\Windows\Eventlog\Se curity /v MaxSize /t
REG_DWORD /d 0x64000
C:\>reg add
HKLM\Software\Policies\Microsoft\Windows\EventLog\Sy stem /v MaxSize /t
REG_DWORD /d 0x19000
56
Machine Translated by Google
57
Machine Translated by Google
58
Machine Translated by Google
59
Machine Translated by Google
Conta - Logon/Logoff:
PS C:\> Segurança Get-Eventlog
4625,4634,4647,4624,4625,4648,4675,6272,6273,6274,62
75,6276,6277,6278,6279,6280,4649,4778,4779,4800, 4801
,4802,4803,5378,5632,5633,4964 -depois ((obter
data).addDays(-1))
731.4732.4733.4734.4755777.4777.4755.477.47777777777.4755.475.4777.47
60
Machine Translated by Google
61
Machine Translated by Google
PS C:\> Get-IISSite
PS C:\> $LogDirPath =
"C:\inetpub\logs\LogFiles\W3SVCl"
PS C:\> Get-Content $LogDirPath\*, log I%{$_ -replace '#Fields: ', "} I?{$_ -notmatch
""#'} I ConvertFrom-Csv -Delimiter '
62
Machine Translated by Google
LINUX
Logs de autenticação no Ubuntu:
# cauda /var/
#aureport
64
Machine Translated by Google
65
Machine Translated by Google
4 RESPOSTA (ANÁLISE)
66
Machine Translated by Google
INFORMAÇÃO DO SISTEMA
Ref. https://technet.microsoft.com/en-us/sysinternals/
psinfo.aspx
C:\>psinfo -accepteula -s -h -d
INFORMAÇÃO DO USUÁRIO
C:\> uau
67
Machine Translated by Google
INFORMAÇÕES DE REDE
(:\> netstat -e
(:\> nbtstat -s
(:\> arp -a
SERVIÇO DE INFORMAÇÃO
(:\> em
C:\> consulta sc
C:\> definir
C:\> gpresult /r
Informações de inicialização:
C:\> lista de inicialização do wmic completa
C:\> você
"%SystemDrive%\ProgramData\Microsoft\Windows\Start
Menu\P rog rams\Iniciar"
C:\> %ProgramFiles%\Startup\
Ref. https://technet.microsoft.com/en-us/sysinternals/
bb963902.aspx
Mostre todos os arquivos de execução automática, exporte para csv e verifique com
Total de vírus:
Machine Translated by Google
HKEY_CLASSES_ROOT:
HKEY_CURRENT_USERS:
71
Machine Translated by Google
72
Machine Translated by Google
HKEY_LOCAL_MACHINE:
73
Machine Translated by Google
74
Machine Translated by Google
HISTÓRICO
Ref. https://technet.microsoft.com/en-us/
sysinternals/psloglist.aspx
C:\> psloglist \\<COMPUTADOR REMOTO> -accepteula -h 12
-x
75
Machine Translated by Google
Ref. https://technet.microsoft.com/en-us/sysinternals/
streams.aspx
Ref. https://technet.microsoft.com/en-us/sysinternals/
bb897441.aspx
77
Machine Translated by Google
Ref. https://technet.microsoft.com/en-us/sysinternals/
bb896656.aspx
C:\> listdlls.exe -u
Ref. http://windows.microsoft.com/en-us/windows/
what-is-windows-defender-offline
78
Machine Translated by Google
INFORMAÇÃO DO SISTEMA
#unome -a
# tempo de atividade
# t imedatectl
#montar
INFORMAÇÃO DO USUÁRIO
# durar
79
Machine Translated by Google
# gato /root/,bash_history
INFORMAÇÕES DE REDE
# ifconfig
Ver conexões de rede:
#netstat -antup
# netstat-plantux
#netstat -nap
Ver rotas:
# rota
# arp-a
SERVIÇO DE INFORMAÇÃO
Ver processos:
# ps -aux
Lista de módulos de carregamento:
#lsmod
80
Machine Translated by Google
#lsof
# lsof -p<PID>
Lista de processos desvinculados em execução:
#lsof +Ll
Obtenha o caminho do PID do processo suspeito:
# menos +F /var/log/messages
Listar serviços:
#chkconfig --list
# cat /etc/pam.d/common*
81
Machine Translated by Google
# crontab -l
Liste os cron jobs por root e outras contas UID 0:
# crontab -u raiz -l
Revisão de cron jobs incomuns:
# cat /etc/crontab
#ls /etc/cron,*
HISTÓRICO
# gato /root/,*histórico
Ver últimos logins:
# durar
# df-ah
Veja a listagem de diretórios para /etc/init.d:
82
Machine Translated by Google
# ls -alt eu vou
Procure por arquivos graváveis em todo o mundo:
# wget
https://raw.githubusercontent.com/pentestmonkey/unix-privesc-check/l_x/unix-
privesc-check
83
Machine Translated by Google
Execute o chkrootkit:
Execute o rkhunter:
#rkhunter --atualização
#rkhunter -verifique
Corra tigre:
# tigre
#less /var/log/tiger/security.report,*
Execute Lynis:
# wget http://www.rfxn.com/downloads/maldetect-current.tar.gz
#cd maldetectado-*
# ./install.sh
# inclinação -você
# maldet -a /<DIRETÓRIO>
84
Machine Translated by Google
ANÁLISE DE MALWARE
\\live.sysinternals.com\ferramentas
Ref. http://technet.microsoft.com/en-us/sysinternals/
bb897441.aspx
# od -x algum arquivo.exe
www.perlmonks.org/bare/?node_id=484287
85
Machine Translated by Google
#! pérola -slw
use estrito;
_FIM_
Visualize strings dentro do PE e opção opcional de comprimento
de string -n:
Usando picadas no Linux:
Ref. https://technet.microsoft.com/en-us/
sysinternals/strings.aspx
Usando strings no Windows:
86
Machine Translated by Google
Referência, https://github.com/volatilityfoundation/volatility
Ref. https://github.com/Defense-Cyber-Crime-Center/DC3-MWCP
# setup.py instalar
87
Machine Translated by Google
IDENTIFICAR MALWARE
EXPLORADOR DE PROCESSO
Ref. https://youtu.be/80vfTA9LrBM
(Veja Sigcheck)
• Clique com o botão direito e selecione Suspender para quaisquer processos suspeitos
identificados • Clique com o
botão direito e selecione Encerrar Anterior
Processos suspensos
• Iniciar Autoruns • Em
Opções, marque as caixas Verificar código
Assinaturas e ocultar entradas da Microsoft • Procure arquivos
de processos suspeitos anteriores
etapas na guia tudo e desmarque. É mais seguro desmarcar do que excluir, em
caso de erro. • Pressione FS para atualizar Autoruns e confirmar
Ref. https://technet.microsoft.com/en-us/sysinternals/
processmonitor.aspx
89
Machine Translated by Google
CONSULTA HASH
90
Machine Translated by Google
JANELAS
Ref. http://kromer.pl/malware-análise/memory-forensics-using-volatility-
toolkit-to-extract-malware-samples-from-memory-dump/
Ref. http://sourceforge.net/projects/mdd/
Ref. https://technet.microsoft.com/en-us/sysinternals/
psexec.aspx
LINUX
91
Machine Translated by Google
Ref. https://github.com/504ensicslabs/lime
#wget
https://github.com/504ensicslabs/LiME/archive/master.zip
# descompacte master.zip
# cd LiME-master/src
# fazer
# cp lime-*,ko /media/=/media/ExternalUSBDriveName/
#gcore <PIO>
# strings gcore.*
92
Machine Translated by Google
Anfitrião de envio:
Anfitrião receptor:
Anfitrião de envio:
93
Machine Translated by Google
5RECUPERAR (REMEDIAR)
94
Machine Translated by Google
REMENDO
JANELAS
@eco desligado
definir local
definir PATHTOFIXES=E:\hotfix
%PATHTOFIXES%Q123456_w2k_sp4_x86.exe /2 /M
%PATHTOFIXES%\Ql23321_w2k_sp4_x86.exe /2 /M
%PATHTOFIXES%\Q123789_w2k_sp4_x86.exe /2 /M
LINUX
Ubuntu:
# up2date
95
Machine Translated by Google
# up2date-nox --atualização
# cachorrinho
# yum atualização
96
Machine Translated by Google
CÓPIA DE SEGURANÇA
JANELAS
C:\> mklink /dc:\<CRIAR PASTA>\<FORNECER NOME DA PASTA, MAS NÃO CRIAR> \\?
\GLOBALROOT\Device\HarddiskVolumeShadowCopyl\
97
Machine Translated by Google
Ref. https://www.microsoft.com/en-us/download/
details.aspx?id=17657
C:\> sub Z: /0
Reverta a versão anterior dos arquivos de um diretório e subdiretório
usando volrest.exe:
98
Machine Translated by Google
Crie um ponto de restauração no Windows:
PS C:\> Get-ComputerRestorePoint
Restaure a partir de um ponto de restauração específico:
99
Machine Translated by Google
LINUX
Reinstale um pacote:
# apt-get install --reinstall <PACOTE COMPROMETIDO
NOME>
100
Machine Translated by Google
JANELAS
Remoção de malware:
Ref. http://www.gmer.net/
LINUX
# mkdir /home/quarentena/
# mv /usr/sbin/<NOME DO ARQUIVO SUSPEITO> /
home/quarantine/
101
Machine Translated by Google
102
Machine Translated by Google
CHEATS DO SO
JANELAS
103
Machine Translated by Google
C:\> digite <NOME DO ARQUIVO 1> <NOME DO ARQUIVO 2> <NOME DO ARQUIVO 3>
> <NOVO NOME DO ARQUIVO>
Ref. https://technet.microsoft.com/en-us/sysinternals/
cc817881 Opção de execução ao
vivo:
Ref. https://technet.microsoft.com/en-us/sysinternals/psexec.aspx
104
Machine Translated by Google
LINUX
105
Machine Translated by Google
106
Machine Translated by Google
DECODIFICAÇÃO
CONVERSÃO HEX
# echo u0xff"lwcalc -d
= 255
107
Machine Translated by Google
Converter de decimal para hexadecimal no Linux:
$ echo u25s"1wcalc -h
= 0xff
HTTP://Hello World.com
108
Machine Translated by Google
SNORTE
REGRAS DE SNORTE
110
Machine Translated by Google
Ref. https://github.com/John-Lin/docker-snort/blob/master/
snortrules-snapshot-2972/rules/policy-other.rules
conteúdo:"Pl001Sl00IEl00IXl00IEl00ISl00IVl00ICl00I"; fast_pattern:only;
metadados:serviço netbios-ssn; referência:url,technet.microsoft,com/en-
us/sysinternals/bb897553.aspx[l] ; classtype:violação de
política; sid:30281; rev:1;)
111
Machine Translated by Google
DOS/DDOS
FINGERPRINT DOS/DDOS
Ref. http://freecode.com/projects/iftop
# iftop -n
# netstat -s
112
Machine Translated by Google
Recurso: Esgotamento de estado e conexão
-r eu cabeça -n 10
Por exemplo, procure solicitações excessivas de arquivos, GIF, ZIP, JPEG, PDF,
PNG.
# tcpdump -c 1000 -Ann I grep -Ei 'user-agent' sort I uniq -c I sort -nr I
head -10
113
Machine Translated by Google
114
Machine Translated by Google
CONJUNTOS DE FERRAMENTAS
Ref. http://sift.readthedocs.org/
REMNUX - Um kit de ferramentas Linux para engenharia reversa e
Analisando malware
Ref. https://remnux.org
OPEN VAS - scanner e gerenciador de vulnerabilidades de código aberto
Ref. http://www.openvas.org
MOLOCH - Captura de pacotes IPv4 em grande escala (PCAP),
indexação e sistema de banco de dados
Ref. https://github.com/aol/moloch/wiki
SECURITY ONION - distribuição Linux para detecção de
invasões, monitoramento de segurança de rede e gerenciamento
de logs
Ref. https://security-onion-
solutions.github.io/security-onion/
NAGIOS - Monitoramento de Rede, Alerta, Resposta e
Ferramenta de relatórios
Ref. https://www.nagios.org
OSSEC - Sistema de detecção de intrusão baseado em host,
escalável, multiplataforma e de código aberto
Ref. http://ossec.github.io
115
Machine Translated by Google
Ref. http://samurai.inguardians.com
RTIR - Rastreador de Solicitações para Resposta a Incidentes
Ref. https://www.bestpractical.com/rtir/
HONEYDRIVE - Pacotes de software honeypot pré-configurados
Ref. http://sourceforge.net/projects/honeydrive/
O Enhanced Mitigation Experience Toolkit - ajuda a evitar que
vulnerabilidades em software sejam exploradas com sucesso
Ref. https://support.microsoft.com/en-us/kb/2458544
ANALISADOR DE SUPERFÍCIE DE ATAQUE DA MICROSOFT - Ferramenta de linha de base
Ref. https://www.microsoft.com/en-us/
download/confirmation.aspx?id=24487
WINDOWS TO GO - USB portátil Windows 8
Ref. https://technet.microsoft.com/en-us/library/
hh831833.aspx
WINFE - Ambiente Forense do Windows em CD/USB
Ref. http://winfe.wordpress.com/
DCEPT - Implantando e detectando o uso do Active
Honeytokens de diretório
Ref. https://www.secureworks.com/blog/dcept
TAILS - O sistema amnésico incógnito ao vivo
Ref. https://tails.boum.org
116
Machine Translated by Google
117
Machine Translated by Google
118
Machine Translated by Google
LISTA DE VERIFICAÇÃO DE RESPOSTA A INCIDENTES
TAREFAS DE IDENTIFICAÇÃO
119
Machine Translated by Google
120
Machine Translated by Google
TAREFAS DE CONTENÇÃO
121
Machine Translated by Google
TAREFAS DE REMEDIAÇÃO
Prioridade: Alterações
Esforço: H/M/L I Aberto/Fechado
de senha do usuário AD H/M/L I.
Prioridade: H/M/L I Esforço: H/M/L I Aberto/Fechado
Alterações de senha de usuário local.
Prioridade: Alterações
Esforço: H/M/L I Aberto/Fechado
de senha da conta de serviço H/M/L I.
Prioridade: H/M/L I Esforço: H/M/L I Aberto/Fechado
Envie atualizações de antivírus para malware detectado.
Prioridade: H/M/L I Esforço: H/M/L I Aberto/Fechado
Experimente várias ferramentas antivírus.
Prioridade: H/M/L I Esforço: H/M/L I Aberto/Fechado
Quais políticas de GPO do Active Directory estão definidas (logs,
restrições, etc.)?
Prioridade: H/M/L I Esforço: H/M/L I Aberto/Fechado
Qual é a arquitetura da rede e como o malware passaria?
Prioridade: H/M/L I
Esforço: H/M/L I Aberto/Fechado
Aplicativos de terceiros com patches ausentes (Adobe, Java, etc.)?
123
Machine Translated by Google
124
Machine Translated by Google
SimlNãolDesconhecidoN/A
125
Machine Translated by Google
Capacidades de malware
Capacidade de executar a maioria dos
SimlNãolDesconhecidoN/A
comandos do Active Directory baseados no Windows.
Capacidade de fazer upload e download de
SimlNãolDesconhecidoN/A
arquivos/cargas úteis.
Pode usar serviços integrados ou malware
criado especificamente para serviços YeslNolUnknownlN/A necessários.
126
Machine Translated by Google
127
Machine Translated by Google
128
Machine Translated by Google
COMPARTILHAMENTO (VERIS)
EM GERAL
Ref. http://veriscommunity.net/
Use este modelo para identificar ameaças de maneira uniforme:
ID de incidente
#
incidente_de segurança
impacto.perda.classificação
Desconhecido, Maior, Moderado, Menor, Nenhum
129
Machine Translated by Google
método_descoberta
Desconhecido, Ext - divulgação do ator, Ext - detecção de
fraude, Ext - serviço de monitoramento, Ext -
cliente, Ext - parte não relacionada, Ext - auditoria, Ext -
desconhecido, Int - antivírus, Int - resposta a incidentes,
Int - auditoria financeira, Int - detecção de fraude, Int -
HIDS, Int - auditoria de TI, Int - revisão de log, Int - NIDS,
Ext - aplicação da lei, Int - alarme de segurança, Int -
relatado pelo usuário, Int - desconhecido, Outro
visadas
Desconhecido, Oportunista, Direcionado, NA
cost_corrective_action
Desconhecido, Simples e barato, Difícil e caro,
Algo intermediário
país
Desconhecido, duas letras, outro
iso_currency_code
AED, AFN, TODOS, AMD, ANG, AOA, ARS, AUD, AWG, AZN,
BAM, BBD, BDT, BGN, BHD, BIF, BMD, BND, BOB, BRL,
BSD, BTN, BWP, BYR, BZD, CAD, CDF, CHF, CLP, CNY,
COP, CRC, CUC, COPA, CVE, CZK, DJF, DKK, DOP, DZD,
EGP, ERN, ETB, EUR, FJD, FKP, GBP, GEL, GGP, GHS,
GIP, GMD, GNF, GTQ, GYD, HKD, HNL, HRK, HTG, HUF,
IDR, ILS, IMP, INR, IQD, IRR, ISK, JEP, JMD, JOD,
JPY, KES, KGS, KHR, KMF, KPW, KRW, KWD, KYD, KZT,
LAK, LBP, LKR, LRD, LSL, LTL, LVL, SOM, MAD, MDL,
MGA, MKD, MMK, MNT, MOP, MRO, MUR, MVR, MWK, MXN,
MYR, MZN, NAD, NGN, NIO, NOK, NPR, NZD, OMR, PAB,
CANETA, PGK, PHP, PKR, PLN, PYG, QAR, RON, RSD, RUB,
RWF, SAR, SBD, SCR, SDG, SEK, SGD, SHP, SLL, SOS,
SPL, SRD, STD, SVC, SYP, SZL, THB, TJS, TMT, TND,
TOP, TRY, TTD, TVD, TWD, TZS, UAH, UGX, USD, UYU, uzs,
VEF, VND, vuv, WST, XAF, XCD, XDR , XOF , XPF,
YER, ZAR, ZMK, ZWD
130
Machine Translated by Google
ATOR
ator.x.motivo
Desconhecido, NA, Espionagem, Medo, Financeiro, Diversão,
Rancor, Ideologia, Conveniência, Outros
>------------ ator.externo.variedade
Desconhecido, Ativista, Auditor, Concorrente, Cliente,
Força maior, Ex-funcionário, Estado-nação,
Crime organizado, Conhecido, Afiliado ao Estado,
Terrorista, Não Afiliado, Outros
porra-------------
ator.interno.variedade
Desconhecido, Auditor, Call center, Caixa, Usuário final,
Executivo, Financeiro, Helpdesk, Recursos Humanos,
Manutenção, Gerente, Guarda, Desenvolvedor, Administrador
de sistema, Outros
131
Machine Translated by Google
AÇÃO
action.malware.variety
Desconhecido, Adware, Backdoo r, Força bruta, Capturar dados de
aplicativos, Capturar dados armazenados, Ataque do lado do cliente,
Fraude de cliques, C2, Destruir dados, Desativar controles, Dos, Down
loader, Explorar vulnerabilidade, Expor dados rt , Sniffer de pacotes ,
Dumper de senha, Raspador de Ram, Ransomware, Rootkit, Varredura
de rede, Spam, Spyware/Keylogger, Inieção SQL , Adminware, Worm,
Outros
ação.malware.vector
Desconhecido, Instalação direta , Download por malware, Execução
automática de e-mail , Link de e-mail, Anexo de e-mail, Mensagens
instantâneas , Propagação de rede, Injeção remota, Mídia removível,
Web drive-by, Download da Web, Outras ações.hacking.variety
132
Machine Translated by Google
action.social.variety
Desconhecido, Isca, Suborno, Elicitação , Extorsão, Falsificação, Influência,
Golpe, Phishing, Pretexto, Propaganda, Spam, Outros
action.social.vector
Desconhecido, Documentos, Email, Pessoalmente, IM, Telefone, Mídia
removível, SMS, Mídia social, Software, Site, Outros
ação.social.target
Desconhecido, Auditor, Call center, Caixa, Cliente,
Usuário final, executivo, financeiro, ex-funcionário,
Helpdesk, Recursos Humanos , Manutenção, Gerente,
Parceiro, Guarda, Desenvolvedor, Administrador de sistema, Outro
action.misuse.variety
Desconhecido, Abuso de conhecimento, Abuso de privilégio,
Desfalque, Manipulação incorreta de dados, Uso indevido de e-mail, Uso
indevido de rede , Conteúdo ilícito, Solução alternativa não aprovada,
Hardware não aprovado, Software não aprovado, Outro
action.misuse.vector
Desconhecido, Acesso físico, Acesso LAN, Acesso remoto , Não
corporativo, Outra ação.física.variedade
Desconhecida, Assalto, Sabotagem ,
Espionagem , Vigilância, Adulteração, Roubo, Escuta telefônica, Conexão,
Outros
action.physical.location
Desconhecido, instalação do parceiro, veículo do parceiro,
residência pessoal , veículo pessoal, instalação pública , veículo
público, área segura da vítima, área de trabalho da vítima, área
pública da vítima, terreno da vítima , outro action.physical.vector
133
Machine Translated by Google
action.error.variety
Desconhecido, Erro de classificação, Erro de entrada de dados, Erro de
descarte, Gafe, Perda, Erro de manutenção, Configuração incorreta, Entrega
incorreta, Informação incorreta, Omissão, Acidentes físicos, Falta de
capacidade, Erro de programação, Erro de publicação, Mau funcionamento,
Outros
ação.erro.vetor
Desconhecido, Erro aleatório, Descuido, Pessoal inadequado , Processos
inadequados, Tecnologia inadequada , Outra ação.ambiental.variety
Desconhecido, Deterioração,
Terremoto, EMI, ESD, Temperatura, Incêndio,
Inundação, Hazmat, Umidade, Furacão, Gelo, Deslizamento de terra,
Relâmpago, Meteorito, Partículas, Patógeno, Falha de energia,
Tornado, Tsunami, Vermes, Vulcão, Vazamento, Vento, Outros
134
Machine Translated by Google
ATIVO
ativo.variety
Desconhecido, S - Autenticação, S - Backup, s -
Banco de dados, S - DHCP, S - Diretório, S - DCS, s -
DNS, S - Arquivo, S - Log, S - Mail, S - Mainframe, s - Switch de
pagamento , S - Controlador POS, S - Print, s - Proxy, S - Acesso
remoto, S - SCADA, S - Aplicativo Web, S - repositório de código,
S - host VM, s -
Outros N - Leitor de acesso, N - Câmera, N - Firewall, N - HSM, N -
IDS N - Banda larga, N - PBX, N -
EU
135
Machine Translated by Google
ATRIBUTO
atributo.confidencialidade.data_disclosure
Desconhecido, Sim, Potencialmente,
Nenhum atributo.confidentiality.data.variety
Desconhecido, Credenciais, Banco, Classificado, Direitos autorais,
Médico, Pagamento, Pessoal, Interno, Sistema, Segredos,
Outro
atributo.confidentiality.state Desconhecido,
Armazenado, Armazenado criptografado, Armazenado
não criptografado, transmitido, transmitido criptografado,
transmitido não criptografado, atributo
processado.integridade.variety
Desconhecido, Conta criada, Adulteração de hardware, Alteração de
comportamento, Transação fraudulenta, Adulteração de log,
Apropriação indevida, declaração falsa, modificação de
configuração, modificação de privilégios, modificação de dados,
Instalação de software, Outros
atributo.disponibilidade.variedade
Desconhecido, Destruição, Perda, Interrupção, Grau de
íon, Aceleração, Obscurecimento, Outros
136
Machine Translated by Google
CURSO DE AÇÃO
Ref. https://stixproject.githu bi 0
coa.type
coa.Insignificante ,
Distrativo , Doloroso , Prejudicial, Catastrófico, Desconhecido
coa.eficácia
Ineficaz, Pouco Eficaz iv e, Principalmente Eficaz, Completamente Eficaz
NA e, coa.stag e
Desconhecida ,
137
Machine Translated by Google
Ref.
http://www.lockheedmartin.com/content/dam/lockheed/d ata/corporate/documents/LM-
White-Paper-Intel-Driven-Defense.pdf
Detectar, negar,
Costumização Perturbar, degradar,
Enganar, destruir
Detectar, negar,
Entrega Perturbar, degradar,
Enganar, destruir
Detectar, negar,
Exploração Perturbar, degradar,
Enganar, destruir
Detectar, negar,
Instalação Perturbar, degradar,
Enganar, destruir
Detectar, negar,
Comando e
Perturbar, degradar,
Controle (C2) Enganar, destruir
Detectar, negar,
Ação ativada
Perturbar, degradar,
Objetivos Enganar, destruir
138
Machine Translated by Google
Ativo :
Localização n: Crítico:
Descrição : Vulnerabilidade:
Propósito Recuperabilidade
Tempo
Classificação:
Priorizado :
Antes EU
Ativo:
Eu gato ele n: Crítico:
Ativo :
Localização n: Crítico:
Propósito Recuperabilidade
Tempo
Classificação:
Priorizado :
Prioridade : III
139
Machine Translated by Google
CADERNO DE RABISCOS
140
Machine Translated by Google
CADERNO DE RABISCOS
141
Machine Translated by Google
10ÍNDICE (AZ)
A hexdump ............ 85 I
Diretório Ativo .17, 18, p passwd ................ 39
19, 31 iftop .................. 112 PowerShell .. 19, 28, 29,
AdFind ................ 19 initctl .............. .... 36 59, 60, 62, 76,
Fluxos de dados IPSEC. ............ 30, 40 98.105.108
alternativos .......... 77 iptables ... 37, 38, 40 Configuração automática de
Apache ................ 63 1Pv6 ..................... 33 L (PAC) ........ 26, 39 ps 36
Applocker .......... 26
auditd ..... ............ 64 lábrea . ................ 54 PsExec ......... 91, 104
Utilitário web. 53, 56, 75, ........... 23, 31, 35 xorsearch .. ........ 107
76
143
Machine Translated by Google
São Bernardino, CA
10 de fevereiro de 201 7