Explorando as fases da invasão (hacking)

Você entende a mente do atacante é a primeira coisa que você tem que pensar. Bom, imagine que você então entre num ambiente e você naturalmente acaba vivendo ali duas ou três coisas estranhas e aí você fala, estamos sob ataque. Baseado no que você viu, é possível definir como o atacante pensa? Sim, cara, a resposta é sim. Bom, vamos agora falar sobre isso, vamos falar sobre as fases. É porque se você conseguir definir como pensa o seu atacante, vai facilitar toda a análise que vai vir logo em seguida. Bom, a sorte que os hackers hoje seguem roteiros, a criatividade no mundo hacker sumiu. Aquela criatividade, aquela centricidade acabou. Todo mundo segue roteirinhos de livros, scripts pré-prontos. É como se o mundo hacker estivesse naturalmente caminhando para o mundo do script e kit. Garoto, não estou brincando não. Durante qualquer treinamento, por exemplo, de pen teste, você encontrará algumas fases e naturalmente são as fases mais observadas no mundo hacker. As cinco fases. Repare que é necessário coletar informações para melhor compreender diversos detalhes sobre o alvo, como o cara fez o alvo, você tem ideia das intenções dele. Bom, vamos lá. Primeira coisa, vamos pensar em um reconhecimento. O hacker, primeira coisa que ele faz é um reconhecimento do alvo. Depois ele começa a enumerar o que ele encontrou no reconhecimento lá no alvo. Depois ele tenta ganhar acesso. Depois ele tenta manter o acesso e então ele começa a limpar sua sujeira. Então, por exemplo, você entra em um servidor, você obtém informações que aquele servidor está sob ataque. Você é o cara da defesa e você encontra muita sujeira ainda no log. Claro que esse cara está aqui ainda. Ele ganhou acesso, mas ele está tentando manter o acesso e ainda não foi capaz de manter o acesso limpando suas pegadas. Então ele ainda não está no final. Vamos lá. O reconhecimento. O hacker, primeira coisa que ele vai fazer é isso aqui. Então, com base, por exemplo, vamos imaginar que o meu alvo é fit. Vamos imaginar que o meu alvo é uma empresa... Eu não trabalhei com nenhuma empresa de venda de carro. Não, não fiz nem um serviço para eles. Então vamos imaginar que é uma empresa de carro XYZ, nem se existe. E aí eu começo a buscar tudo que eu consigo de informações sobre essa empresa XYZ. Informações relevantes sobre o alvo, que tem de tecnologia, a superfície de ataque dele. Definir o que é essa superfície. Eu não estou falando de vetores ainda. Eu estou tentando definir dele a superfície. Imagine uma grande bola, uma bichiga. Quanto mais coisa você acha, mais você empurra a ar para dentro dessa bichiga, a superfície fica maior. Não é assim? Então, isso é a superfície de ataque. Se você conseguir fazer isso bem feito, você terá mais oportunidades no futuro. Se isso é que for mal feito, você terá menos oportunidades no futuro. Lógico que você hackea. Agora que é um problema, eu estou falando como um hacker. Eu estou falando como um cara que defende. Eu vou precisar tomar uma cachaça para passar por isso. É muita loucura. Mas o hacker vai tentar conseguir o máximo possível de informação. Motores de busca para obter informações. Por exemplo, o Google Docs. Quer você fazer buscas no Google e obter arquivos da empresa e tudo mais. Eu já consegui de uma empresa. Por exemplo, algo em torno de 16 mil usuários e 100. Naturalmente, eu notifiquei a empresa. Eu conheci as pessoas lá dentro. Chamei no privado. Tem esse arquivo lá. Os caras foram lá e apagaram e pediram obrigado. Para quem eu conheço, eu sou bonzinho. Pessoa bonzinho comigo, eu sou bonzinho com eles. Naturalmente. Bom, e Shodan aí, ou entre outras ferramentas. Tem várias criminal IP entre outras. Meu amigo, daqui a pouco, eu vou mostrar para vocês. Eu gostaria até de fazer um curso a parte depois sobre isso aqui. Pegar todas as ferramentas na web. Pagar licença. E, então, usar essas ferramentas com a licença a paga. Porque, com a licença a paga, ela me traz uma informação. Com a licença gratuita, ela me traz outra informação. Naturalmente, executar consultas em serviços de nome. Wayback machine, para ver se consegue alguma informação do passado. Usar engenharia social, tentar conversar com as pessoas. Marcar uma entrevista. Para conhecer os produtos dessa empresa. Talvez ele abra o jogo de como é o produto dessa empresa. Seria possível, talvez, eu ter um ambiente de teste simples. Seria possível comprar uma licença para ver como que é? Então, você vai, naturalmente, ter essas reuniões, buscar. E aí tem vários sites que nós usamos. Fofa, livre, Census, o ZoomA... Não sei como é que fala isso aí, cara. É, isso aí eu me ferrei, cara. O criminal IP, Bertins Forums, que é elícito, DoxyBean. Vai atrás, até no lado escuro da força, a gente vai atrás, cara. Sempre tem alguém, sempre tem alguém que pegou o e-mail da instituição e se cadastrou em algum lugar. E esse lugar vazou. E os caras não trocam senha. Então, seria muito fácil você obter essas informações de usuários e senhas já existentes e bater, batendo nas soluções desses caras. Então, segue para a enumeração. Você imagina, então, que você pegou a bichiga. A cada informação que você encontrou, você é só para a bichiga. Você vai ver que a bichiga vai ficando grande, a superfície vai ficando grande. Agora, a superfície tem muito ponto falho. E agora é hora de tentar explorar algumas vulnerabilidades ali. Fazendo varreduras em cima do que você achou. Então, o hacker, ele veio aqui, localizou um monte de coisa da empresa, produtos, plataformas, site, blog, canal no YouTube, rede social, entrou em conversa, aprendeu sobre o produto dos caras. Aí, agora, ele vem aqui e começa a bater nos produtos, bater nos sites, pegar palavras naturalmente ali e tentar fazer um... Detalhe, ele não vai bater para invadir ainda, ele vai bater para enumerar as coisas. Portas abertas, tecnologias, jQuery, por exemplo, depreciados, ele usa Telerik, se ele utiliza... Vai buscando, tecnologias, vai trazendo sites ativos, regras de firewalls, foma rede, portas abertas, como eu falei, serviço de execução, onde ficam as web APIs, se é WebSocks, que é API, ou se é API mesmo. Ele fica com as vulnerabilidades de segurança das tecnologias em geral, procura topologias de rede, tenta ver se eles usam banco de dados, tenta ver se o banco de dados, ele impacta no tempo de carregamento da tela. Legal, aí agora a gente vai bater em cima. Então nós fomos lá, procuramos tudo sobre a empresa, aí depois pegamos da empresa tudo que encontramos e enumeramos sobre essas tecnologias, e aí, então, agora nós nos preparamos para invadir. Senhas, bypass, nem sempre você precisa de uma senha para invadir o alvo, tá? Existem muitas vulnerabilidades que permitem o bypass automático. Lógico que você também não pode exigir que você faça o bypass e já suma como superusuário. Não, amiguinho, tem esse papo não. Vai lá, agora tenta explorar, é a parte mais difícil. É a parte que você tem que estar mais anônimo possível, e pensando em anonimato, e aí pensando em anonimato, eu preparei esse curso para vocês, tá? Esse curso não está em livro nenhum, esse curso aqui é a minha vivência. Já tem lá, curso está completo com 30 aulas, assiste-se aqui. Então você vai lá, vai conseguir, naturalmente, acessar o alvo, entrar no alvo, tentar colocar arquivos maliciosos no alvo, tentar buscar elevação de privilégios. Você já está no alvo, já está no alvo. Aganho o acesso, é difícil, não é fácil. Acontece que você acessou por um caminho, por uma vulnerabilidade. Pode ser que aquele ambiente inteiro só tenha aquela vulnerabilidade. E agora nós temos que fazer algo muito difícil. Muitos livros, vamos falar o seguinte, que você vai fazer uma movimentação lateral e se manter ativo no ambiente. Só que existem muitas ferramentas de defesa na rede. É mais comum você encontrar uma máquina vulnerável do que uma rede vulnerável. Bom, por um motivo muito simples, é comum, às vezes, alguma, um computador ser dado para alguém desleixado. Mas a equipe de rede é uma equipe muito boa. A equipe de rede não sabe que aquela máquina está na mão de um desleixado. Por exemplo, comum, tá? Comum. O agitmalicioso, então, geralmente deve garantir que consiga acessar aquele sistema da vítima. E, então, ele cria novos buracos, novas vulnerabilidades, novos meios de acessar aquele ambiente caso aquela vulnerabilidade que ele explorou e conseguiu acesso seja eliminada. Afinal, vão ficar logs na rede, vão ficar logs do computador. Temora dias para as ferramentas falarem que um ataque está acontecendo. Sim. Não é fácil você ter uma ferramenta que te enfale, olha, está acontecendo agora. Porque muitos dos ataques, muitos dos ataques, eles são executados e só é pego por comportamento. O cara utiliza softwares lícitos e protocolos de rede lícitos para fazer o ataque. Então, ele vai passar fácil pelas ferramentas da rede. Mas o comportamento dele vai ser pego, mas para isso, precisa-se de dias de uso. E, por isso, o cara já está lá, há um tempo, quando você chegar. Bom, então ele abriu o backdoor, por exemplo, e a moto. Deixa a moto passar. Ah, esses moleques depois que aprenderam até essas bicicletinhas com motor de mobilete, está difícil, hein cara. Mas deu uma sobrevida, né? As fábricas de motores, né? Bom, há dois tempos, né? Bom, então você vai lá, coloca os backdoors, coloca hatch, coloca várias vulnerabilidades. Algumas acontecem todo dia, outras são agendadas de tempos em tempos, outras se um evento acontecer, outras se alguém executar aquilo, vários. Beleza. Movimentação lateral, o livro coloca. Mas aí eu já não recomendo movimentação lateral de cara. Conforme eu já falei, é mais fácil você ter uma ferramenta na rede defendendo e uma equipe muito boa na rede defendendo, do que você ter todo mundo que tem acesso àqueles computadores e servidores, serem pessoas trabalhadoras, honestas, não relaxadas, né? Mas sempre vai ter um relaxado na histórica. Por isso as máquinas são mais vulneráveis. E é pular que geralmente chegam as coisas. Então eu vejo o livro Fale e Movimentação Lateral, eu vejo que seria a última coisa que você faria. Primeira coisa é garantir, criar conexões persistentes e acesso não autorizado nessa máquina. Esfiltração de dados para que você consiga no futuro invadir de novo. Depois uma tentativa de movimentação lateral. Eu vejo assim. Olha explicando para vocês como é que uma parte negra da força, hein? Mas se você não entender a parte negra da força, como é que você vai se defender, meu amigo? Por isso que eu falo, a luz sempre está atrás das trevas. Legal. Então o hacker entrou. Já está lá, colocou novos buracos, tem mais vulnerabilidades agora o ambiente. Então agora é a hora de apagar os vestígios, só que é muito difícil isso aqui. Nem sempre é possível apagar os vestígios. Vestígios, logs, eventos. Por que tem coisas que não dá para apagar? Essa é a verdade. Se você tem que ser o mais indetectável possível, tudo que você executa, jogue para devnu. Se você achar que devnu é muito sensível essa palavra, então você cria um link para devnu e joga para esse link, que ele vai mandar para devnu. Tem que ser o mais indetectável possível no alvo, na rede, sem acionar alertas, sensores. Se você tiver a possibilidade de fazer uma transferência de zona de uma rede, DNS, ela é menos, como eu posso dizer assim, chamativa do que você fazer um porte-scan na rede do alvo. E se você for fazer um porte-scan na rede do alvo, você tem que fazer ela em modo paranoide. Está no meu livro hacker, fazer uma scan na rede e modo paranoide. Porque senão vai ficar nas ferramentas. Aí aqui está. Uma coisa é eu apagar os logs da máquina que eu invadi. Outra coisa é eu apagar os logs que estão em equipamentos na rede. DNS e IPS, por exemplo. É mais difícil. Então, por isso que eu falei para vocês, apagar 100% não vai rolar. E é difícil. Então, eu tenho que sair tentando deixar o menor rastro possível e um rastro onde eu consiga acessar e apagar depois. Legal. Tem que ser furtivo. É assim. Rastros podem ficar em sistemas operacionais, logs e eventos. Conforme eu falei, banco de dados fica lá, no log do banco de dados, porque ele é auditável. E rede em forma de logs e acessos em firewall, IDS, servidor de VPN, sempre fica lá. Sempre fica. E você não tem acesso a eles porque você acessa a máquina de um desleixado. Mas as máquinas da rede são ali cuidadas ali por pessoas que não são desleixadas. Então, complica muito sua vida. Beleza. No próximo passo, nós vamos falar sobre como compreender a mentalidade do agente malicioso para pensar em como ele vai agir. Cara, esse era para ser um curso para luz. E eu estou levando vocês para as trevas. Até mais. Tchau.