CySA+ CS0-003 // CHEAT SHEET

LOG INGESTION

NTP Sync — timestamps corretos são mandatórios p/ correlação. Sem sync = forense inválida

Níveis de Log: DEBUG > INFO > WARNING > ERROR > CRITICAL. No SOC: WARNING+ como padrão

Syslog (UDP 514): protocolo padrão p/ centralização. RFC 5424

Windows Event IDs críticos:

4624	Logon bem-sucedido
4625	Logon falhou
4648	Logon com credenciais explícitas
4688	Novo processo criado
4698	Tarefa agendada criada
4720	Conta de usuário criada
7045	Novo serviço instalado

SISTEMA OPERACIONAL

WIN Registry Persistence Keys:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\...\Run, HKLM\...\Winlogon

WIN Paths críticos: C:\Windows\System32\, C:\Windows\Temp\

LIN Paths: /etc/passwd, /etc/shadow, /etc/cron*, /tmp/, /var/log/

Hardening: CIS Benchmarks, STIG, remover serviços desnecessários, desabilitar contas default

Processos Suspeitos: cmd.exe filho de Word.exe = macro maliciosa. svchost fora de services.exe = injeção

LOLBins: certutil, mshta, regsvr32, wmic, rundll32 — nativos usados p/ evasão

INFRAESTRUTURA

SERVERLESS Funções efêmeras (Lambda, Azure Fn). Logs no CloudWatch/Monitor. Sem patch tradicional

VIRTUAL Hypervisor comprometido = todas as VMs comprometidas. Monitorar east-west traffic

CONTAINER Compartilham kernel do host. Namespaces, cgroups, AppArmor/SELinux. Cuidado com privileged containers

OT/ICS/SCADA: Sistemas críticos — varreduras ativas podem causar falhas físicas. Usar modo passivo, janelas de manutenção

⚠ EXAM TIP: ICS/SCADA = sempre varredura passiva ou com credenciais, fora do horário. Nunca scan agressivo.

ARQUITETURA DE REDE

ZERO TRUST "Never trust, always verify". Toda requisição autenticada + autorizada + criptografada. BeyondCorp

SASE SD-WAN + CASB + SWG + ZTNA em nuvem. Segurança na borda, não no perímetro

SDN Separação plano de controle/dados. Políticas dinâmicas e programáveis via software

Segmentação: VLANs, micro-segmentação, DMZ. Limita blast radius

Híbrida: On-prem + Cloud. Atenção ao peering (VPN/ExpressRoute) e consistência de políticas

IAM — IDENTIDADE E ACESSO

MFA: Algo que você sabe + tem + é. Mitiga credential stuffing e phishing. TOTP, FIDO2, hardware tokens

SSO: Autenticação única. Reduz fadiga de senha, mas cria SPOF. SAML 2.0, OpenID Connect, OAuth 2.0

PAM: Gerencia contas privilegiadas. Rotação automática de senha, sessão gravada, Just-in-Time access. CyberArk, BeyondTrust

Federação: Confiança entre domínios distintos. Identity Provider (IdP) centralizado

CASB: Proxy entre usuário e cloud. Visibilidade de shadow IT, DLP em cloud, controle de acesso

Passwordless: FIDO2/WebAuthn. Elimina risco de senha. Resistente a phishing por design

CRIPTOGRAFIA & DLP

PKI: CA → certificados X.509. Hierarquia: Root CA → Intermediate CA → End-entity. CRL e OCSP p/ revogação

TLS Inspection: MITM controlado. Proxy decripta, inspeciona (malware/DLP), recripta. Precisa de CA raiz nos endpoints. Preocupação com privacidade

DLP: Detecta/bloqueia exfiltração. Canais: e-mail, USB, web upload, print, clipboard

PII: Nome, CPF, e-mail, IP, biometria. LGPD + GDPR. Notificação obrigatória em caso de breach

CHD: PAN, CVV, expiração. PCI DSS — escopo de auditoria e varredura trimestral por ASV

REDE — IoC

BEACONING Comunicação periódica/regular c/ C2. Pattern regular de intervalos = C&C ou RAT

SCAN Varreduras sequenciais de portas/IPs. SYN flood, ICMP sweep. nmap, masscan

BW Picos de largura de banda fora do horário = exfil ou DDoS bot

P2P Tráfego peer-to-peer não autorizado. BitTorrent, I2P, Tor em rede corporativa

PORTAS SSH na 443, HTTP na 4444, RDP em portas não padrão = backdoor ou tunelamento

Rogue Devices: MACs desconhecidos na rede. NAC (Network Access Control) p/ mitigar

DNS Anomalias: DGA (domínios gerados aleatoriamente), Fast Flux, alto volume de NX (NXDOMAIN)

HOST — IoC

CPU/MEM Uso anormal = cryptominer, ransomware em andamento, C2 ativo

PROC svchost.exe rodando fora de C:\Windows\System32\ = suspeito. Verificar parent process

PRIV Escalação de privilégio. Usuário comum com SYSTEM/root. Token impersonation

REG Run keys, Winlogon, Services modificados = persistência de malware

FILE Novos executáveis em Temp/AppData, alteração de timestamps (timestomping)

Scheduled Tasks: Cron/Task Scheduler usado p/ persistência. Verificar tarefas não documentadas

Process Injection: DLL Injection, Process Hollowing, AtomBombing — malware se esconde em processos legítimos

APLICAÇÃO + SOCIAL — IoC

BRUTE Múltiplas tentativas de login falhas seguidas de sucesso = credential stuffing ou brute force

IDOR Acesso a objetos de outros usuários via manipulação de parâmetros (id=1337)

SAÍDA App fazendo requisições a IPs externos inesperados = webshell, SSRF, backdoor

CONTA Novas contas admin criadas sem ticket = comprometimento pós-exploração

Phishing Indicators: Homograph attacks (pаypal.com com Cirílico), SPF/DKIM fail, Reply-To diverge do From

Links Obfuscados: URL shorteners, redirecionamentos encadeados, encoding hexadecimal (%2F, %3C)

Impossible Travel: Login São Paulo 08:00 → Login Tóquio 08:05 = conta comprometida ou VPN

ATORES DE AMEAÇA

APT	Estado-patrocinado, sofisticado, longo prazo. Espionagem/sabotagem. APT28, APT41, Lazarus
HACKTIV	Motivação ideológica. DDoS + defacement. Anonymous, LulzSec
CRIME ORG	Lucro financeiro. Ransomware, fraude, BEC. REvil, Conti, FIN7
ESTADO	Capacidade ofensiva nacional. Infraestrutura crítica, defesa. Volt Typhoon, Sandworm
INSIDER	Intencional (sabotagem, venda de dados) ou Não-Intencional (erro humano, phishing clicado)
SUPPLY CHAIN	Compromete fornecedor p/ atingir alvo final. SolarWinds, 3CX, XZ Utils
SCRIPT KID	Baixa skill, usa tools prontas. Motivação: reconhecimento ou diversão

FONTES DE THREAT INTELLIGENCE

OPEN SOURCE (OSINT)

Shodan Censys AlienVault OTX MISP CERT.br CISA Advisories NVD Dark Web CSIRT Blogs/Fóruns Gov Bulletins

CLOSED SOURCE / PAGO

Recorded Future Mandiant CrowdStrike Intel ISACs Fontes Internas Threat Feeds Pagos

Confiança da Intel: Pontualidade (atual?), Relevância (aplica ao meu setor?), Precisão (quão certa é?)

TTPs — Tática (objetivo) → Técnica (como) → Procedimento (implementação específica)

STIX/TAXII: Formatos padrão p/ compartilhamento estruturado de threat intel

THREAT HUNTING

IoC Types: Hashes de malware, IPs/domínios C2, mutexes, registry keys, user-agents suspeitos, caminhos de arquivo

Hypotheses-Driven: "Assumo que estou comprometido" → busca proativa sem depender de alertas

FOCO Redes isoladas (qualquer atividade é suspeita), assets críticos, misconfigurations conhecidas

Honeypot/Honeynet: Qualquer toque = alerta. Tipos: baixa interação, alta interação, honeytokens

Defesa Ativa: Canary tokens, honeydocs, deception technology (Attivo, Illusive)

IoC → Coleta (feeds, logs) → Análise (correlação, enriquecimento) → Aplicação (blocklist, SIEM rules, EDR IOC)

ARSENAL DO ANALISTA

Wireshark

Análise de pacotes .pcap, filtros BPF

tcpdump

Captura CLI. tcpdump -i eth0 -w out.pcap

SIEM

Splunk, Wazuh, QRadar — correlação de logs

SOAR

Palo Cortex XSOAR, Splunk SOAR — playbooks

EDR

CrowdStrike, Defender ATP, SentinelOne

VirusTotal

Multi-AV + sandbox. API p/ automação

Joe Sandbox

Análise dinâmica profunda. Report detalhado

Cuckoo

Sandbox open-source. Self-hosted

WHOIS

Info de registro de domínio

AbuseIPDB

Reputação de IPs reportados

strings

Extrai texto legível de binários

Volatility

Análise forense de memória RAM

ANÁLISE DE E-MAIL

Cabeçalhos críticos: Received (caminho real), X-Originating-IP, Return-Path, Reply-To

SPF DNS TXT. Autoriza IPs a enviar em nome do domínio. softfail (~all) vs hardfail (-all)

DKIM Assinatura criptográfica no header. Garante integridade. Selector + domínio no DNS

DMARC Policy baseada em SPF+DKIM. none / quarantine / reject. Relatórios RUA/RUF

Spoofing Indicators: From ≠ Reply-To, Display Name != endereço real, domínio similar (paypa1.com)

Links Embeds: Hover p/ ver URL real. Redirect chains. JavaScript onclick que redireciona

SPF PASS + DKIM PASS + DMARC PASS = legítimo (provavelmente)
Qualquer FAIL = investigar ou quarentena

SCRIPTING & ANÁLISE

PYTHON Automação, parsing de logs, integração API (requests, json, re, pandas). Ferramenta #1 do analista

POWERSHELL Administração Windows + análise forense. Também usado por atacantes (obfuscação, encoded commands)

BASH Automação Linux, scripts de coleta de evidências, pipeline de logs

REGEX Pattern matching em logs. Ex: \d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3} p/ extrair IPs

JSON/XML Formatos de feeds de threat intel, APIs de SIEM/SOAR, configs de ferramentas

Hash de Arquivos: md5sum, sha256sum. Fingerprint único p/ IoC matching e verificação de integridade

UBA/UEBA: Machine learning p/ baseline de comportamento. Alertas em desvios estatísticos significativos

AUTOMAÇÃO E ORQUESTRAÇÃO

SOAR: Orquestra ferramentas via playbooks automáticos. Reduz MTTR. Ex: alerta SIEM → enriquece VirusTotal → bloqueia no firewall → abre ticket → notifica Slack

Tasks p/ Automação: Repetíveis, high-volume, baixo julgamento humano necessário (blocklist updates, IOC ingest, ticket creation)

Threat Intel Enrichment: Combina múltiplos feeds → correlaciona → contexto rico (IP + Geo + ASN + histórico de abuso)

APIs / Webhooks / Plugins: Integrações entre ferramentas. REST API + JSON = lingua franca do SOC moderno

Dashboard Centralizado: Painel único de vidro (single pane of glass). Reduz time-to-triage

MÉTRICAS OPERACIONAIS

MTTD — Mean Time to Detect. Do início do incidente até detecção

MTTR — Mean Time to Respond. Da detecção até início da resposta

MTTRem — Mean Time to Remediate. Da detecção até resolução total

Alert Fatigue: Volume alto de FP = analistas ignoram alertas reais. Tuning de SIEM/EDR é essencial

SLOs: Critical em <24h, High <7d, Medium <30d, Low <90d (valores típicos de policy)

TIPOS DE VARREDURA

INTERNA	Simula atacante dentro da rede. Maior superfície visível. Mais detalhes
EXTERNA	Simula atacante da internet. Testa exposição pública. ASV para PCI DSS
COM AGENTE	Software no endpoint. Análise profunda. Funciona offline. Mais cobertura
SEM AGENTE	Scan de rede sem instalação. Mais simples, menos detalhe
COM CRED	Autentica no sistema. Vê patches, configs, usuários. "Authenticated scan"
SEM CRED	Perspectiva externa. Só o que atacante sem acesso veria
PASSIVO	Monitora tráfego existente. Sem impacto. Bom p/ ICS/SCADA
ATIVO	Envia sondas. Pode causar impacto. Mais completo
SAST	Análise estática de código-fonte. White-box. Pre-deploy
DAST	Análise dinâmica em runtime. Black-box. Simula atacante real

FRAMEWORKS REGULATÓRIOS

PCI DSS Varreduras internas trimestrais + ASV externo trimestral. Teste de invasão anual. Requisito 11

CIS 18 Controles Críticos. Baseline hardening. CIS-CAT p/ avaliação automatizada

OWASP Top 10 Web Vulns. Top 10 API. Top 10 Mobile. WSTG (Testing Guide) v4.2

ISO 27001 ISMS. Controles do Annex A. Auditorias periódicas. Certificação internacional

NIST CSF Identify → Protect → Detect → Respond → Recover. Framework de gestão de riscos

Baseline Scan: Comparação contra estado conhecido-bom. Detecta desvios de configuração

Fuzzing: Inputs aleatórios/malformados p/ descobrir crashes, memory corruption, lógica inesperada. AFL, Boofuzz

CONSIDERAÇÕES DE SCAN

Scheduling: Fora do horário de pico. Coordenar com ops. Janelas de manutenção aprovadas

Performance Throttling: Limitar velocidade p/ não degradar produção. Parâmetro -T no nmap (0-5)

Segmentação: Garantir que o scanner tem rota p/ todos os segmentos (VLANs, DMZ, cloud)

Requisitos Regulatórios: Frequência mínima definida por compliance (mensal, trimestral, anual)

Asset Discovery: Nmap -sn p/ discovery. Fingerprint com -O (OS) e -sV (versão de serviços)

Engenharia Reversa: Disassembly (Ghidra, IDA Pro) p/ entender binários sem código fonte

⚠ ICS/OT/SCADA: SEMPRE passivo ou com credenciais em janela de manutenção. Scan ativo pode travar CLPs.

SCANNERS DE REDE & RECON

Nmap

Port scan, OS/service detect, NSE scripts

Angry IP

Discovery rápido de hosts ativos

Maltego

OSINT + mapeamento de relações

Recon-ng

Framework OSINT modular

SCANNERS DE VULN

Nessus

Líder de mercado. CVE correlation. Políticas customizáveis

OpenVAS

Open-source. GVM framework. Greenbone

Nikto

Web server scanner. Misconfigs + vulns conhecidas

Lynis

Hardening audit p/ Linux/Unix

WEB APP TESTING

Burp Suite

Proxy interceptor. Scanner ativo (Pro). Extensões

OWASP ZAP

Open-source. CI/CD integration. Spider + Active scan

Arachni

Web app scanner framework

SQLMap

Auto SQLi detection + exploitation

EXPLOIT & PEN TEST

Metasploit

Framework de exploits. Payloads, post-expl

ExploitDB

Banco de exploits públicos. searchsploit

GDB

GNU debugger. Análise de crash, exploit dev

Imm. Debugger

Windows debugger p/ exploit dev (Buffer overflow)

CLOUD SECURITY

Scout Suite

Multi-cloud audit. AWS/Azure/GCP

Prowler

AWS security best practices. CIS benchmark

Pacu

AWS exploitation framework (pentest)

Checkov

IaC static analysis (Terraform, CF)

ANÁLISE DE MALWARE

Ghidra

NSA reverse engineering. Free, poderoso

IDA Pro

Disassembler/debugger profissional

YARA

Pattern matching p/ detecção de malware

PEStudio

Análise estática de PE (Windows executables)

CVSS v3.1 — COMMON VULNERABILITY SCORING SYSTEM

MÉTRICA	OPÇÕES	IMPACTO NO SCORE
AV — Vetor de Ataque	Network (N) / Adjacent (A) / Local (L) / Physical (P)	N = maior risco
AC — Complexidade	Low (L) / High (H)	L = mais fácil = maior score
PR — Privilégios Req.	None (N) / Low (L) / High (H)	N = sem req = maior score
UI — Interação Usuário	None (N) / Required (R)	N = sem interação = maior score
S — Escopo	Unchanged (U) / Changed (C)	C = impacto além do componente
C — Confidencialidade	None / Low / High	Alta perda de dados sensíveis
I — Integridade	None / Low / High	Modificação não autorizada
A — Disponibilidade	None / Low / High	Negação de serviço

CRITICAL (9.0-10.0)PATCH IMEDIATO

HIGH (7.0-8.9)< 7 DIAS

MEDIUM (4.0-6.9)< 30 DIAS

LOW (0.1-3.9)< 90 DIAS

VALIDAÇÃO & PRIORIZAÇÃO

TP Vulnerabilidade real detectada corretamente. Agir imediatamente

FP Falso positivo. Vulns reportadas inexistentes. Desperdiça esforço. Requer validação

FN Falso negativo. Vuln existe mas não detectada. MAIS PERIGOSO

TN Sem vulns, e de fato não existe nenhuma

FATORES ALÉM DO CVSS

Exploitability: Existe exploit público? (Exploit-DB, Metasploit module) → prioridade MUITO maior

Asset Value: AD Domain Controller > servidor de arquivos > workstation comum

Zero-Day: Sem patch disponível → controles compensatórios urgentes

Contexto: Exposto à internet > interno isolado > air-gapped

EPSS: Exploit Prediction Scoring System. Probabilidade de exploração em 30 dias

SSVC: Stakeholder-Specific Vulnerability Categorization. Decisão contextual

OWASP TOP 10 — 2021

A01	Broken Access Control — IDOR, privilege escalation, directory traversal, CSRF
A02	Cryptographic Failures — dados em texto puro, MD5/SHA1, chaves fracas, no TLS
A03	Injection — SQL, LDAP, OS command, XPath, SSTI. Payload entra como código
A04	Insecure Design — falhas arquiteturais, ausência de threat modeling
A05	Security Misconfiguration — defaults, verbose errors, headers faltando, cloud perms
A06	Vulnerable Components — libs desatualizadas, EoL software, sem inventário
A07	Auth Failures — weak passwords, no MFA, session fixation, credential exposure
A08	Software/Data Integrity — CI/CD sem validação, deserialização insegura
A09	Security Logging Failures — sem logs adequados, sem monitoramento
A10	SSRF — servidor faz requests a recursos internos/externos por input do usuário

XSS + INJEÇÕES — DETALHES

XSS REFLETIDO Payload na URL, refletido na resposta imediata. Requer vítima clicar no link. Não armazenado

XSS STORED Payload salvo no DB, servido a todos os usuários. Mais perigoso. Sem interação da vítima

XSS DOM Manipulação do DOM client-side. Nunca chega ao servidor. Mais difícil de detectar com WAF

SQLi ' OR 1=1 --, UNION SELECT, blind (time-based, boolean). Mitigação: prepared statements, ORM

SSTI Server-Side Template Injection. {{7*7}} em templates (Jinja2, Twig). Pode levar a RCE

CMD INJECT ; whoami, | cat /etc/passwd, && id. Input não sanitizado em comandos de SO

XSS Mitigation: Input validation + Output encoding (HTML entities) + CSP header + HttpOnly cookies

MEMORY CORRUPTION

BUFFER OVERFLOW Escrita além do limite de buffer. Sobrescreve EIP/RIP. Payload: NOP sled + shellcode. Mitigation: ASLR, DEP/NX, Stack Canaries, SafeSEH

HEAP OVERFLOW Corrompe estruturas no heap. Use-After-Free, double-free. Exploits de browser são comuns

INTEGER OVERFLOW Wrap-around aritmético. Pode bypassar verificação de tamanho → heap overflow

FORMAT STRING printf(user_input) sem %s. Lê/escreve memória arbitrária via %n, %x

Proteções:

ASLR DEP/NX Stack Canary PIE RELRO CFI SafeStack

OUTRAS VULNS IMPORTANTES

CSRF Força usuário autenticado a executar ação. Img tag ou form auto-submit. Mitigação: CSRF token, SameSite=Strict, Referer check

SSRF Server faz req a 169.254.169.254 (AWS metadata), localhost, rede interna. Mitigação: whitelist, bloquear ranges privados

PATH TRAVERSAL ../../etc/passwd, %2F%2F, URL encoding. Mitigação: canonicalização antes de validar, basename()

LFI/RFI include($_GET['page']). LFI inclui arquivos locais (log poisoning → RCE). RFI inclui URL remota

IDOR GET /user?id=1337 → troca p/ id=1338. Falta de verificação de autorização. A01 do OWASP

PRIV ESC Horizontal (acessa recursos de outro user mesmo nível). Vertical (user → admin/root)

SUPPLY CHAIN Typosquatting de pacotes npm/pip, dependency confusion, comprometimento de repositório

TIPOS DE CONTROLES

POR CATEGORIA

GERENCIAL Políticas, risk assessment, governance

OPERACIONAL Treinamento, revisão manual, IR

TÉCNICO Firewall, IDS, criptografia, MFA

POR FUNÇÃO

PREVENTIVO Evita o incidente

DETECTIVO Identifica quando ocorreu

RESPONSIVO Reage ao incidente

CORRETIVO Restaura estado normal

COMPENSATÓRIO Alternativa ao controle primário

DISSUASÓRIO Desencoraja o atacante

PATCH MANAGEMENT

Ciclo: Identificar → Avaliar → Testar → Implementar → Validar → Documentar

Teste em Homologação: NUNCA direto em produção. Verificar quebra de dependências

Rollback Plan: Snapshot antes do patch. Janela de reversão documentada

Janelas de Manutenção: Acordadas com o negócio. Change Advisory Board (CAB)

Exceções: Sistemas que não podem ser patchados devem ter controles compensatórios documentados (virtual patching via WAF/IPS)

Virtual Patching: WAF/IPS bloqueia exploração enquanto patch oficial não está disponível

GESTÃO DE RISCO

ACEITAR Risco baixo ou custo de mitigação > impacto. Documentar e monitorar

TRANSFERIR Seguro cibernético, terceirização, cláusulas contratuais

EVITAR Eliminar a atividade geradora de risco. Desativar serviço desnecessário

MITIGAR Implementar controles p/ reduzir probabilidade ou impacto

SUPERFÍCIE DE ATAQUE

Attack Surface Mgmt (ASM): Descoberta contínua de ativos expostos. Edge discovery, passive recon

Bug Bounty: Pesquisadores reportam vulns. HackerOne, Bugcrowd. Responsible disclosure

Redução: Desativar portas/serviços desnecessários, remover software legado, fechar cloud ports

SECURE CODING PRACTICES

Input Validation: Whitelist > blacklist. Validar tipo, tamanho, formato, range. Nunca confiar no cliente

Output Encoding: HTML entities, JS encoding, SQL escaping conforme contexto. Previne injeções

Prepared Statements: Separa SQL de dados. PDO, parameterized queries. Elimina SQLi

Session Management: Tokens aleatórios (128+ bits), rotação pós-auth, expiração, invalidação no logout, Secure + HttpOnly flags

Error Handling: Mensagens genéricas p/ usuário. Detalhes apenas em logs internos. Sem stack traces expostos

Threat Modeling: STRIDE (Spoofing/Tampering/Repudiation/Info Disclosure/DoS/Elevation). PASTA, DREAD. Fase de design

SDLC Seguro: Security requirements → secure design → code review → SAST/DAST → pentest → prod

CYBER KILL CHAIN — LOCKHEED MARTIN

01

RECONHECIMENTO

OSINT, varreduras, LinkedIn, Shodan

→

02

WEAPONIZAÇÃO

Cria exploit + payload. Metasploit, custom malware

→

03

ENTREGA

Phishing, watering hole, USB, supply chain

→

04

EXPLORAÇÃO

Executa vuln no alvo. CVE, 0-day, macro, browser

→

05

INSTALAÇÃO

Backdoor, rootkit, RAT. Persistência no sistema

→

06

C&C

Canal de controle. HTTP, DNS, ICMP tunneling

→

07

AÇÕES/OBJETIVOS

Exfil, ransomware, lateral movement, sabotagem

EXAM TIP: Cada fase = oportunidade de detecção e interrupção. Defesa em profundidade atua em múltiplas fases simultaneamente. Quanto mais cedo a interrupção, menor o impacto.

MITRE ATT&CK FRAMEWORK

RECONHECIMENTO

T1595 Active ScanT1589 Gather IdentityT1590 Network Info

INITIAL ACCESS

T1566 PhishingT1190 Exploit Public AppT1133 External RDP/VPN

EXECUTION

T1059 Command LineT1204 User ExecutionT1053 Scheduled Task

PERSISTENCE

T1547 Boot AutorunT1136 Create AccountT1505 Server Software

PRIV ESCAL

T1548 Abuse ElevationT1055 Process InjectT1068 Exploit Vuln

DEFENSE EVASION

T1036 MasqueradingT1070 Clear LogsT1027 Obfuscation

CREDENTIAL ACCESS

T1003 OS CredentialT1110 Brute ForceT1056 Input Capture

LATERAL MOVEMENT

T1021 Remote ServicesT1550 Pass-the-HashT1534 Internal Spear

EXFILTRATION

T1041 C2 ChannelT1048 Alt ProtocolT1567 Web Service

attack.mitre.org — Usado para: detecção, threat hunting, avaliação de ferramentas, red team planning, gap analysis

OUTROS FRAMEWORKS

DIAMOND MODEL 4 vértices: Adversário ↔ Capacidade ↔ Infraestrutura ↔ Vítima. Análise holística de intrusão. Pivotamento entre atributos p/ atribuição

OSSTMM Open Source Security Testing Methodology Manual. Mede superfície de ataque quantitativamente via RAV (Risk Assessment Value). Cobre: rede, pessoas, física, telecom, wireless

OWASP WSTG Web Security Testing Guide v4.2. Metodologia completa p/ teste de web apps. 12 categorias, 91 casos de teste documentados

PTES Penetration Testing Execution Standard. 7 fases: Pre-engagement → Intel Gathering → Threat Modeling → Vuln Analysis → Exploitation → Post-Exploitation → Reporting

NIST SP 800-115 Technical Guide to Information Security Testing. Framework governamental p/ assessment

FASES DO IR (NIST SP 800-61)

1. PREPARAÇÃO Plano de IR, playbooks, ferramentas, treinamento, tabletop exercises, BC/DR

2. DETECÇÃO & ANÁLISE Identificar o incidente, coletar IoCs, analisar logs, determinar escopo e impacto

3. CONTENÇÃO Short-term (isolar host) e long-term (remontar imagem, patchear). Preservar evidências ANTES de erradicar

4. ERRADICAÇÃO Remover malware, fechar backdoors, resetar credenciais comprometidas, corrigir vuln

5. RECUPERAÇÃO Restaurar sistemas, monitorar intensivamente, validar que a ameaça foi eliminada

6. PÓS-INCIDENTE Análise forense, RCA, lições aprendidas, atualizar plano de IR

FORENSE DIGITAL — EVIDÊNCIAS

Ordem de Volatilidade (RFC 3227):

1° Registradores de CPU, cache

2° Memória RAM (processo em execução)

3° Tabelas de roteamento, ARP cache, tabela de processos, estatísticas do kernel

4° Informações temporárias do sistema

5° Disco (arquivos, logs)

6° Logs remotos e monitoramento

7° Configurações físicas, topologia de rede

8° Mídia de arquivamento (backups)

⚠ Coletar sempre do mais volátil p/ o menos volátil. RAM ANTES de desligar o sistema.

CADEIA DE CUSTÓDIA & FORENSE

Chain of Custody: Documentar: quem coletou, quando, onde, como. Quem acessou e quando. Essencial para admissibilidade legal

Hash das Evidências: sha256sum antes e depois da coleta. Prova de integridade. Imagem forense ≠ arquivo copiado

Write Blockers: Hardware/software que impede gravação na mídia original durante aquisição

Legal Hold: Preservação de evidências por requisito legal. Não deletar, não modificar, não sobrescrever

Ferramentas Forenses: FTK, Autopsy (disk), Volatility (memory), Velociraptor (DFIR em escala), KAPE

Timeline Analysis: Reconstruir sequência de eventos. Log2Timeline/Plaso p/ artefatos forenses múltiplos

PREPARAÇÃO PRÉ-INCIDENTE

Plano de IR: Papéis, responsabilidades, critérios de declaração, árvores de escalonamento, contatos

Playbooks: Runbooks específicos por tipo (ransomware, phishing, data breach, DDoS, insider). Reduz erros sob pressão

Tabletop Exercise: Simulação de cenário sem impacto real. Testa o plano, identifica gaps. Annual minimum

Red Team vs Blue Team: Red simula atacante real (purple team = colaborativo). Testa controles na prática

BC/DR: RTO (Recovery Time Objective), RPO (Recovery Point Objective). Backups 3-2-1 (3 cópias, 2 mídias, 1 offsite)

Crisis Comms: Templates prontos p/ comunicação interna, jurídico, PR, reguladores, clientes

PÓS-INCIDENTE

Análise Forense: Investigação técnica profunda. Reconstruir timeline, identificar todas as máquinas afetadas, extensão do comprometimento

RCA — Análise de Causa Raiz: 5 Whys, Fishbone/Ishikawa. Identificar a falha fundamental (técnica, processual ou humana)

Lições Aprendidas: Reunião pós-incidente (72h - 2 semanas após resolução). O que funcionou? O que falhou? O que mudar?

Atualizar Playbooks: Incorporar aprendizados. Atualizar IoCs, regras de detecção, procedimentos

Relatório Final: Executivo + técnico. Timeline, impacto, evidências, recomendações, lessons learned

COMPONENTES DO RELATÓRIO

Vulnerabilidades: CVE/ID, descrição, evidência, CVSS score, sistemas afetados

Hosts Afetados: Mapeamento de quais sistemas têm quais vulns. Prioridade = críticos + expostos

Risk Score: CVSS base + ajustes contextuais (exploitability, asset value, exposure)

Mitigação: Ação específica: "Aplicar KB5025221", "Desabilitar SMBv1", "Reconfigurar porta 8080"

Recorrência: Vuln que retorna após correção = falha no processo de patch/config management

Priorização: CRITICAL → HIGH → MEDIUM → LOW. Considerar EPSS + asset value + exposure

INIBIDORES DE REMEDIAÇÃO

MOU	Memorando de Entendimento. Acordo informal que pode limitar ações
SLA	Contrato de nível de serviço. Janelas de manutenção restritas
GOVERNANCE	Processos de aprovação adicionam latência (CAB, Change Board)
BIZ IMPACT	Sistema crítico sem tolerância a downtime p/ patching
DEGRADAÇÃO	Patch quebra funcionalidade dependente. Requer teste extensivo
LEGADO	Sistema EoL sem patches disponíveis. Virtual patching como alternativa
PROPRIETÁRIO	Vendor não fornece atualizações. Exige negociação ou substituição

KPIs & MÉTRICAS

MTTD Mean Time to Detect — do início do incidente à detecção

MTTR Mean Time to Respond — da detecção ao início da resposta

MTTRem Mean Time to Remediate — da detecção à resolução completa

TOP 10 Vulnerabilidades mais frequentes ou críticas no ambiente

ZERO-DAYS KPI especial por urgência e risco elevado sem patch

TENDÊNCIAS Redução (melhora) ou aumento (piora) ao longo do tempo

SLOs Service Level Objectives — metas de tempo de remediação por severidade

Alert Volume: Alto FP = tuning necessário. Baixo volume pode indicar cobertura insuficiente

ESTRUTURA DO RELATÓRIO DE IR

Resumo Executivo: Alto nível p/ C-suite. O que aconteceu, impacto no negócio, ações tomadas, status atual

5W1H: Quem (envolvidos), O quê (ataque), Quando (timeline), Onde (sistemas), Por quê (motivação/vuln explorada), Como (método)

Timeline: Sequência cronológica de eventos. Do comprometimento inicial até contenção. Em UTC

Impacto: Dados exfiltrados (tipo, volume, sensibilidade), sistemas afetados, downtime, impacto financeiro e reputacional

Evidências: Logs, screenshots, hashes, artefatos forenses. Cadeia de custódia documentada

Recomendações: Ações técnicas e procedurais p/ prevenir recorrência. Curto/médio/longo prazo

COMUNICAÇÕES POR PÚBLICO

JURÍDICO	Obrigações legais de notificação, responsabilidade civil, evidências p/ processo
RELAÇÕES PÚB	Comunicação controlada c/ mídia. Não confirmar detalhes antes de conter
CLIENTES	Notificação se dados foram expostos. Transparência + ações tomadas
REGULADORES	ANPD (LGPD), BACEN, ANS, CVM conforme setor. Prazo: 72h LGPD
BOARD/CEO	Impacto financeiro + reputacional + legal. Briefing executivo
POLICIA	Crimes cibernéticos → Polícia Federal (Brasil). Preservar evidências. CERT.br

⚠ LGPD: notificação à ANPD obrigatória em caso de incidente com risco relevante, em prazo razoável (interpretado como 72h)

PORTAS & PROTOCOLOS

20/21	FTP (inseguro, use SFTP/FTPS)
22	SSH / SFTP / SCP
23	Telnet (NUNCA usar)
25/587	SMTP (25=relay, 587=submission)
53	DNS (UDP/TCP)
80/443	HTTP / HTTPS
110/995	POP3 / POP3S
143/993	IMAP / IMAPS
389/636	LDAP / LDAPS
445	SMB (EternalBlue!)
514	Syslog UDP
3389	RDP (exposição = risco alto)
5985/5986	WinRM / WinRM HTTPS

CRIPTOGRAFIA RÁPIDA

AES-256	Simétrico, padrão ouro
RSA-2048+	Assimétrico, PKI, TLS
ECC	Menor chave, mesmo nível de segurança
SHA-256/512	Hashing seguro. NUNCA MD5/SHA1 p/ segurança
bcrypt/Argon2	Hashing de senhas. Sal + iterações
TLS 1.2/1.3	1.3 = mais rápido, mais seguro, sem cipher fracos
PBKDF2	Key derivation. FIPS 140-2 approved
3DES	Deprecated. Evitar.
DES/RC4	QUEBRADO. Não usar jamais.

ACRÔNIMOS QUE MAIS CAI

SOC	Security Operations Center
SIEM	Security Info & Event Mgmt
SOAR	Security Orchestration, Automation & Response
EDR	Endpoint Detection & Response
XDR	Extended Detection & Response
MDR	Managed Detection & Response
CASB	Cloud Access Security Broker
SASE	Secure Access Service Edge
ZTNA	Zero Trust Network Access
PAM	Privileged Access Management
DLP	Data Loss Prevention
WAF	Web Application Firewall
IDS/IPS	Intrusion Detection/Prevention
UEBA	User & Entity Behavior Analytics

TÉCNICAS DE EVASÃO (Red/Blue)

OBFUSCAÇÃO PowerShell encoded (-EncodedCommand), base64, XOR, packed executables

TIMESTOMPING Modificar timestamps de arquivo p/ dificultar forense

LOLBins Abusar binários legítimos do SO: certutil, mshta, regsvr32, wmic, bitsadmin

FILELESS Malware só em memória, nunca em disco. PowerShell, WMI, registry

ROOTKIT Oculta processos, arquivos, conexões. Ring 0 (kernel) ou Ring 3 (user mode)

STEGANOGRAPHY Dados escondidos em imagens/audio. Exfiltração covert

DNS TUNNEL Exfiltração/C2 via queries DNS. Difícil de bloquear sem DNS inspection

COMPLIANCE & REGULATÓRIO

PCI DSS v4 Proteção de dados de cartão. 12 requisitos. Varredura trimestral. Pentest anual

LGPD Lei Geral de Proteção de Dados (BR). Controlador/Operador. DPO. Notificação breach

GDPR General Data Protection Regulation (EU). 72h p/ notificação. Multa: 4% do faturamento

HIPAA Saúde (EUA). PHI. Safeguards: administrative, physical, technical

SOX Sarbanes-Oxley (EUA). Controles internos de TI p/ integridade financeira

FISMA Federal agencies (EUA). NIST SP 800-53. Categorização FIPS 199

COMANDOS ÚTEIS (Lab)

nmap -sV -sC -O -p- target
nmap --script vuln target
tcpdump -i eth0 -w cap.pcap
strings malware.exe | grep http
sha256sum file.exe
volatility -f mem.raw imageinfo
ps aux | grep suspicious
netstat -antp | grep LISTEN
find / -perm -4000 2>/dev/null
cat /etc/crontab; ls /etc/cron*
reg query HKLM\...\Run
schtasks /query /fo LIST /v