Objetivos de Aprendizagem

• Implementar técnicas de anonimização (proxies, e-mails/SMS temporários).
• Compreender e aplicar engenharia reversa para análise de malware.
• Usar sandboxes para isolar e analisar ameaças.
• Executar recuperação de dados com ferramentas como TestDisk e PhotoRec.
• Identificar e mitigar ameaças avançadas (APTs, MITM, DeepFakes, Zero-Day).
• Aplicar princípios forenses (integridade, cadeia de custódia) em investigações.
• Proteger contêineres Docker/Kubernetes com práticas de segurança.
• Conhecer aspectos legais (Marco Civil, LGPD) e recursos adicionais (CTFs, certificações).

1. Anonimização na Prática

Anonimização protege a identidade em testes éticos e cadastros online, evitando rastreamento e spam.

• Proxychains: Roteia tráfego por proxy SOCKS/TOR.

  sudo apt install proxychains-ng
  # Configurar /etc/proxychains4.conf com proxy (ex.: socks5 127.0.0.1 9050)
  proxychains4 nmap -sT 192.168.1.100

  Explicação: Anonimiza varredura Nmap via proxy/TOR.

• E-mails Temporários: Usar serviços como temp-mail.org.

  curl -s 'https://api.temp-mail.org/request/mail/id/XYZ'

  Explicação: Obtém e-mails temporários via API para cadastros.

• SMS Descartável: Usar temp-sms.org para verificações.

  Exemplo: Acesse temp-sms.org, escolha número temporário e receba SMS para validação sem expor dados pessoais.

• Ofuscação de E-mail: Escrever como “fulano [at] xgmail [dot] com” ou usar imagem em vez de texto.

  Explicação: Evita captura por bots de spam.

• TOR Browser: Navegação anônima.

  tor-browser --start

  Explicação: Usa rede TOR para ocultar IP e localização.

2. Engenharia Reversa

Analisa software para entender sua lógica, identificar vulnerabilidades ou estudar malware.

• Strings: Extrai textos de binários.

  strings -n 5 programa.bin | grep -i "password"

  Explicação: Busca strings relacionadas a senhas em binários.

• Objdump: Desassembla código.

  objdump -d programa.bin | less

  Explicação: Mostra instruções assembly para análise.

• Ghidra: Descompilação avançada.

  analyzeHeadless projeto ghidra_proj -import programa.bin -scriptPath scripts/analyze.py

  Explicação: Importa binário e executa script de análise automatizada.

• GDB: Depuração de executáveis.

  gdb programa.bin
  (gdb) break main
  (gdb) run
  (gdb) step

  Explicação: Depura passo a passo, analisando fluxo do programa.

• Radare2: Ferramenta open-source para engenharia reversa.

  r2 programa.bin
  [0x08048400]> aaa
  [0x08048400]> pdf @ main

  Explicação: Analisa binário e desassembla função main.

• Ofuscação: Malware polimórfico usa renomeação de variáveis e saltos falsos.

  Exemplo: Código C ofuscado com nomes irrelevantes (ex.: x1yz para variáveis).

3. SandBox

Isola processos para análise segura de malware.

• Firejail: Sandboxing em Linux.

  sudo apt install firejail
  firejail --noprofile --net=none firefox

  Explicação: Executa Firefox sem acesso à rede, isolando ameaças.

• Cuckoo Sandbox: Análise automatizada.

  docker run -d -p 8000:8000 cuckoosandbox/cuckoo
  cuckoo submit --file malware.exe

  Explicação: Analisa comportamento de malware em VM.

• REMnux: Distro para análise de malware.

  docker run -d -p 22:22 remnux/remnux-distro

  Explicação: Fornece ambiente pré-configurado com ferramentas como Ghidra e Volatility.

4. Recuperação de Dados

Restaura dados perdidos por exclusão, falhas ou ataques.

• Recuva: Interface simples para Windows.

  recuva.exe /path/to/drive

  Explicação: Recupera arquivos deletados com pré-visualização.

• TestDisk: Recupera partições e MBR.

  sudo testdisk /dev/sda
  # Selecionar: Analyse > Quick Search > Write

  Explicação: Restaura tabelas de partição danificadas.

• PhotoRec: Recupera arquivos de discos corrompidos.

  sudo photorec /dev/sda
  # Selecionar disco e tipo de arquivo

  Explicação: Recupera arquivos por assinatura, ignorando filesystem.

• Best Practice: Interromper uso do disco e criar imagem forense:

  dd if=/dev/sda of=backup.img bs=4M conv=sync,noerror

  Explicação: Preserva disco original para análise.

5. Ameaças Cibernéticas Avançadas

5.1 APTs

Ataques furtivos e prolongados, como Stuxnet. Mitigação com SIEM e EDR (ex.: Wazuh).

wazuh-agent --enroll 192.168.1.100

Explicação: Configura agente Wazuh para monitoramento de endpoints.

5.2 Man-in-the-Middle (MITM)

• ARP Spoofing:

  sudo arpspoof -i eth0 -t 192.168.1.100 192.168.1.1

  Explicação: Envenena tabela ARP para interceptar tráfego.

• DNS Spoofing:

  sudo dnsspoof -i eth0 -f /etc/hosts.txt

  Explicação: Redireciona consultas DNS para IPs maliciosos.

• SSL Stripping:

  sudo bettercap --proxy-module sslstrip -I eth0

  Explicação: Força downgrade de HTTPS para HTTP.

• Evil Twin:

  sudo airbase-ng -e "WiFiFalsa" -c 6 wlan0mon

  Explicação: Cria AP falso para capturar credenciais.

• Mitigação: TLS 1.3, HSTS, VPN, 2FA.

  echo "Header always set Strict-Transport-Security 'max-age=31536000'" >> /etc/nginx/nginx.conf

  Explicação: Ativa HSTS para forçar HTTPS.

5.3 DeepFakes

Detecção com IA e ferramentas específicas.

deepware scan video.mp4

Explicação: Analisa vídeos para identificar manipulações por IA.

5.4 Zero-Day Exploit

Exemplo: Log4J (CVE-2021-44228).

nmap --script log4j-detect 192.168.1.0/24

Explicação: Varre sub-rede por vulnerabilidades Log4J.

5.5 DoS & DDoS

• UDP Flood:

  hping3 --udp --flood -c 10000 192.168.1.100

  Explicação: Sobrecarrega alvo com pacotes UDP.

• Mitigação: Rate limiting com iptables.

  iptables -A INPUT -p udp --dport 80 -m limit --limit 25/second -j ACCEPT

  Explicação: Limita tráfego UDP para mitigar flood.

5.6 Buffer Overflow

#include 
int main() {
  char buf[10];
  gets(buf); // Vulnerável
  printf("Input: %s\n", buf);
  return 0;
}
# Compilar sem proteções
gcc -fno-stack-protect -z execstack vuln.c -o vuln
# Exploit exemplo
echo "AAAABBBB\xef\xbe\xad\xde" | ./vuln

Explicação: Sobrescreve retorno da função para endereço malicioso.

5.7 DNS Poisoning

dnsspoof -i eth0 -f /etc/hosts.txt

Explicação: Corrompe cache DNS para redirecionar tráfego.

Mitigação: Habilitar DNSSEC.

echo "dnssec-enable yes" >> /etc/bind/named.conf.options

5.8 SQL Injection

sqlmap -u "http://alvo.com?id=1" --dbs

Explicação: Enumera bancos de dados via injeção SQL.

5.9 XSS

# XSS Armazenado

# Mitigação com CSP
echo "Content-Security-Policy: script-src 'self'" >> /etc/nginx/nginx.conf

Explicação: CSP restringe execução de scripts não autorizados.

6. Segurança em Contêineres

Protege Docker, Kubernetes e runtime contra ameaças.

• Docker Bench: Auditoria de segurança.

  docker run --net host --pid host --userns host --cap-add audit_control \
    -v /var/lib:/var/lib docker/docker-bench-security

  Explicação: Verifica configurações inseguras em Docker.

• Kube-Bench: Auditoria de Kubernetes.

  kubectl apply -f https://raw.githubusercontent.com/aquasecurity/kube-bench/main/job.yaml

  Explicação: Avalia conformidade com CIS Benchmarks.

• Falco: Monitoramento de runtime.

  docker run -d --privileged falcosecurity/falco

  Explicação: Detecta comportamentos anormais em contêineres.

• Sysdig: Monitoramento avançado.

  sysdig -c spy_users

  Explicação: Monitora atividades de usuários em contêineres.

• Best Practice: Não rodar como root, usar imagens confiáveis.

  docker run --user 1000 -v /data:/data:ro vuln/web-dvwa

  Explicação: Executa contêiner como usuário não-root com volume read-only.

7. Computação Forense

7.1 Princípios

• Integridade: Validar com hash SHA-256.

  sha256sum imagem.dd > imagem.sha256

• Cadeia de Custódia: Documentar manipulação.

  echo "Imagem coletada por Ana em 2025-06-11" >> chain_of_custody.txt

• Autenticidade/Reprodutibilidade: Garantir análises replicáveis.
• Legalidade: Cumprir Marco Civil e LGPD.
• Não Invasividade: Evitar alterações nos dados originais.

7.2 Passo a Passo

1. Identificação: Localizar evidências.

   lsblk

   Explicação: Lista dispositivos para identificar disco alvo.

2. Isolamento: Montar read-only.

   sudo mount -o ro /dev/sda1 /mnt/evidence

   Explicação: Evita alterações no disco.

3. Preservação: Criar imagem forense.

   dd if=/dev/sda of=imagem.dd bs=4M conv=sync,noerror
   sha256sum imagem.dd > imagem.sha256

   Explicação: Gera imagem do disco e valida integridade.

4. Coleta: Usar ferramentas forenses.

7.3 Análise Forense

• Disco: Autopsy para análise de arquivos.

  autopsy -i imagem.dd

  Explicação: Analisa imagem de disco para recuperar arquivos.

• Rede: Wireshark para tráfego.

  wireshark captura.pcap

  Explicação: Examina pacotes para detectar MITM.

• Memória: Volatility para RAM.

  volatility -f memdump.raw --profile=LinuxUbuntu18_04x64 pslist

  Explicação: Lista processos ativos na memória.

• DeepFakes: Deepware Scanner.

  deepware scan audio.wav

  Explicação: Detecta manipulações em áudio.

8. Aspectos Legais

• Marco Civil da Internet (12.965/2014): Retenção de logs por 1 ano (conexão) e 6 meses (aplicação).

  logger -p local0.info "Teste de conformidade com Marco Civil"

  Explicação: Gera log para auditoria legal.

• Lei de Crimes Cibernéticos (14.155/2021): Define penalidades para invasão e roubo de dados.
• LGPD (13.709/2018): Exige consentimento para coleta de dados.

  Exemplo: Coleta forense requer ordem judicial para dados pessoais.

9. Recursos Adicionais

• Distros: Kali, ParrotSec, REMnux.

  docker run -d -p 22:22 remnux/remnux-distro

  Explicação: Implanta REMnux para análise de malware.

• CTFs: TryHackMe, HackTheBox, VulnHub.

  openvpn --config htb.ovpn

  Explicação: Conecta ao HackTheBox para desafios práticos.

• Livros: “Google Hacking for Penetration Testers”, “Practical Malware Analysis”.

  Exemplo: Busca Google Hacking: site:*.gov.br filetype:pdf confidential.

• Certificações: CEH, OSCP, CISSP, CHFI.

  Exemplo: OSCP foca em pentest prático, ideal para iniciantes.

• Pessoas: Emerson Wendt, Yuri Diogenes, Gabriel Pato.

  Exemplo: Seguir @gabrielpato no X para dicas de cibersegurança.

10. Gráfico de Exemplo

Visualização de ameaças detectadas por tipo: