Hackeie a Si Mesmo Antes que Outros o Façam: Como Ver Sua Infraestrutura com Olhos de Hacker
Descubra como o auto-pentest automatizado pode revelar vulnerabilidades críticas em sua infraestrutura de TI, permitindo que você se defenda proativamente contra ataques cibernéticos. Aprenda a identificar vetores de ataque reais e fortalecer suas defesas antes que os invasores explorem suas fraquezas.
MundiX News·15 de abril de 2026·15 min de leitura·👁 8 views
Olá a todos! Aqui é Dmitry Fedosov, chefe do departamento de segurança ofensiva do centro de expertise em segurança (PT ESC) da Positive Technologies, e Vladislav Driev, especialista líder em nossa unidade. Estamos desenvolvendo tecnologias de auto-pentest como parte do produto PT Dephaze. Hoje, queremos demonstrar claramente como a invasão automatizada de sua própria infraestrutura ajuda a identificar vetores de ataque reais que os invasores podem explorar a qualquer momento.
Desde o lançamento do PT Dephaze, nossa equipe conduziu mais de 60 "pilotos" em organizações na Rússia e em outros lugares. Analisamos essa experiência, coletamos feedback dos clientes e aprimoramos as tecnologias. Neste artigo, propomos mergulhar juntos no processo de uso do nosso sistema de auto-pentest com base na experiência de nossos usuários. Analisaremos os resultados e as opções para usá-los na proteção.
Este artigo é apenas para fins informativos e não é uma instrução ou um apelo para cometer atos ilegais. Nosso objetivo é falar sobre os recursos do pentest automatizado e mostrar quais problemas podem ser identificados com sua ajuda. Não criticamos as ferramentas de proteção proprietárias, mas apenas demonstramos os princípios gerais da realização de ataques cibernéticos e configurações típicas que não atendem aos padrões de segurança de acordo com nossa experiência. O produto PT Dephaze só pode ser usado em uma infraestrutura específica com o consentimento por escrito de seu proprietário. Os autores não são responsáveis pelo uso dessas informações para fins ilegais.
O que há dentro do produto e para quem ele é útil
Formalmente, nosso produto pertence à classe de soluções de adversarial exposure validation (AEV) de acordo com a classificação do Gartner. Ele permite que você teste automaticamente a penetração da infraestrutura interna, ajudando a controlar seu nível de segurança nos intervalos entre os pentests manuais. Para empresas que não realizam esse tipo de trabalho (e estão muito erradas), o auto-pentest fornecerá uma avaliação básica da segurança. Por sua vez, recomendamos realizar um pentest manual pelo menos uma vez por ano.
A arquitetura de nossas tecnologias possui dois componentes principais. O primeiro é o servidor; na verdade, para o usuário, é uma interface web para iniciar e gerenciar pentests. Normalmente, um segmento separado na infraestrutura é alocado para ferramentas de proteção - é aqui que implantamos o servidor. O acesso à rede pode ser configurado de acordo com a política de segurança da informação da empresa, apenas para usuários do produto.
O segundo componente são os nós de ataque que emulam as atividades dos pentesters. Os segmentos de sua implantação dependem do modelo de invasor que se supõe ser testado. Isso pode ser, por exemplo, um segmento de usuário onde os ARMs dos funcionários estão localizados, um segmento DMZ ou um dos segmentos de organizações subsidiárias, se estivermos falando de uma grande empresa. Os nós de ataque geralmente não exigem acesso adicional à rede - as configurações padrão que operam no segmento são adequadas. Se você precisar cobrir mais sistemas com verificações, inclusive de outros segmentos, poderá expandir o acesso à rede. Outras whitelists, por exemplo, para trabalhar com antivírus e soluções de proteção de endpoint, não são necessárias.
O tempo para implantar o produto no modo piloto depende da escala da infraestrutura e dos processos construídos na organização. Por exemplo, um de nossos clientes levou apenas dois dias para iniciar o primeiro auto-pentest em uma configuração com um nó de ataque.
Para quem o auto-pentest simplificará o trabalho
Os principais usuários são representantes da blue team. Normalmente, são especialistas que usam scanners de segurança e estão envolvidos em processos de VM (gerenciamento de vulnerabilidades, Vulnerability Management). Portanto, simplificamos ao máximo o processo de operação do produto e interpretação dos resultados.
O produto de auto-pentest também será útil para a red team interna, que simula ataques à infraestrutura para encontrar falhas e determinar as etapas para fortalecer a segurança cibernética. Se você precisar realizar verificações do mesmo tipo em um grande segmento, por que não automatizar essa tarefa?
Iniciando o Auto-Pentest
Vamos executar um lançamento em um ambiente de laboratório. Equipamos com servidores e serviços adicionais para aproximar ao máximo a infraestrutura de teste das condições reais.
Aqui tudo é simples:
Inventamos um nome para não esquecer o que é essa verificação e onde ela está ocorrendo.
Escolhemos o modo de coordenação do pentest.
2.1. No modo "Todas as ações", cada etapa será coordenada com o operador do sistema, nenhum ataque será executado sem confirmação explícita.
2.2. No modo "Apenas perigosas", apenas as ações que levam a consequências destrutivas serão coordenadas, por exemplo, bloquear uma conta ou falhar em um sistema. Todas as ameaças são marcadas com base em nossa experiência. A interface possui descrições das possíveis consequências, o que permite avaliar os riscos antes da confirmação explícita.
2.3. No modo "Sem coordenação", todos os ataques possíveis que estão incorporados no produto serão executados. Não recomendamos usar este modo em uma infraestrutura real, é mais adequado para ambientes de laboratório.
Escolhemos o agente e a interface de rede. Se a empresa for grande, você pode colocar um nó de ataque em cada filial. Além disso, é possível conectar várias interfaces de rede a cada nó. Isso é conveniente quando uma filial tem muitas redes (visitante, produção, usuário e outras) e você precisa verificar diferentes modelos de invasores.
Inserimos a área de teste, indicando o intervalo de endereços IP. Você pode adicionar várias áreas e excluir nós confidenciais.
Especificamos parâmetros adicionais do pentest, se você precisar ajustar algo para si mesmo. Aqui você pode ajustar a política de senha para minimizar as chances de bloquear contas, portas adicionais, frequência de varredura. Neste caso, deixaremos o conjunto padrão de parâmetros.
Podemos adicionar uma conta - isso não é necessário, mas pode permitir que você faça verificações de caixa cinza de acordo com o modelo de invasor interno. As credenciais do Active Directory, PostgreSQL, Windows, SMB, SSH são suportadas. Vamos executar este pentest como uma caixa preta sem contas.
Podemos designar metas de teste específicas - também não é necessário. Você pode definir uma verificação de disponibilidade de rede e/ou executar um comando em um nó específico. Após a conclusão de todas as operações, o pentest será interrompido. Se você não especificar metas, a varredura será abrangente e mostrará como explorar todas as vulnerabilidades e recursos de configuração encontrados na infraestrutura. Neste caso, não designaremos metas.
Clique em "Executar" e pronto!
Vamos esperar um pouco até que haja os primeiros resultados.
Quanto tempo esperar
É banal, mas é um fato: o tempo para concluir o teste no GOAD depende do tamanho do segmento, dos parâmetros de verificação, do modo de coordenação de ações, da velocidade da rede, do número de serviços disponíveis e do número de vulnerabilidades identificadas.
No entanto, a experiência dos "pilotos" mostra que um resultado significativo, por exemplo, na forma de maximizar os privilégios no domínio do Active Directory, ao usar os parâmetros de lançamento padrão, pode ser obtido em um período de duas horas a vários dias. Se você precisar testar todos os sistemas, verificar a possibilidade de implementar diferentes vetores de ataque, vale a pena alocar até sete dias, inclusive fins de semana. Alguns scripts de automação podem ser executados fora do horário de expediente e você precisa verificar se há falhas de segurança aqui e se eles podem ser usados em ataques.
Resultados do Auto-Pentest
Esperamos cerca de 30 minutos. Vamos ver o que conseguimos encontrar durante esse tempo. Visualmente, já entendemos que existem alguns resultados que precisam ser examinados com mais detalhes.
Mas é melhor percorrer todas as seções em ordem e considerar tudo com atenção.
Aba "Deficiências"
Aqui são exibidos todos os problemas detectados. Por padrão, eles são divididos em dois tipos: configurações inseguras e vulnerabilidades. Toda a lista de deficiências detectadas pode ser descarregada em formato CSV para posterior processamento manual ou automatizado, por exemplo, integração com vários sistemas.
Ao clicar em qualquer linha, um cartão com detalhes é aberto. Vamos "mergulhar" na vulnerabilidade no telnetd. Vemos o identificador e entendemos que essa deficiência é uma vulnerabilidade. Também vemos o nó vulnerável, recomendações de proteção e ações de ataque nas quais foi usado. Se a deficiência também for usada em outros cenários, uma entrada sobre isso aparecerá no campo correspondente - não será necessário procurar interseções manualmente.
A propósito, a deficiência no telnetd tornou-se conhecida no início de 2026. Este componente é frequentemente usado na infraestrutura interna, e a vulnerabilidade descoberta tem um exploit público - os dados sobre ele são relevantes para a maioria das infraestruturas. Portanto, nós o adicionamos rapidamente ao produto. Monitoramos continuamente as deficiências de tendências e as ameaças cibernéticas atuais, analisamos os resultados de pentests manuais e projetos de segurança cibernética eficazes. A experiência adquirida é rapidamente integrada ao nosso produto.
Clique na ação de ataque - chegamos a um cartão separado. Aqui vemos o que foi feito especificamente durante a verificação, em qual nó, qual o nível de perigo da vulnerabilidade e como é recomendável organizar o monitoramento do nó. Também indica a hora exata da verificação, para que você possa encontrar os eventos necessários no sistema de proteção de informações e garantir que tudo esteja funcionando corretamente.
Aba "Auditoria de Senhas"
O acesso a várias contas foi obtido - a lista também pode ser descarregada em CSV. Isso é conveniente e pode ser útil para alterar as senhas de contas comprometidas após a realização do pentest.
A primeira conta foi comprometida por meio de uma vulnerabilidade no Kyocera MFP usando um exploit disponível publicamente. Aqui também lemos uma descrição das ações de ataque e vemos os dados de entrada e saída. Entendemos que durante a exploração, a conta de usuário baba.yaga foi hackeada.
Clique na deficiência para estudar as recomendações para sua eliminação.
Aba "Coordenação"
Ações que devemos aprovar ou rejeitar apareceram. Por exemplo, extrair credenciais da memória LSASS - um processo nos sistemas operacionais Windows. Vemos o nível de perigo e as possíveis consequências.
Neste caso, os riscos são aceitáveis para nós e podemos concordar com as ações propostas. Indicamos quem especificamente concorda, para que não haja confusão, deixamos um comentário, se desejado.
Aba "Ameaças"
No processo de auto-pentest, foi possível obter controle total sobre vários nós e recursos de domínio, bem como acessar informações importantes. A interface tem informações sobre quantas vezes isso foi feito e em quantos nós.
Vamos clicar na aba "Controle total sobre os recursos de domínio" para saber os detalhes. Vemos que para atingir o objetivo, o centro de certificação foi atacado explorando a técnica ESC4. Em seguida, uma nova conta foi criada usando um certificado, após o que foi adicionada a um grupo privilegiado. Em seguida, foi possível realizar um ataque DCSync, que permite se passar por um controlador de domínio e obter hashes de qualquer usuário, neste caso, todos os privilegiados.
Pode-se "mergulhar" em cada uma das ações e estudá-la com mais detalhes.
Além disso, nesses cartões há links para cadeias de ataque. Vamos nos referir à cadeia de ataque que é especificada na perícia "Criar um usuário de domínio e adicioná-lo a um grupo privilegiado". Em geral, parece o que é apresentado abaixo; cada ação no gráfico é necessária para que uma das seguintes seja executada.
Qualquer cenário começa com uma varredura rápida para estudar a arquitetura de rede. A identificação de serviços, a busca por controladores de domínio é realizada. Depois disso, a perícia é realizada nos serviços detectados. O esquema permite estudar a lógica do ataque e rastrear a sequência de etapas. Neste caso, vemos imediatamente a varredura da infraestrutura e a exploração da vulnerabilidade CVE-2022-1026 para obter uma conta. Anteriormente, já havíamos examinado esse ataque em detalhes.
Todas as credenciais de domínio que o produto recebe são primeiro validadas no controlador e somente depois disso - nos nós restantes. Isso é feito para proteger contra o bloqueio de contas.
Vemos que o dump dos ramos do registro HKLM\SAM e HKLM\SECUIRITY foi executado no nó 10.50.31.84.
Se você abrir o cartão de ação, verá: o dump foi feito em nome da conta baba.yaga, cujo acesso obtivemos anteriormente. Consequentemente, podemos concluir que a conta capturada tinha privilégios de administrador local no nó.
Em seguida, o produto, usando a técnica de reutilização de credenciais, obtém acesso privilegiado a outro nó de domínio. E executa um dump dos ramos do registro lá.
Ao abrir o cartão de ação, entendemos que o NT-hash do administrador local foi reutilizado.
Em seguida, vemos a validação das contas recebidas e a exploração da técnica ESC4.
Depois de revisar as ações correspondentes, entendemos que como resultado do segundo dump do registro, a conta kbarabas foi obtida.
Como resultado, a técnica ESC4 foi aplicada com sucesso, um certificado foi obtido em nome de um usuário privilegiado. Com sua ajuda, uma nova conta foi criada e adicionada a um grupo privilegiado.
Aba "Artefatos"
Aqui é coletado tudo o que é gerado durante o auto-pentest. Por exemplo, no processo de nossa verificação, uma tabela foi criada no PostgreSQL, duas contas e um certificado. A seção tem uma coluna separada que indica se os artefatos foram removidos ou não. Se forem removidos, nenhuma ação adicional precisa ser tomada. Caso contrário, você precisa processá-los de acordo com a política de sua organização. A lista também pode ser descarregada em CSV.
Botão "Baixar relatório"
Localizado no canto superior direito.
Clicamos e obtemos instantaneamente um relatório em formato PDF.
No início, são apresentadas informações gerais: data, parâmetros do pentest, ameaças realizadas, avaliação de segurança.
Em seguida, há uma análise dos ataques, que são divididos em bem-sucedidos e malsucedidos.
No final - uma descrição das deficiências de segurança detectadas e recomendações para sua eliminação.
E aqui vemos que um dump do processo lsass foi acionado em um dos nós. Levando em consideração que nos nós restantes terminou sem sucesso, podemos concluir que neste nó, provavelmente, algo está errado com a configuração do sistema de proteção de informações - este é um motivo para reconfigurá-lo. Pentests regulares podem ajudar a identificar tais recursos.
Não se esqueça da segurança do auto-pentest
Durante o auto-pentest, são realizadas ações que emulam ataques de um invasor. Eles podem afetar a infraestrutura, por isso levamos a questão da segurança a sério. A opção básica de coordenação de ataques permite que o operador controle o processo e evite consequências indesejáveis.
Além disso, levamos em consideração que durante a varredura, um invasor real já pode estar na infraestrutura. Não devemos facilitar a tarefa para ele. Portanto, ao aumentar os privilégios na rede, nossos algoritmos criam novas contas com senhas exclusivas. Mesmo que um nó tenha sido comprometido anteriormente, isso não dará ao cibercriminoso nenhuma informação útil.
Também controlamos a disseminação de credenciais privilegiadas dentro da infraestrutura. Por exemplo, os registros de administradores de domínio não são usados para obter acesso a cada nó do Active Directory, para que o invasor não tenha a chance de interceptá-los.
E ainda na interface, as credenciais detectadas são mascaradas - nem mesmo o operador as vê em sua totalidade. Isso ajudará a evitar vazamentos ou abusos.
Como usar os resultados das varreduras
Gerenciamento de vulnerabilidades
Os dados do auto-pentest são uma ferramenta para ajudar a resolver problemas de gerenciamento de vulnerabilidades (vulnerability management, VM). Os resultados ajudarão a priorizar corretamente as deficiências, destacar os nós e segmentos mais vulneráveis. Se você realizar essas verificações com frequência e regularidade suficiente, isso permitirá que você esteja sempre ciente da segurança real da infraestrutura.
Análise retrospectiva
Não se deve excluir a probabilidade de que os vetores de ataque detectados já tenham sido usados por invasores. Os resultados do auto-pentest também devem ser usados para análise retrospectiva, para garantir que este vetor não tenha sido usado por ninguém além do produto e dos pentesters. Além disso, essa análise deve ser realizada em toda a profundidade do registro. Se for descoberto que vulnerabilidades semelhantes já foram exploradas e estes não são os resultados de um pentest ou red teaming, então é necessário procurar urgentemente ajuda da equipe de resposta a incidentes (Incident Response).
Configuração de ferramentas de proteção
Soluções da classe EPP (endpoint protection platform) e EDR (endpoint detection and response).
Com a ajuda do auto-pentest, você pode verificar diretamente se esses produtos estão sendo acionados em nós específicos e se estão configurados corretamente. Por exemplo, o PT Dephaze, usando ferramentas padrão, tenta extrair credenciais do processo lsass, que é considerado um dos mais protegidos nos sistemas operacionais Windows. Em uma grande infraestrutura, muitas vezes encontramos nós que permitem que você possua credenciais valiosas devido à falta de proteção de endpoints ou sua configuração incorreta.
Sistemas SIEM (security information and event management).
Em um dos "pilotos", os colegas, com a ajuda de uma solução da classe SIEM, revelaram que um administrador dphz_adm_XXXXX foi adicionado ao grupo de usuários de domínio. Assim, eles verificaram a correção do registro de logs de controladores de domínio e a operabilidade das regras de correlação. Além disso, eles verificaram na prática, revelando um potencial incidente no processo de trabalho do auto-pentest com a possibilidade de também processar o processo de resposta a ele.
Produtos da classe NTA (network traffic analysis).
Nossas tecnologias deixam rastros de sua atividade não apenas nos dispositivos finais, mas também no tráfego. Isso permite verificar o quão bem-sucedidos são os pontos de registro de tráfego na solução NTA e com que eficiência os ataques são detectados.
Conclusão
E agora vamos resumir. O auto-pentest é uma solução que é capaz de avaliar automaticamente a segurança da infraestrutura de TI e identificar vetores de ataque reais. Ele permite avaliar a qualidade da implementação de vários sistemas de proteção de informações e treinar a equipe SOC na prática, aumentando assim a prontidão para detectar e suprimir incidentes reais. Da mesma forma, você pode treinar o processo de resposta (bloquear contas capturadas e criadas, isolar hosts comprometidos, alterar as credenciais do usuário krbtgt e assim por diante) - isso permite verificar os playbooks existentes e identificar dificuldades não óbvias. Tudo isso, é claro, pode ser feito manualmente. Mas apenas a implementação do produto permite usar o pentest quando quiser (por exemplo, de manhã ou à noite em feriados) e verificar se você está realmente pronto para resistir aos hackers agora mesmo ;)
Se você estiver interessado, inscreva-se para um piloto e experimente o produto em nosso site. Venha, ficaremos felizes!
Dmitry Fedosov
Chefe do departamento de segurança ofensiva do centro de expertise em segurança (PT ESC) da Positive Technologies
Vladislav Driev
Especialista líder do departamento de segurança ofensiva do centro de expertise em segurança (PT ESC) da Positive Technologies
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Olá a todos! Aqui é Dmitry Fedosov, chefe do departamento de segurança ofensiva do centro de expertise em segurança (PT ESC) da Positive Technologies, e Vladislav Driev, especialista líder em nossa unidade. Estamos desenvolvendo tecnologias de auto-pentest como parte do produto PT Dephaze. Hoje, queremos demonstrar claramente como a invasão automatizada de sua própria infraestrutura ajuda a identificar vetores de ataque reais que os invasores podem explorar a qualquer momento.
Desde o lançamento do PT Dephaze, nossa equipe conduziu mais de 60 "pilotos" em organizações na Rússia e em outros lugares. Analisamos essa experiência, coletamos feedback dos clientes e aprimoramos as tecnologias. Neste artigo, propomos mergulhar juntos no processo de uso do nosso sistema de auto-pentest com base na experiência de nossos usuários. Analisaremos os resultados e as opções para usá-los na proteção.
Este artigo é apenas para fins informativos e não é uma instrução ou um apelo para cometer atos ilegais. Nosso objetivo é falar sobre os recursos do pentest automatizado e mostrar quais problemas podem ser identificados com sua ajuda. Não criticamos as ferramentas de proteção proprietárias, mas apenas demonstramos os princípios gerais da realização de ataques cibernéticos e configurações típicas que não atendem aos padrões de segurança de acordo com nossa experiência. O produto PT Dephaze só pode ser usado em uma infraestrutura específica com o consentimento por escrito de seu proprietário. Os autores não são responsáveis pelo uso dessas informações para fins ilegais.
O que há dentro do produto e para quem ele é útil
Formalmente, nosso produto pertence à classe de soluções de adversarial exposure validation (AEV) de acordo com a classificação do Gartner. Ele permite que você teste automaticamente a penetração da infraestrutura interna, ajudando a controlar seu nível de segurança nos intervalos entre os pentests manuais. Para empresas que não realizam esse tipo de trabalho (e estão muito erradas), o auto-pentest fornecerá uma avaliação básica da segurança. Por sua vez, recomendamos realizar um pentest manual pelo menos uma vez por ano.
A arquitetura de nossas tecnologias possui dois componentes principais. O primeiro é o servidor; na verdade, para o usuário, é uma interface web para iniciar e gerenciar pentests. Normalmente, um segmento separado na infraestrutura é alocado para ferramentas de proteção - é aqui que implantamos o servidor. O acesso à rede pode ser configurado de acordo com a política de segurança da informação da empresa, apenas para usuários do produto.
O segundo componente são os nós de ataque que emulam as atividades dos pentesters. Os segmentos de sua implantação dependem do modelo de invasor que se supõe ser testado. Isso pode ser, por exemplo, um segmento de usuário onde os ARMs dos funcionários estão localizados, um segmento DMZ ou um dos segmentos de organizações subsidiárias, se estivermos falando de uma grande empresa. Os nós de ataque geralmente não exigem acesso adicional à rede - as configurações padrão que operam no segmento são adequadas. Se você precisar cobrir mais sistemas com verificações, inclusive de outros segmentos, poderá expandir o acesso à rede. Outras whitelists, por exemplo, para trabalhar com antivírus e soluções de proteção de endpoint, não são necessárias.
O tempo para implantar o produto no modo piloto depende da escala da infraestrutura e dos processos construídos na organização. Por exemplo, um de nossos clientes levou apenas dois dias para iniciar o primeiro auto-pentest em uma configuração com um nó de ataque.
Para quem o auto-pentest simplificará o trabalho
Os principais usuários são representantes da blue team. Normalmente, são especialistas que usam scanners de segurança e estão envolvidos em processos de VM (gerenciamento de vulnerabilidades, Vulnerability Management). Portanto, simplificamos ao máximo o processo de operação do produto e interpretação dos resultados.
O produto de auto-pentest também será útil para a red team interna, que simula ataques à infraestrutura para encontrar falhas e determinar as etapas para fortalecer a segurança cibernética. Se você precisar realizar verificações do mesmo tipo em um grande segmento, por que não automatizar essa tarefa?
Iniciando o Auto-Pentest
Vamos executar um lançamento em um ambiente de laboratório. Equipamos com servidores e serviços adicionais para aproximar ao máximo a infraestrutura de teste das condições reais.
Aqui tudo é simples:
Inventamos um nome para não esquecer o que é essa verificação e onde ela está ocorrendo.
Escolhemos o modo de coordenação do pentest.
2.1. No modo "Todas as ações", cada etapa será coordenada com o operador do sistema, nenhum ataque será executado sem confirmação explícita.
2.2. No modo "Apenas perigosas", apenas as ações que levam a consequências destrutivas serão coordenadas, por exemplo, bloquear uma conta ou falhar em um sistema. Todas as ameaças são marcadas com base em nossa experiência. A interface possui descrições das possíveis consequências, o que permite avaliar os riscos antes da confirmação explícita.
2.3. No modo "Sem coordenação", todos os ataques possíveis que estão incorporados no produto serão executados. Não recomendamos usar este modo em uma infraestrutura real, é mais adequado para ambientes de laboratório.
Escolhemos o agente e a interface de rede. Se a empresa for grande, você pode colocar um nó de ataque em cada filial. Além disso, é possível conectar várias interfaces de rede a cada nó. Isso é conveniente quando uma filial tem muitas redes (visitante, produção, usuário e outras) e você precisa verificar diferentes modelos de invasores.
Inserimos a área de teste, indicando o intervalo de endereços IP. Você pode adicionar várias áreas e excluir nós confidenciais.
Especificamos parâmetros adicionais do pentest, se você precisar ajustar algo para si mesmo. Aqui você pode ajustar a política de senha para minimizar as chances de bloquear contas, portas adicionais, frequência de varredura. Neste caso, deixaremos o conjunto padrão de parâmetros.
Podemos adicionar uma conta - isso não é necessário, mas pode permitir que você faça verificações de caixa cinza de acordo com o modelo de invasor interno. As credenciais do Active Directory, PostgreSQL, Windows, SMB, SSH são suportadas. Vamos executar este pentest como uma caixa preta sem contas.
Podemos designar metas de teste específicas - também não é necessário. Você pode definir uma verificação de disponibilidade de rede e/ou executar um comando em um nó específico. Após a conclusão de todas as operações, o pentest será interrompido. Se você não especificar metas, a varredura será abrangente e mostrará como explorar todas as vulnerabilidades e recursos de configuração encontrados na infraestrutura. Neste caso, não designaremos metas.
Clique em "Executar" e pronto!
Vamos esperar um pouco até que haja os primeiros resultados.
Quanto tempo esperar
É banal, mas é um fato: o tempo para concluir o teste no GOAD depende do tamanho do segmento, dos parâmetros de verificação, do modo de coordenação de ações, da velocidade da rede, do número de serviços disponíveis e do número de vulnerabilidades identificadas.
No entanto, a experiência dos "pilotos" mostra que um resultado significativo, por exemplo, na forma de maximizar os privilégios no domínio do Active Directory, ao usar os parâmetros de lançamento padrão, pode ser obtido em um período de duas horas a vários dias. Se você precisar testar todos os sistemas, verificar a possibilidade de implementar diferentes vetores de ataque, vale a pena alocar até sete dias, inclusive fins de semana. Alguns scripts de automação podem ser executados fora do horário de expediente e você precisa verificar se há falhas de segurança aqui e se eles podem ser usados em ataques.
Resultados do Auto-Pentest
Esperamos cerca de 30 minutos. Vamos ver o que conseguimos encontrar durante esse tempo. Visualmente, já entendemos que existem alguns resultados que precisam ser examinados com mais detalhes.
Mas é melhor percorrer todas as seções em ordem e considerar tudo com atenção.
Aba "Deficiências"
Aqui são exibidos todos os problemas detectados. Por padrão, eles são divididos em dois tipos: configurações inseguras e vulnerabilidades. Toda a lista de deficiências detectadas pode ser descarregada em formato CSV para posterior processamento manual ou automatizado, por exemplo, integração com vários sistemas.
Ao clicar em qualquer linha, um cartão com detalhes é aberto. Vamos "mergulhar" na vulnerabilidade no telnetd. Vemos o identificador e entendemos que essa deficiência é uma vulnerabilidade. Também vemos o nó vulnerável, recomendações de proteção e ações de ataque nas quais foi usado. Se a deficiência também for usada em outros cenários, uma entrada sobre isso aparecerá no campo correspondente - não será necessário procurar interseções manualmente.
A propósito, a deficiência no telnetd tornou-se conhecida no início de 2026. Este componente é frequentemente usado na infraestrutura interna, e a vulnerabilidade descoberta tem um exploit público - os dados sobre ele são relevantes para a maioria das infraestruturas. Portanto, nós o adicionamos rapidamente ao produto. Monitoramos continuamente as deficiências de tendências e as ameaças cibernéticas atuais, analisamos os resultados de pentests manuais e projetos de segurança cibernética eficazes. A experiência adquirida é rapidamente integrada ao nosso produto.
Clique na ação de ataque - chegamos a um cartão separado. Aqui vemos o que foi feito especificamente durante a verificação, em qual nó, qual o nível de perigo da vulnerabilidade e como é recomendável organizar o monitoramento do nó. Também indica a hora exata da verificação, para que você possa encontrar os eventos necessários no sistema de proteção de informações e garantir que tudo esteja funcionando corretamente.
Aba "Auditoria de Senhas"
O acesso a várias contas foi obtido - a lista também pode ser descarregada em CSV. Isso é conveniente e pode ser útil para alterar as senhas de contas comprometidas após a realização do pentest.
A primeira conta foi comprometida por meio de uma vulnerabilidade no Kyocera MFP usando um exploit disponível publicamente. Aqui também lemos uma descrição das ações de ataque e vemos os dados de entrada e saída. Entendemos que durante a exploração, a conta de usuário baba.yaga foi hackeada.
Clique na deficiência para estudar as recomendações para sua eliminação.
Aba "Coordenação"
Ações que devemos aprovar ou rejeitar apareceram. Por exemplo, extrair credenciais da memória LSASS - um processo nos sistemas operacionais Windows. Vemos o nível de perigo e as possíveis consequências.
Neste caso, os riscos são aceitáveis para nós e podemos concordar com as ações propostas. Indicamos quem especificamente concorda, para que não haja confusão, deixamos um comentário, se desejado.
Aba "Ameaças"
No processo de auto-pentest, foi possível obter controle total sobre vários nós e recursos de domínio, bem como acessar informações importantes. A interface tem informações sobre quantas vezes isso foi feito e em quantos nós.
Vamos clicar na aba "Controle total sobre os recursos de domínio" para saber os detalhes. Vemos que para atingir o objetivo, o centro de certificação foi atacado explorando a técnica ESC4. Em seguida, uma nova conta foi criada usando um certificado, após o que foi adicionada a um grupo privilegiado. Em seguida, foi possível realizar um ataque DCSync, que permite se passar por um controlador de domínio e obter hashes de qualquer usuário, neste caso, todos os privilegiados.
Pode-se "mergulhar" em cada uma das ações e estudá-la com mais detalhes.
Além disso, nesses cartões há links para cadeias de ataque. Vamos nos referir à cadeia de ataque que é especificada na perícia "Criar um usuário de domínio e adicioná-lo a um grupo privilegiado". Em geral, parece o que é apresentado abaixo; cada ação no gráfico é necessária para que uma das seguintes seja executada.
Qualquer cenário começa com uma varredura rápida para estudar a arquitetura de rede. A identificação de serviços, a busca por controladores de domínio é realizada. Depois disso, a perícia é realizada nos serviços detectados. O esquema permite estudar a lógica do ataque e rastrear a sequência de etapas. Neste caso, vemos imediatamente a varredura da infraestrutura e a exploração da vulnerabilidade CVE-2022-1026 para obter uma conta. Anteriormente, já havíamos examinado esse ataque em detalhes.
Todas as credenciais de domínio que o produto recebe são primeiro validadas no controlador e somente depois disso - nos nós restantes. Isso é feito para proteger contra o bloqueio de contas.
Vemos que o dump dos ramos do registro HKLM\SAM e HKLM\SECUIRITY foi executado no nó 10.50.31.84.
Se você abrir o cartão de ação, verá: o dump foi feito em nome da conta baba.yaga, cujo acesso obtivemos anteriormente. Consequentemente, podemos concluir que a conta capturada tinha privilégios de administrador local no nó.
Em seguida, o produto, usando a técnica de reutilização de credenciais, obtém acesso privilegiado a outro nó de domínio. E executa um dump dos ramos do registro lá.
Ao abrir o cartão de ação, entendemos que o NT-hash do administrador local foi reutilizado.
Em seguida, vemos a validação das contas recebidas e a exploração da técnica ESC4.
Depois de revisar as ações correspondentes, entendemos que como resultado do segundo dump do registro, a conta kbarabas foi obtida.
Como resultado, a técnica ESC4 foi aplicada com sucesso, um certificado foi obtido em nome de um usuário privilegiado. Com sua ajuda, uma nova conta foi criada e adicionada a um grupo privilegiado.
Aba "Artefatos"
Aqui é coletado tudo o que é gerado durante o auto-pentest. Por exemplo, no processo de nossa verificação, uma tabela foi criada no PostgreSQL, duas contas e um certificado. A seção tem uma coluna separada que indica se os artefatos foram removidos ou não. Se forem removidos, nenhuma ação adicional precisa ser tomada. Caso contrário, você precisa processá-los de acordo com a política de sua organização. A lista também pode ser descarregada em CSV.
Botão "Baixar relatório"
Localizado no canto superior direito.
Clicamos e obtemos instantaneamente um relatório em formato PDF.
No início, são apresentadas informações gerais: data, parâmetros do pentest, ameaças realizadas, avaliação de segurança.
Em seguida, há uma análise dos ataques, que são divididos em bem-sucedidos e malsucedidos.
No final - uma descrição das deficiências de segurança detectadas e recomendações para sua eliminação.
E aqui vemos que um dump do processo lsass foi acionado em um dos nós. Levando em consideração que nos nós restantes terminou sem sucesso, podemos concluir que neste nó, provavelmente, algo está errado com a configuração do sistema de proteção de informações - este é um motivo para reconfigurá-lo. Pentests regulares podem ajudar a identificar tais recursos.
Não se esqueça da segurança do auto-pentest
Durante o auto-pentest, são realizadas ações que emulam ataques de um invasor. Eles podem afetar a infraestrutura, por isso levamos a questão da segurança a sério. A opção básica de coordenação de ataques permite que o operador controle o processo e evite consequências indesejáveis.
Além disso, levamos em consideração que durante a varredura, um invasor real já pode estar na infraestrutura. Não devemos facilitar a tarefa para ele. Portanto, ao aumentar os privilégios na rede, nossos algoritmos criam novas contas com senhas exclusivas. Mesmo que um nó tenha sido comprometido anteriormente, isso não dará ao cibercriminoso nenhuma informação útil.
Também controlamos a disseminação de credenciais privilegiadas dentro da infraestrutura. Por exemplo, os registros de administradores de domínio não são usados para obter acesso a cada nó do Active Directory, para que o invasor não tenha a chance de interceptá-los.
E ainda na interface, as credenciais detectadas são mascaradas - nem mesmo o operador as vê em sua totalidade. Isso ajudará a evitar vazamentos ou abusos.
Como usar os resultados das varreduras
Gerenciamento de vulnerabilidades
Os dados do auto-pentest são uma ferramenta para ajudar a resolver problemas de gerenciamento de vulnerabilidades (vulnerability management, VM). Os resultados ajudarão a priorizar corretamente as deficiências, destacar os nós e segmentos mais vulneráveis. Se você realizar essas verificações com frequência e regularidade suficiente, isso permitirá que você esteja sempre ciente da segurança real da infraestrutura.
Análise retrospectiva
Não se deve excluir a probabilidade de que os vetores de ataque detectados já tenham sido usados por invasores. Os resultados do auto-pentest também devem ser usados para análise retrospectiva, para garantir que este vetor não tenha sido usado por ninguém além do produto e dos pentesters. Além disso, essa análise deve ser realizada em toda a profundidade do registro. Se for descoberto que vulnerabilidades semelhantes já foram exploradas e estes não são os resultados de um pentest ou red teaming, então é necessário procurar urgentemente ajuda da equipe de resposta a incidentes (Incident Response).
Configuração de ferramentas de proteção
Soluções da classe EPP (endpoint protection platform) e EDR (endpoint detection and response).
Com a ajuda do auto-pentest, você pode verificar diretamente se esses produtos estão sendo acionados em nós específicos e se estão configurados corretamente. Por exemplo, o PT Dephaze, usando ferramentas padrão, tenta extrair credenciais do processo lsass, que é considerado um dos mais protegidos nos sistemas operacionais Windows. Em uma grande infraestrutura, muitas vezes encontramos nós que permitem que você possua credenciais valiosas devido à falta de proteção de endpoints ou sua configuração incorreta.
Sistemas SIEM (security information and event management).
Em um dos "pilotos", os colegas, com a ajuda de uma solução da classe SIEM, revelaram que um administrador dphz_adm_XXXXX foi adicionado ao grupo de usuários de domínio. Assim, eles verificaram a correção do registro de logs de controladores de domínio e a operabilidade das regras de correlação. Além disso, eles verificaram na prática, revelando um potencial incidente no processo de trabalho do auto-pentest com a possibilidade de também processar o processo de resposta a ele.
Produtos da classe NTA (network traffic analysis).
Nossas tecnologias deixam rastros de sua atividade não apenas nos dispositivos finais, mas também no tráfego. Isso permite verificar o quão bem-sucedidos são os pontos de registro de tráfego na solução NTA e com que eficiência os ataques são detectados.
Conclusão
E agora vamos resumir. O auto-pentest é uma solução que é capaz de avaliar automaticamente a segurança da infraestrutura de TI e identificar vetores de ataque reais. Ele permite avaliar a qualidade da implementação de vários sistemas de proteção de informações e treinar a equipe SOC na prática, aumentando assim a prontidão para detectar e suprimir incidentes reais. Da mesma forma, você pode treinar o processo de resposta (bloquear contas capturadas e criadas, isolar hosts comprometidos, alterar as credenciais do usuário krbtgt e assim por diante) - isso permite verificar os playbooks existentes e identificar dificuldades não óbvias. Tudo isso, é claro, pode ser feito manualmente. Mas apenas a implementação do produto permite usar o pentest quando quiser (por exemplo, de manhã ou à noite em feriados) e verificar se você está realmente pronto para resistir aos hackers agora mesmo ;)
Se você estiver interessado, inscreva-se para um piloto e experimente o produto em nosso site. Venha, ficaremos felizes!
Dmitry Fedosov
Chefe do departamento de segurança ofensiva do centro de expertise em segurança (PT ESC) da Positive Technologies
Vladislav Driev
Especialista líder do departamento de segurança ofensiva do centro de expertise em segurança (PT ESC) da Positive Technologies
📤 Compartilhar & Baixar
📩 Newsletter MundiX
Receba novidades de cibersegurança + um checklist de pentest grátis. Sem spam.
Ao assinar você concorda em receber e-mails. Cancele quando quiser.
