Invadindo a Rede Inteira pela Cobertura: Um Relato de Pentest Físico
Um pentest físico revelador demonstra como a exploração de vulnerabilidades físicas, como falhas de segurança em edifícios e engenharia social, pode levar à comprometimento total da infraestrutura de uma organização. O artigo detalha as etapas de um ataque, desde a coleta de informações em fontes abertas (OSINT) até a instalação de backdoors e a exfiltração de dados confidenciais.
MundiX News·13 de maio de 2026·7 min de leitura·👁 4 views
Olá! Sou o pentester Yan. Desta vez, quero compartilhar com vocês minha tradução autoral de uma história da empresa Dark Wolf (o original aqui).
Para quem não sabe, um pentest físico, ou Red Team, é um tipo especial de pentest no qual é permitido atacar não apenas sistemas de TI, mas também, como o nome sugere, invadir pessoalmente o escritório do cliente e procurar pistas para uma maior comprometimento da corporação como um todo. Por exemplo, senhas em pedaços de papel espalhados pelos locais de trabalho ajudam muito...
Relatórios detalhados sobre pentests físicos são raros, pois os hackers éticos geralmente são limitados por NDAs (acordos de não divulgação). Por exemplo, eu mesmo poderia falar sobre pelo menos dois ou três excelentes casos, mas, infelizmente, o acordo é um acordo. Portanto, estou feliz em compartilhar pelo menos esta tradução com vocês.
Briefing
A OSINT moderna inclui muitas fontes de informação úteis. Não se pode limitar a mapas do Google, fotos de ruas, fotos e outros padrões óbvios.
Nós cavamos mais fundo e foi um jackpot! Conseguimos obter o layout virtual exato do objeto através do site da empresa de gestão: esquemas de comunicação, marcações de portas, números de andares, pontos de entrada, até mesmo a altura aproximada dos tetos.
Como isso foi útil?
É simples - conhecendo cada saída de incêndio, corredor e patamar, você pode encontrar o lugar mais vulnerável para entrar no prédio.
Tudo começou com a nossa equipe sendo encarregada de realizar uma inspeção completa de uma instalação secreta. Nosso objetivo não eram apenas objetos físicos, mas também a infraestrutura de TI do cliente.
Por vários dias, ficamos por perto de praças de alimentação e cafés perto do prédio do cliente, copiando crachás de funcionários desatentos a caminho do café.
Estes são crachás RFID de 125 quilohertz banais que todo funcionário de escritório tem. A clonagem desses cartões é feita com um dispositivo especial, como uma mala futurista de filmes como "Mr. Robot". Essa abordagem é antiga, mas ainda eficaz. Você precisa se aproximar da vítima e, fingindo uma conversa ou telefonema, dar tempo para o equipamento fazer seu trabalho. Como resultado, temos uma cópia completa do cartão de identificação.
Continuando a observação, notamos que um painel de acesso DoorKing com um código digital era usado perto da entrada principal. Nós vasculhamos a Internet, encontramos o PIN padrão do administrador e, como se viu, ele funcionou.
Isso nos permitiu mais tarde desativar todo o controle de acesso às portas, estando dentro. Sem sirenes. Sem câmeras. Sem rastros.
Vale a pena mencionar que este não era um prédio comum, mas uma Instalação Federal, contendo informações secretas (SCIF - Sensitive Compartmented Information Facility). Portanto, as apostas eram altas.
O controle era estrito, mas, como se viu, nem em todos os lugares. E tudo porque as informações necessárias para a penetração estavam em domínio público, abrindo caminho para a invasão.
Red Team em ação
Depois de concluir a reconhecimento preliminar, começamos a examinar o telhado do prédio. Encontramos uma escada de incêndio do lado de fora do prédio. Também era claramente visível no layout que obtivemos.
Isso foi muito útil para nós, porque o telhado do objeto e a escada estavam localizados quase perto do prédio do hotel vizinho.
Imediatamente surgiu a ideia:
Se tivéssemos um quarto adequado naquele hotel, poderíamos facilmente pular da janela do hotel para o telhado e, em seguida, para a escada de incêndio com a porta cobiçada.
Contratamos um de nossos funcionários, Austin, para negociar com o hotel e conseguir aquele quarto.
"Com licença, posso ter outro quarto?",
perguntou ele educadamente, colocando sua mala atrás dele na recepção.
"Algo errado?",
perguntou o funcionário perplexo.
"Está tudo bem. Nós apenas gostamos daquele quarto em que ficamos da última vez. É uma tradição nossa - sempre pegamos o mesmo quarto. Então, se possível, nos dê exatamente ele."
O funcionário assentiu e gentilmente nos forneceu o quarto que ficava perto do telhado que precisávamos.
Tão logo chegamos ao quarto, começamos a atacar o WiFi do cliente. Havia força de sinal suficiente, graças às antenas direcionais de 15 dB.
Lembre-se:
sempre tenha em mãos uma lista de alvos (scope) de estações base permitidas para pentest. Afinal, é altamente indesejável e ilegal atacar redes de terceiros por quaisquer métodos como wifite e adaptadores como ALFA.
E então a noite chegou e, pegando as ferramentas, Brent e eu conseguimos abrir a janela do hotel. Em seguida, pulamos para o telhado e fomos para a escada de incêndio do objeto.
Atenção!
Não se vista de "ninja" durante operações noturnas. Deixe suas máscaras e roupas escuras em casa. Nesta situação, será suficiente usar calças, camisas e jaquetas normais de tons calmos.
Não faça movimentos bruscos e não corra para não chamar a atenção e não levantar suspeitas.
Se fôssemos pegos, já tínhamos cópias prontas dos crachás, que usávamos no pescoço, e a lenda de que éramos funcionários de manutenção.
Chegando à porta da escada de incêndio, estendi a mão para o conjunto de picklocks Covert Companion, mas Brent sorriu e me parou.
"Cara, veja o que temos aqui."
Do lado de fora da porta havia uma trava comum.
Como nos explicaram mais tarde, ninguém poderia imaginar que seria possível entrar no telhado pela janela do hotel vizinho. Portanto, as saídas de incêndio foram seladas apenas por dentro.
Brent examinou a porta em busca de um alarme, que não havia. Mais tarde, descobrimos que o alarme nesta porta foi desligado na última manutenção e nunca mais foi ligado. Eles simplesmente esqueceram essa porta. Dentro do prédio, o alarme geral foi desligado durante a limpeza, o que sabíamos muito bem.
Peguei um endoscópio USB para smartphone para ver o que estava acontecendo do outro lado da porta antes de abri-la. A câmera "oculta" escorregou facilmente por baixo da porta, e o smartphone antigo nos mostrou que estava tudo limpo. Não vimos nada além de uma lanterna monótona com a inscrição SAÍDA e uma maçaneta em um bom lance de escada de concreto.
Abrimos a porta e fomos para o andar que precisávamos, onde estavam os locais de trabalho, salas de reuniões e escritórios da administração. Lá, arrombamos as fechaduras de alguns armários pertencentes à administração e encontramos um grande número de crachás. Eram os cartões RFID que se destinavam a serem removidos, substituídos ou emitidos para novos funcionários.
Mas o que mais nos alegrou foram os códigos PIN colados nos crachás. Depois de cavar um pouco mais, encontramos cartões atuais com fotos de funcionários parecidos conosco e os pegamos para o caso de precisarmos.
A jornada em busca de dados confidenciais pelo escritório do cliente continuou, e depois de entrar no arquivo através da porta arrombada, encontramos a sala do servidor. Cheios de felicidade, conectamos nossos laptops a uma porta livre e encontramos uma vulnerabilidade no servidor ESDi, do qual despejamos os hashes de várias contas.
Para a sobremesa, foi encontrada uma caixa com discos rígidos destinados ao descarte.
Então, passamos mais algumas horas vagando pelos andares em busca de artefatos e instalando keyloggers e outros dispositivos.
Havia também câmeras de vigilância, mas todas exibiam imagens no PC da recepção, sobre o qual já tínhamos controle total.
Depois de desativar os sistemas de segurança, tiramos uma selfie no meio da sala de vigilância.
Ao deixar o objeto, deixamos um presente: nosso próprio ponto Wi-Fi com um backdoor em sua rede, certificando-se de que seu sinal estivesse disponível no quarto do hotel. Graças a isso, era possível atacar sua infraestrutura sem estar no prédio.
É importante lembrar que qualquer ponto de acesso não autorizado pode abrir uma brecha para outros invasores. Portanto, você deve garantir a segurança excepcional do seu equipamento Wi-Fi.
Como resultado, nossa penetração física se transformou na comprometimento total da infraestrutura do cliente!
Pós-escrito do autor
Obrigado a quem leu até o fim! Espero que você tenha conseguido tirar algo disso.
Até a próxima!
Este artigo é fornecido para fins informativos para recomendar a melhoria da segurança dos recursos de informação. É proibido o uso destes materiais para atacar sistemas de terceiros e pode resultar em responsabilidade criminal. Portanto, o autor se isenta de qualquer responsabilidade pelo uso deste material por terceiros para fins ilegais!
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
Olá! Sou o pentester Yan. Desta vez, quero compartilhar com vocês minha tradução autoral de uma história da empresa Dark Wolf (o original aqui).
Para quem não sabe, um pentest físico, ou Red Team, é um tipo especial de pentest no qual é permitido atacar não apenas sistemas de TI, mas também, como o nome sugere, invadir pessoalmente o escritório do cliente e procurar pistas para uma maior comprometimento da corporação como um todo. Por exemplo, senhas em pedaços de papel espalhados pelos locais de trabalho ajudam muito...
Relatórios detalhados sobre pentests físicos são raros, pois os hackers éticos geralmente são limitados por NDAs (acordos de não divulgação). Por exemplo, eu mesmo poderia falar sobre pelo menos dois ou três excelentes casos, mas, infelizmente, o acordo é um acordo. Portanto, estou feliz em compartilhar pelo menos esta tradução com vocês.
Briefing
A OSINT moderna inclui muitas fontes de informação úteis. Não se pode limitar a mapas do Google, fotos de ruas, fotos e outros padrões óbvios.
Nós cavamos mais fundo e foi um jackpot! Conseguimos obter o layout virtual exato do objeto através do site da empresa de gestão: esquemas de comunicação, marcações de portas, números de andares, pontos de entrada, até mesmo a altura aproximada dos tetos.
Como isso foi útil?
É simples - conhecendo cada saída de incêndio, corredor e patamar, você pode encontrar o lugar mais vulnerável para entrar no prédio.
Tudo começou com a nossa equipe sendo encarregada de realizar uma inspeção completa de uma instalação secreta. Nosso objetivo não eram apenas objetos físicos, mas também a infraestrutura de TI do cliente.
Por vários dias, ficamos por perto de praças de alimentação e cafés perto do prédio do cliente, copiando crachás de funcionários desatentos a caminho do café.
Estes são crachás RFID de 125 quilohertz banais que todo funcionário de escritório tem. A clonagem desses cartões é feita com um dispositivo especial, como uma mala futurista de filmes como "Mr. Robot". Essa abordagem é antiga, mas ainda eficaz. Você precisa se aproximar da vítima e, fingindo uma conversa ou telefonema, dar tempo para o equipamento fazer seu trabalho. Como resultado, temos uma cópia completa do cartão de identificação.
Continuando a observação, notamos que um painel de acesso DoorKing com um código digital era usado perto da entrada principal. Nós vasculhamos a Internet, encontramos o PIN padrão do administrador e, como se viu, ele funcionou.
Isso nos permitiu mais tarde desativar todo o controle de acesso às portas, estando dentro. Sem sirenes. Sem câmeras. Sem rastros.
Vale a pena mencionar que este não era um prédio comum, mas uma Instalação Federal, contendo informações secretas (SCIF - Sensitive Compartmented Information Facility). Portanto, as apostas eram altas.
O controle era estrito, mas, como se viu, nem em todos os lugares. E tudo porque as informações necessárias para a penetração estavam em domínio público, abrindo caminho para a invasão.
Red Team em ação
Depois de concluir a reconhecimento preliminar, começamos a examinar o telhado do prédio. Encontramos uma escada de incêndio do lado de fora do prédio. Também era claramente visível no layout que obtivemos.
Isso foi muito útil para nós, porque o telhado do objeto e a escada estavam localizados quase perto do prédio do hotel vizinho.
Imediatamente surgiu a ideia:
Se tivéssemos um quarto adequado naquele hotel, poderíamos facilmente pular da janela do hotel para o telhado e, em seguida, para a escada de incêndio com a porta cobiçada.
Contratamos um de nossos funcionários, Austin, para negociar com o hotel e conseguir aquele quarto.
"Com licença, posso ter outro quarto?",
perguntou ele educadamente, colocando sua mala atrás dele na recepção.
"Algo errado?",
perguntou o funcionário perplexo.
"Está tudo bem. Nós apenas gostamos daquele quarto em que ficamos da última vez. É uma tradição nossa - sempre pegamos o mesmo quarto. Então, se possível, nos dê exatamente ele."
O funcionário assentiu e gentilmente nos forneceu o quarto que ficava perto do telhado que precisávamos.
Tão logo chegamos ao quarto, começamos a atacar o WiFi do cliente. Havia força de sinal suficiente, graças às antenas direcionais de 15 dB.
Lembre-se:
sempre tenha em mãos uma lista de alvos (scope) de estações base permitidas para pentest. Afinal, é altamente indesejável e ilegal atacar redes de terceiros por quaisquer métodos como wifite e adaptadores como ALFA.
E então a noite chegou e, pegando as ferramentas, Brent e eu conseguimos abrir a janela do hotel. Em seguida, pulamos para o telhado e fomos para a escada de incêndio do objeto.
Atenção!
Não se vista de "ninja" durante operações noturnas. Deixe suas máscaras e roupas escuras em casa. Nesta situação, será suficiente usar calças, camisas e jaquetas normais de tons calmos.
Não faça movimentos bruscos e não corra para não chamar a atenção e não levantar suspeitas.
Se fôssemos pegos, já tínhamos cópias prontas dos crachás, que usávamos no pescoço, e a lenda de que éramos funcionários de manutenção.
Chegando à porta da escada de incêndio, estendi a mão para o conjunto de picklocks Covert Companion, mas Brent sorriu e me parou.
"Cara, veja o que temos aqui."
Do lado de fora da porta havia uma trava comum.
Como nos explicaram mais tarde, ninguém poderia imaginar que seria possível entrar no telhado pela janela do hotel vizinho. Portanto, as saídas de incêndio foram seladas apenas por dentro.
Brent examinou a porta em busca de um alarme, que não havia. Mais tarde, descobrimos que o alarme nesta porta foi desligado na última manutenção e nunca mais foi ligado. Eles simplesmente esqueceram essa porta. Dentro do prédio, o alarme geral foi desligado durante a limpeza, o que sabíamos muito bem.
Peguei um endoscópio USB para smartphone para ver o que estava acontecendo do outro lado da porta antes de abri-la. A câmera "oculta" escorregou facilmente por baixo da porta, e o smartphone antigo nos mostrou que estava tudo limpo. Não vimos nada além de uma lanterna monótona com a inscrição SAÍDA e uma maçaneta em um bom lance de escada de concreto.
Abrimos a porta e fomos para o andar que precisávamos, onde estavam os locais de trabalho, salas de reuniões e escritórios da administração. Lá, arrombamos as fechaduras de alguns armários pertencentes à administração e encontramos um grande número de crachás. Eram os cartões RFID que se destinavam a serem removidos, substituídos ou emitidos para novos funcionários.
Mas o que mais nos alegrou foram os códigos PIN colados nos crachás. Depois de cavar um pouco mais, encontramos cartões atuais com fotos de funcionários parecidos conosco e os pegamos para o caso de precisarmos.
A jornada em busca de dados confidenciais pelo escritório do cliente continuou, e depois de entrar no arquivo através da porta arrombada, encontramos a sala do servidor. Cheios de felicidade, conectamos nossos laptops a uma porta livre e encontramos uma vulnerabilidade no servidor ESDi, do qual despejamos os hashes de várias contas.
Para a sobremesa, foi encontrada uma caixa com discos rígidos destinados ao descarte.
Então, passamos mais algumas horas vagando pelos andares em busca de artefatos e instalando keyloggers e outros dispositivos.
Havia também câmeras de vigilância, mas todas exibiam imagens no PC da recepção, sobre o qual já tínhamos controle total.
Depois de desativar os sistemas de segurança, tiramos uma selfie no meio da sala de vigilância.
Ao deixar o objeto, deixamos um presente: nosso próprio ponto Wi-Fi com um backdoor em sua rede, certificando-se de que seu sinal estivesse disponível no quarto do hotel. Graças a isso, era possível atacar sua infraestrutura sem estar no prédio.
É importante lembrar que qualquer ponto de acesso não autorizado pode abrir uma brecha para outros invasores. Portanto, você deve garantir a segurança excepcional do seu equipamento Wi-Fi.
Como resultado, nossa penetração física se transformou na comprometimento total da infraestrutura do cliente!
Pós-escrito do autor
Obrigado a quem leu até o fim! Espero que você tenha conseguido tirar algo disso.
Até a próxima!
Este artigo é fornecido para fins informativos para recomendar a melhoria da segurança dos recursos de informação. É proibido o uso destes materiais para atacar sistemas de terceiros e pode resultar em responsabilidade criminal. Portanto, o autor se isenta de qualquer responsabilidade pelo uso deste material por terceiros para fins ilegais!
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
