June 22, 2026
TryHackMe Cyber Kill Chain (versão em português)
Introdução
By Chris Mineff
16 min read
Introdução
Inspirada nas kill chains militares, a Cyber Kill Chain é um framework de segurança cibernética apresentado pela Lockheed Martin em 2011. Ela foi criada para ajudar organizações a se defenderem contra ataques cibernéticos, entendendo como eles são conduzidos.
A Cyber Kill Chain divide um ataque em sete etapas:
Reconhecimento: na primeira etapa, o atacante coleta informações sobre o alvo.
Weaponisation: após realizar um reconhecimento adequado, o atacante cria um payload entregável ou modifica um já existente com base nas vulnerabilidades do sistema-alvo.
Entrega: quando o payload está pronto, o atacante o envia ao alvo.
Exploração: depois de executado, o payload explora uma vulnerabilidade no sistema do alvo.
Instalação: a exploração permite que o atacante instale uma backdoor ou malware para manter persistência no ambiente comprometido.
Comando e Controle — C2: usando a backdoor instalada, o atacante consegue controlar o sistema comprometido.
Ações sobre os objetivos: ao chegar a esse ponto, o atacante pode executar outras ações, como exfiltração de dados ou exploração de outros sistemas.
Quando uma organização compreende cada uma dessas etapas, ela aumenta suas chances de quebrar a cadeia e interromper um ataque enquanto ele ainda está em andamento.
Objetivos de aprendizagem
Ao concluir esta sala, você aprenderá sobre:
As sete etapas da Cyber Kill Chain.
Diferentes exemplos de ataques em cada etapa.
Diferentes exemplos de defesa relacionados a cada etapa.
Pré-requisitos de aprendizagem
Recomendamos que os usuários concluam o caminho Cyber Security 101 para aproveitar melhor esta sala.
Responda à pergunta abaixo:
Quantas fases compõem a Cyber Kill Chain?
Resposta: 7
Reconhecimento
O reconhecimento tem origem no meio militar e se refere ao ato de coletar informações sobre um alvo. Em segurança cibernética, essa etapa busca reunir informações sobre vulnerabilidades e fraquezas do alvo para descobrir possíveis pontos de entrada.
O reconhecimento pode ser dividido em dois tipos: passivo e ativo. Ao realizar reconhecimento passivo, o atacante conduz suas atividades sem fazer "barulho", por exemplo, usando inteligência de fontes abertas, conhecida como OSINT. Já no reconhecimento ativo, o atacante não consegue permanecer completamente silencioso ou invisível, pois essa abordagem exige alguma forma de interação com a organização-alvo, como usar engenharia social contra seus colaboradores ou varrer um sistema em busca de vulnerabilidades.
Reconhecimento: exemplos
Existem muitos exemplos do que um atacante pode fazer durante a fase de reconhecimento.
Reconhecimento passivo
Vamos considerar alguns exemplos de reconhecimento passivo. Os primeiros que vêm à mente são as bases de dados WHOIS e DNS. A base WHOIS pode revelar informações de contato, datas de registro e proprietários de domínios, a menos que esses dados estejam ocultos por meio de um serviço de privacidade adicional.
Consultar a base DNS pode revelar os servidores DNS e os endereços IP de servidores públicos. Outros exemplos de reconhecimento passivo incluem reconhecimento de sites por meio de crawling e scraping, reconhecimento em redes sociais e Google Dorking, isto é, o uso de mecanismos de busca para revelar informações sensíveis e arquivos confidenciais.
Reconhecimento ativo
Como já mencionado, o reconhecimento ativo pode ser mais "barulhento". Um exemplo típico é a varredura de portas de rede, que identifica hosts ativos e serviços em execução. Exemplos mais intrusivos incluem varreduras de vulnerabilidades para identificar fraquezas em serviços públicos do alvo.
Além disso, o reconhecimento físico também é comum. Nesse caso, o atacante pode visitar as instalações do alvo para identificar pontos de entrada, estudar as medidas de segurança e observar o comportamento dos colaboradores.
Contramedidas contra reconhecimento: exemplos
As táticas de defesa incluem minimizar a exposição de informações públicas. Essa contramedida é aplicada limitando as informações disponíveis em sites, contas de redes sociais e registros DNS. Além disso, os registros WHOIS não devem revelar nomes ou endereços que deveriam permanecer privados; muitos registradores oferecem um serviço de privacidade, geralmente por um custo adicional.
Monitorar e analisar o tráfego de rede e os logs é essencial para detectar varreduras de vulnerabilidades e de portas de rede. A equipe de segurança deve monitorar ativamente o tráfego de rede para identificar tráfego de varredura. Verificar os logs dos serviços também é necessário para revelar tentativas de reconhecimento.
Responda às perguntas abaixo:
Qual é o termo usado para utilizar mecanismos de busca a fim de revelar informações sensíveis e arquivos confidenciais?
Resposta: Google Dorking
Que tipo de reconhecimento é realizado quando o atacante verifica páginas de redes sociais?
Resposta: Passive reconnaissance
Weaponisation
Depois de coletar informações suficientes sobre o alvo, o atacante avança para a próxima etapa: weaponisation. Com base nas informações reunidas sobre os sistemas-alvo, ele pode criar um payload adaptado para explorar as fraquezas descobertas. O atacante pode usar um exploit pronto, modificar um exploit existente ou criar um do zero. Vale destacar que diferentes frameworks e toolkits podem ajudar nessa etapa.
Muitos atacantes recorrem à ofuscação ou à criptografia para evitar detecção. Além disso, podem esconder o payload em um arquivo de aparência inofensiva, como um documento do Microsoft Word ou um arquivo PDF. O ponto principal é que, ao final dessa etapa, um arquivo malicioso entregável estará pronto para ser enviado ao sistema-alvo.
Weaponisation: exemplos
Após a fase de reconhecimento, o atacante já identificou as vulnerabilidades que pretende explorar. Agora, ele precisa usar o código de exploit adequado para criar sua "arma cibernética". O que um atacante pode transformar em arma? Praticamente qualquer coisa, desde um anexo de e-mail até um dispositivo USB.
Atacantes podem usar um dos exploit kits disponíveis. Um exploit kit é uma plataforma automatizada que contém diversos exploits para diferentes vulnerabilidades. Essas plataformas facilitam o empacotamento do código de exploração dentro de um payload, como um arquivo executável ou documentos específicos.
Felizmente, nem todos os documentos podem ser transformados em armas para carregar código de exploit. Atacantes geralmente dependem da criação de documentos do Microsoft Office com macros maliciosas. Se as macros estiverem habilitadas, uma macro executa um conjunto de instruções salvas quando o documento é aberto.
Quando o arquivo malicioso está pronto, o atacante pode criar um e-mail de phishing com um anexo malicioso, configurar uma página web para hospedá-lo ou salvá-lo em um dispositivo USB. Por outro lado, se o objetivo for atingir um serviço vulnerável, o atacante precisa planejar como entregar o payload a esse serviço vulnerável na próxima fase.
Contramedidas contra weaponisation: exemplos
Do lado da defesa, o treinamento de usuários é indispensável. Quando um usuário recebe um e-mail, precisa ter cuidado caso ele contenha anexos. Além disso, deve saber como inspecionar a origem do e-mail para verificar sua legitimidade. Se o e-mail incluir um arquivo ZIP criptografado contendo o payload e a senha de descriptografia, o usuário deve desconfiar dessas instruções antes de agir por curiosidade.
O treinamento de conscientização em segurança cibernética é um processo contínuo e uma peça indispensável em qualquer defesa sólida.
Além do treinamento de usuários, é razoável desabilitar recursos desnecessários, desinstalar softwares que não são utilizados e remover plugins de navegador desnecessários. Também é essencial restringir recursos potencialmente arriscados, como desabilitar macros em documentos do Office ou limitá-las a fontes assinadas e confiáveis. Essas políticas podem ser aplicadas por meio de políticas de grupo do Windows, ajudando a reduzir a superfície de ataque.
Responda às perguntas abaixo:
Qual técnica é mencionada para evitar a detecção, tornando difícil a análise do código malicioso?
Resposta: Obfuscation
Qual recurso integrado torna possível criar um documento malicioso do MS Office?
Resposta: Macro
Entrega
Na etapa anterior, o atacante preparou um payload personalizado. Agora, ele precisa encontrar uma forma adequada de transmiti-lo para o ambiente-alvo. Para isso, pode escolher um método de entrega apropriado com base nas informações coletadas durante o reconhecimento.
Entrega: exemplos
Atacantes estão sempre buscando formas criativas de entregar seus payloads de exploração com sucesso.
E-mails de phishing: esses e-mails geralmente contêm anexos maliciosos, mas também podem usar links para downloads maliciosos. Os nomes dos arquivos têm um papel importante nesse ataque; invoice.pdf.exe pode enganar o usuário-alvo com mais facilidade do que program.exe.
E-mails de spear phishing: referem-se a ataques direcionados, em que os e-mails são criados para parecer uma comunicação legítima de uma fonte conhecida ou confiável pelo destinatário. Por exemplo, o nome e o endereço de e-mail do remetente podem ser falsificados para parecerem os do gerente do destinatário.
Links web maliciosos: o atacante pode hospedar exploit kits em sites públicos. Spoofing de domínio e encurtamento de URL também são usados para fazer os links parecerem menos suspeitos.
Plataformas de compartilhamento de arquivos: atacantes podem enviar arquivos maliciosos para serviços web de compartilhamento de arquivos, aproveitando-se da familiaridade das pessoas com esses provedores.
Malvertising: os atacantes exibem anúncios em sites legítimos para redirecionar usuários para uma página maliciosa.
SMS phishing — smishing: o atacante envia mensagens de texto com links maliciosos ou instruções para baixar malware.
Engenharia social: o atacante pode convencer um usuário desavisado a baixar e executar um programa malicioso.
Meios físicos de entrega: o código malicioso pode ser salvo em um pendrive USB e deixado em um local acessível. Outro exemplo é enviar pelo correio um DVD de aparência inofensiva contendo o programa malicioso. O atacante sempre precisa fornecer um contexto convincente, como dizer que o DVD contém um catálogo de interesse para os colaboradores do alvo.
Existem muitas outras táticas, e novas técnicas devem surgir conforme novas tecnologias se tornam disponíveis e os atacantes se tornam mais sofisticados ao longo do tempo.
Contramedidas contra entrega: exemplos
É como uma corrida armamentista cibernética, em que a equipe de defesa precisa atuar contra todos os métodos de entrega conhecidos. A lista começa com treinamento de conscientização em segurança cibernética para usuários. Eles são orientados sobre práticas seguras de navegação, phishing e ataques de engenharia social.
Além do treinamento de usuários, filtros de e-mail e web são padrões em muitas organizações. Firewalls de aplicação web, conhecidos como WAFs, são indispensáveis para bloquear arquivos maliciosos disponíveis pela web.
Além disso, o monitoramento de rede e o gerenciamento de patches tornam-se cada vez mais importantes em grandes corporações. Muitas outras táticas de defesa existem para quebrar a cadeia de ataque e impedir a entrega bem-sucedida do payload malicioso.
Responda às perguntas abaixo:
Qual método envolve exibir anúncios em sites legítimos para redirecionar usuários a páginas maliciosas?
Resposta: Malvertising
Qual ataque de phishing envia mensagens de texto com links maliciosos ou instruções para baixar malware?
Resposta: Smishing
Exploração
Após a entrega bem-sucedida do payload malicioso, vem a etapa de exploração. A exploração pode assumir diferentes formas, como uma vulnerabilidade de software, uma senha fraca ou uma configuração incorreta do sistema.
Exploração: exemplos
O atacante pode usar diferentes métodos para explorar um sistema. A abordagem mais direta é mirar em um sistema de autenticação baseado em senha. Se a senha for padrão ou fraca, será fácil para o atacante descobri-la. Como alternativa, ele pode usar phishing ou técnicas mais sofisticadas para enganar o usuário e fazê-lo enviar sua senha.
Vulnerabilidades de software representam outra porta de entrada para atacantes. Essas vulnerabilidades podem afetar tanto sistemas clientes quanto serviços de rede. Novas vulnerabilidades são descobertas regularmente e, geralmente, é apenas uma questão de tempo até que atacantes desenvolvam um código de exploit funcional.
Às vezes, um exploit fica disponível antes mesmo de o fornecedor saber que existe uma vulnerabilidade em seu produto. Nesse caso, ele é chamado de exploit zero-day.
Existem muitas outras vulnerabilidades que podem ser exploradas, variando de SQL injection a buffer overflow. Dependendo da vulnerabilidade específica, isso pode criar uma entrada fácil até mesmo para alguém sem credenciais de login.
Contramedidas contra exploração: exemplos
A equipe de segurança pode usar várias soluções para dificultar ou interromper a exploração. A seguir, estão alguns exemplos.
Requisitos de senha devem ser aplicados, e a autenticação multifator, ou MFA, deve ser exigida para fortalecer a autenticação baseada em senha. A MFA impede que o atacante obtenha algum ganho mesmo que tenha um conjunto válido de credenciais de login.
O gerenciamento de patches em servidores e clientes é indispensável para eliminar vulnerabilidades conhecidas. Além disso, a varredura de vulnerabilidades é necessária para descobrir qualquer vulnerabilidade que tenha ficado sem correção.
Sistemas de prevenção de intrusão, conhecidos como IPSs, podem ter um papel importante no bloqueio de várias tentativas de exploração ao inspecionar o tráfego em busca de exploits conhecidos.
Firewalls de aplicação web, ou WAFs, podem bloquear diversos ataques contra aplicações web, como SQL injection, cross-site scripting (XSS) e cross-site request forgery (CSRF).
Responda às perguntas abaixo:
Que tipo de exploit é usado antes que o fornecedor tome conhecimento de uma vulnerabilidade?
Resposta: Zero-day exploit
Qual tecnologia é mencionada para impedir que um atacante obtenha acesso mesmo com credenciais de login válidas?
Resposta: MFA
Instalação
Após a exploração bem-sucedida de um sistema-alvo, a fase de instalação garante acesso persistente ao sistema comprometido. Com isso, o atacante pode retornar ao sistema explorado posteriormente sem precisar passar pela fase de exploração novamente. A palavra-chave aqui é persistência.
Instalação: exemplos
Independentemente da abordagem utilizada, o acesso persistente precisa estar garantido para o futuro. Caso contrário, o atacante não conseguirá avançar para as próximas fases.
Para manter o acesso persistente, às vezes é necessário criar tarefas agendadas no Microsoft Windows ou configurar um cron job em sistemas Linux. Em outros casos, é preciso modificar scripts de inicialização ou arquivos de configuração. Instalar um novo serviço no Windows ou um daemon em sistemas Linux é uma possível abordagem. O uso de serviços facilita a manutenção do acesso persistente.
Atacantes podem recorrer à instalação de malware, criação de backdoors ou instalação de rootkits, entre outras técnicas. Além disso, eles tentam se aproveitar de funções integradas do próprio sistema, como ferramentas e binários legítimos do Windows, também conhecidos como living-off-the-land binaries, ou LOLBins.
Em alguns casos, os atacantes precisam baixar e executar payloads adicionais para fortalecer seu acesso. Por exemplo, podem implantar uma web shell após explorar uma aplicação web. Uma web shell é um pequeno script escrito em uma linguagem de programação compatível com o servidor explorado. Ela permite que o atacante execute comandos do sistema operacional no alvo por meio de uma interface no navegador.
Executar uma web shell sobre um protocolo padrão, como HTTPS, permite que o atacante acesse o sistema-alvo enquanto camufla sua atividade dentro do tráfego HTTPS.
Contramedidas contra instalação: exemplos
É essencial monitorar novos processos e serviços. Também é necessário analisar o processo pai e as atividades associadas para detectar comportamentos maliciosos com base no contexto completo.
Soluções de Endpoint Detection and Response, ou EDR, permitem monitorar endpoints em busca de atividades suspeitas, como criação incomum de processos, modificação de arquivos em diretórios sensíveis e conexões de rede inesperadas.
Auditorias regulares do sistema e comparações com uma baseline segura são necessárias para identificar alterações não autorizadas, como contas de usuário recém-criadas ou serviços recém-instalados, e revertê-las ao estado original. Algumas ferramentas de gerenciamento de configuração ajudam a automatizar esse processo para manter os sistemas seguros e reverter alterações não autorizadas.
Outra abordagem é o allowlisting de aplicações, que impede a execução de softwares não autorizados ou maliciosos ao permitir que apenas aplicações aprovadas sejam executadas.
As abordagens mencionadas até aqui não são exaustivas. No entanto, elas dão uma ideia da complexidade das contramedidas. Se o atacante conseguir executar a fase de instalação com sucesso, poderá avançar para a criação de um canal encoberto na próxima fase.
Responda às perguntas abaixo:
Qual tática permite que atacantes executem comandos do sistema operacional em um alvo por meio de uma interface no navegador?
Resposta: Web shell
Qual técnica é mencionada para impedir a execução de software não autorizado ou malicioso, permitindo que apenas aplicações aprovadas sejam executadas?
Resposta: allowlisting
Comando e Controle
Após a instalação bem-sucedida de um acesso persistente no ambiente-alvo, o atacante precisa manter um acesso confiável e discreto aos sistemas comprometidos para que possa agir sobre seus objetivos posteriormente. A fase de Comando e Controle, ou C2, tem como objetivo estabelecer esse canal de comunicação encoberto para uso na próxima etapa. Nessa fase, o atacante configura o canal de comunicação C2 entre os sistemas comprometidos e sua própria infraestrutura.
Atacantes podem usar várias técnicas para criar essa infraestrutura, como nomes de domínio, endereços IP e serviços em nuvem. Para evitar detecção, o atacante pode recorrer a diferentes métodos, como criar nomes de domínio aleatórios e alterar frequentemente o endereço IP. Em alguns casos, os atacantes podem usar um domínio aparentemente legítimo para não levantar suspeitas. Também é comum usar criptografia, entre outras técnicas de ofuscação, para evitar a descoberta.
Comando e Controle: exemplos
A seguir, veremos algumas táticas usadas por infraestruturas de C2 para alcançar uma comunicação encoberta e resiliente.
A primeira tática é usar protocolos comuns da camada de aplicação, como HTTP, HTTPS, DNS e SMTP, para comunicação C2. Isso permite que o tráfego malicioso se misture ao tráfego legítimo. Além disso, a infraestrutura de C2 pode usar canais criptografados, como HTTPS, para se esconder de ferramentas de monitoramento de rede. Também é possível usar DNS tunnelling, ou seja, codificar dados dentro de requisições DNS para contornar diversas soluções de segurança e firewalls.
Em relação a endereços de domínio, a comunicação C2 pode usar plataformas de redes sociais, como mensagens diretas no X, para enviar comandos a uma botnet. Outra opção é utilizar serviços legítimos em nuvem, como Dropbox e Google Docs, especialmente para exfiltração de dados.
Se o atacante registrar seu próprio nome de domínio e usá-lo para estabelecer a infraestrutura de C2, será muito fácil derrubá-la. Por isso, o C2 depende de várias técnicas para garantir comunicações resilientes. Exemplos incluem Domain Generation Algorithms, ou DGAs, e Fast Flux.
DGA se refere à criação de uma grande quantidade de nomes de domínio, por exemplo, 50.000, usando um algoritmo predefinido. O dono da infraestrutura de C2 registra apenas 1% ou 2% desses domínios. O malware, por sua vez, percorre essa extensa lista até encontrar um domínio ativo. Se o domínio for bloqueado ou apreendido, o malware muda para o próximo domínio ativo.
Fast Flux associa centenas ou milhares de endereços IP a um único nome de domínio. Além disso, esses endereços IP são trocados a cada poucos minutos. Dispositivos comprometidos, como dispositivos IoT, atuam como proxies para encaminhar o tráfego ao servidor C2 oculto. Se algum endereço IP, ou seja, algum nó proxy, for bloqueado, o malware muda automaticamente para o próximo endereço IP.
Contramedidas contra Comando e Controle: exemplos
A equipe de segurança cibernética precisa considerar várias soluções para detectar e interromper o tráfego de C2. Vamos explorar algumas delas.
O monitoramento de rede por meio de firewalls, IDS e IPS tem um papel importante na detecção e no bloqueio de tráfego C2. É essencial observar padrões e volumes de tráfego incomuns, além de conexões com endereços IP conhecidos como maliciosos.
Como o tráfego DNS pode ser usado para tunelar tráfego C2, monitorar o tráfego DNS e analisar consultas DNS é igualmente essencial, especialmente ao encontrar consultas anormalmente longas ou volumes elevados de requisições para domínios suspeitos.
Além disso, como web shells usam os protocolos HTTP e HTTPS, o monitoramento do tráfego web ajuda a detectar conexões suspeitas, enquanto a filtragem de conteúdo pode bloquear o acesso a URLs suspeitas. A inspeção de criptografia também pode ser necessária para descriptografar e inspecionar tráfego criptografado, a fim de detectar comunicação C2 usando HTTPS.
Muitas equipes de segurança vão além e implantam honeypots para detectar e analisar tentativas de comunicação C2 e monitorar o comportamento dos atacantes. A lista continua, e deixaremos uma análise mais detalhada das contramedidas para outras salas.
Responda às perguntas abaixo:
Qual é o nome da tática em que dados são ocultados dentro de consultas DNS?
Resposta: DNS tunnelling
Qual protocolo o atacante usaria para camuflar seus dados como tráfego web criptografado?
Resposta: HTTPS
Ações sobre os objetivos
Depois de estabelecer um canal de comunicação C2 encoberto, o atacante pode executar seus objetivos originais. Nesta fase, ele realiza suas metas iniciais, que podem variar desde a exfiltração de dados, ou seja, roubo de informações, até a interrupção de serviços.
Ações sobre os objetivos: exemplos
Os atacantes podem mirar uma organização por diversos motivos. Alguns ataques são bastante evidentes. Por exemplo, se o atacante estiver interessado apenas em causar dano, ele pode lançar um ataque destrutivo, apagando ou corrompendo dados para interromper as operações normais dos sistemas.
Por outro lado, atacantes podem buscar ganho financeiro e "dinheiro rápido", geralmente por meio de um ataque de ransomware. Também podem tentar obter lucro de forma mais discreta, como em casos de roubo financeiro por transferências bancárias não autorizadas ou outras transações fraudulentas.
Em um ataque furtivo, como espionagem industrial ou política, os atacantes costumam ter maior interesse em roubar arquivos sensíveis do alvo, prática conhecida como exfiltração de dados. Como alternativa, se o atacante quiser acessar outros sistemas na rede-alvo, tentará comprometer outros sistemas de forma discreta, ou seja, realizará movimento lateral.
Dependendo da organização-alvo, o agente de ameaça pode estar interessado em manipular Sistemas de Controle Industrial, ou ICSs. Também é igualmente plausível que isso seja precedido pelo estabelecimento de uma presença persistente de longo prazo, para que o ataque seja executado no momento escolhido pelo atacante.
A execução depende do agente de ameaça e de suas motivações. Citamos alguns exemplos, mas essa lista pode ser muito maior.
Contramedidas contra ações sobre os objetivos: exemplos
Vamos explorar algumas contramedidas que uma organização pode considerar.
Soluções de Data Loss Prevention, ou DLP, podem desempenhar um papel fundamental na prevenção da exfiltração não autorizada de dados. Além disso, estabelecer um plano confiável de backup e recuperação é indispensável para mitigar ransomware e outros ataques destrutivos.
Para minimizar o dano que um atacante pode causar, uma organização precisa considerar a segmentação de rede e controles de acesso rigorosos. A segmentação de rede isola sistemas críticos caso um sistema em outro segmento seja comprometido e impede que o atacante se mova lateralmente. Além disso, os controles de acesso e o princípio do menor privilégio limitam quem pode acessar sistemas e dados sensíveis.
O monitoramento da atividade dos usuários ajuda a detectar comportamentos suspeitos. Por exemplo, não seria esperado que usuários enviassem consultas DNS depois da meia-noite.
Por outro lado, soluções de Endpoint Detection and Response, ou EDR, são uma excelente opção para monitorar e detectar atividades suspeitas em endpoints, como processos tentando acessar ou modificar dados sensíveis, criptografar arquivos ou estabelecer conexões de rede não autorizadas.
Responda às perguntas abaixo:
Qual é o termo usado para roubar arquivos sensíveis de uma rede-alvo?
Resposta: Data exfiltration
Qual princípio limita quem pode acessar sistemas e dados sensíveis para minimizar o dano causado por um atacante?
Resposta: Principle of least privilege
Que tipo de ataque envolve criptografar arquivos e exigir pagamento em troca da chave de descriptografia?
Resposta: Ransomware
Conclusão
Nesta sala, abordamos a Cyber Kill Chain e suas sete fases. O maior dano ocorre na última fase; no entanto, as empresas podem se proteger contra esse tipo de impacto se conseguirem interromper a cadeia em qualquer uma das etapas anteriores. Por isso, o foco da equipe de segurança defensiva, como o blue team, deve ser detectar as ações do atacante relacionadas a cada fase e bloqueá-las.
Equipes de segurança ofensiva, como pentesters ou red teamers, precisam seguir os passos de adversários reais para garantir que a simulação de ataque seja realista. Isso permite que a empresa teste suas defesas e descubra se os controles de segurança existentes são eficazes, além de avaliar o quão bem sua equipe consegue detectar esse tipo de ataque.
Responda às perguntas abaixo:
Qual é a flag depois de concluir o site estático?
Resposta: THM{CKC_NJHERDX327}
