⚠️ Security+ Capítulo 2

Atores de Ameaças, Ataques e Malware

👥 Atores
🎣 Engenharia Social
🦠 Malware

📖 Resumo - Capítulo 2: Atores de Ameaças, Ataques e Malware

🎯 CONCEITOS MAIS IMPORTANTES PARA PROVA:
  • Tipos de Atores: Nation-state (APT), Crime Organizado (financeiro), Hacktivists (político), Insider (interno)
  • Cyber Kill Chain: 7 fases do ataque - Reconhecimento → Weaponization → Delivery → Exploitation → Installation → C2 → Ações
  • Phishing vs Spear Phishing vs Whaling: Massa vs Direcionado vs Executivos
  • Ransomware: Criptografa dados e exige pagamento - BACKUP é a melhor defesa!

1️⃣ Atores de Ameaças (Threat Actors)

Classificação por Atributos

Tipo Recursos Motivação Características
Nation-state (Estado-nação) Ilimitados (governo) Espionagem, guerra cibernética APTs, sofisticados, persistentes
Crime Organizado Altos Financeira (lucro) Ransomware, fraudes, roubo de dados
Hacktivists Baixos a médios Política/social DDoS, defacement, vazamentos
Insider Threat Acesso legítimo Vingança, ganho financeiro Funcionários, contratados, parceiros
Script Kiddies Baixos Diversão, reconhecimento Ferramentas prontas, baixa habilidade
⚠️ DIFERENÇA CRÍTICA:
  • Ameaça Interna (Insider): Já tem acesso legítimo - mais difícil de detectar
  • Ameaça Externa: Precisa infiltrar - firewalls e perímetro ajudam

Motivações vs Tríade CIA

Estratégia Afeta Exemplo
Exfiltração de Dados Confidencialidade Roubo de segredos comerciais
Desinformação Integridade Falsificação de websites
Interrupção de Serviço Disponibilidade Ataques DDoS

2️⃣ Cyber Kill Chain (Estratégia de Ataque)

1.
Reconhecimento (Reconnaissance): Coletar informações sobre o alvo (OSINT, varreduras)
2.
Weaponization (Preparação): Criar/preparar o exploit para vulnerabilidade
3.
Delivery (Entrega): Entregar o exploit (email, USB, site comprometido)
4.
Exploitation (Exploração): Executar o exploit, ganhar acesso inicial
5.
Installation (Instalação): Instalar backdoor/malware persistente
6.
C2 (Command & Control): Estabelecer comunicação com servidor atacante
7.
Actions on Objectives: Roubar dados, destruir, espionar
💡 IMPORTANTE: Conhecer a Cyber Kill Chain ajuda a interromper o ataque em diferentes estágios. Quanto mais cedo, melhor!

3️⃣ Engenharia Social

Processo de Engenharia Social

  1. Pesquisa (Research): Reunir informações sobre organização (footprinting, dumpster diving)
  2. Desenvolvimento (Development): Selecionar alvos, construir relacionamento
  3. Exploração (Exploitation): Tirar vantagem do relacionamento para obter acesso
  4. Saída (Exit): Finalizar sem levantar suspeitas

Princípios de Manipulação

Princípio Descrição
Autoridade (Authority) Fingir ser chefe, polícia, suporte técnico
Urgência (Urgency) "Resolva agora ou sua conta será bloqueada"
Escassez (Scarcity) "Oferta por tempo limitado, últimas vagas"
Prova Social (Social Proof) "Todo mundo está fazendo"
Medo (Fear) Ameaçar com consequências negativas
Simpatia (Likability) Pessoas fazem mais para agradar quem gostam

Técnicas de Engenharia Social

Técnica Descrição
Phishing Email malicioso fingindo ser legítimo (em massa)
Spear Phishing Phishing direcionado a pessoa/organização específica
Whaling Phishing para executivos (baleias)
Vishing Por telefone (voice)
Smishing Por SMS
Pretexting Criar cenário/história falsa
Baiting Oferecer algo atraente (USB infectada)
Tailgating Seguir pessoa autorizada por porta segura
Shoulder Surfing Olhar por cima do ombro para ver tela/teclado
Dumpster Diving Procurar informações no lixo
Pharming Redirecionar DNS para site falso
Typosquatting Registrar domínios com erros de digitação (gooogle.com)
⚠️ REGRA DE OURO:
  • Phishing: Email em massa
  • Spear Phishing: Direcionado a pessoa específica
  • Whaling: Phishing para executivos
  • BEC (Business Email Compromise): Fraude financeira via email

4️⃣ Malware

Classificação por Vetor

Vírus

Infecta arquivos executáveis, precisa ser executado, se replica

Worm

Auto-replicante, não precisa de arquivo hospedeiro, explora rede

Trojan

Parece legítimo mas é malicioso, não se replica

Ransomware

Criptografa dados e exige pagamento

Spyware

Monitora atividades e rouba informações

Keylogger

Registra teclas digitadas

Rootkit

Esconde presença do malware, acesso privilegiado

Botnet

Rede de computadores infectados controlados remotamente

RAT

Remote Access Trojan - controle remoto completo

Fileless Malware

Executa na memória, não grava em disco

Tipos Específicos de Malware

Tipo Descrição
Adware Exibe anúncios indesejados, pode rastrear hábitos
Logic Bomb Dispara sob condições específicas (data, evento)
Backdoor Acesso não autorizado que bypassa autenticação
Scareware Exibe mensagens alarmantes falsas
Crypto-ransomware Criptografa arquivos de dados, não só bloqueia tela
Cryptojacking Sequestra recursos para mineração de criptomoeda
PUP/PUA Programa potencialmente indesejado (grayware/bloatware)
💡 DICA CRÍTICA:
  • Rootkit de Firmware: Sobrevive formatação e reinstalação do SO (ex: UEFI rootkits)
  • Fileless Malware: Usa "live off the land" - PowerShell, WMI, scripts
  • C2 (Command & Control): Melhor forma de detectar RATs e bots

5️⃣ Proteção e Recuperação

Prevenção de Malware

Método Descrição
Patches Manter sistemas, aplicações e firmware atualizados
Anti-Malware Definições atualizadas, scans regulares, email/download scanning
Firewall Bloqueia conexões não autorizadas e C2
Filtro Web Bloqueia acesso a sites maliciosos
Treinamento Educar usuários sobre anexos, pop-ups, URLs

Recuperação de Infecção

  1. Reparar: Remover vírus de arquivo válido
  2. Quarentena: Mover arquivo infectado para pasta segura
  3. Deletar: Remover worms, Trojans, spyware
  4. Reinstalar/Re-imaginar: Mais rápido e eficaz que limpeza
🎯 DICAS FINAIS PARA PROVA:
  • Insider Threat é o mais difícil de detectar (já tem acesso legítimo)
  • Phishing (massa) vs Spear Phishing (direcionado) vs Whaling (executivos)
  • Ransomware = BACKUP é a melhor defesa (regra 3-2-1)
  • Rootkit de firmware sobrevive formatação
  • Fileless malware usa PowerShell/WMI - difícil detecção
  • Cyber Kill Chain: Reconhecimento é a primeira fase