Avançado Defesa (Blue Team) Atualizado em 25 de jun. de 2025

MITRE ATT&CK — táticas, técnicas e uso prático na defesa

MITRE ATT&CK (Adversarial Tactics, Techniques & Common Knowledge) é um framework que cataloga comportamentos reais de atacantes observados em ataques no mundo real. Diferente de CVEs (que descrevem vulnerabilidades), ATT&CK descreve o que o atacante faz após entrar no sistema.

Estrutura do framework

Tática (Objetivo) ──► Técnica (Como) ──► Sub-técnica (Detalhe)

Exemplo:
  Tática:       TA0002 — Execução
  Técnica:      T1059 — Command and Scripting Interpreter
  Sub-técnica:  T1059.001 — PowerShell

As 14 táticas da matriz Enterprise:

TA0001 Reconhecimento        TA0008 Movimento Lateral
TA0002 Desenvolvimento       TA0009 Coleta
TA0003 Entrega               TA0010 Exfiltração
TA0004 Execução              TA0011 Comando e Controle (C2)
TA0005 Persistência          TA0040 Impacto
TA0006 Escalonamento         TA0042 Desenvolvimento de Recursos
TA0007 Evasão de Defesa      TA0043 Reconhecimento Ativo

Mapeando um ataque real

Exemplo: ataque de ransomware mapeado em ATT&CK:

1. T1566.001 — Phishing com anexo malicioso
2. T1059.001 — PowerShell executa stager em memória
3. T1055    — Injeção de processo (Process Injection)
4. T1078    — Uso de credenciais válidas roubadas
5. T1021.002 — Movimento lateral via SMB/Admin$
6. T1082    — Coleta de informações do sistema
7. T1486    — Dados cifrados para impacto (ransomware)
8. T1490    — Remoção de backups (vssadmin delete shadows)

Esse mapeamento responde: “quais controles teriam parado o ataque em cada etapa?”

Cobertura de detecção

Use ATT&CK Navigator para visualizar quais técnicas sua organização detecta:

Legenda (ATT&CK Navigator):
  🟩 Verde   — detectamos e respondemos
  🟨 Amarelo — detectamos mas resposta manual
  🟥 Vermelho — ponto cego, sem cobertura
  ⬜ Branco  — não aplicável ao ambiente

Perguntas que o Navigator responde:

Quais TTPs do grupo APT28 temos cobertos?
Quais são nossos maiores pontos cegos?
Se comprarmos um novo controle, quanta cobertura ganhamos?

Usando ATT&CK para criar detecções

Cada técnica tem data sources recomendados:

T1059.001 — PowerShell:
  Data sources:
    - Command: Command Execution
    - Module: Module Load
    - Process: Process Creation
    - Script: Script Execution

  Detecção recomendada:
    Monitorar Event ID 4104 (ScriptBlock Logging)
    e Event ID 4103 (Module Logging) no Windows.

Query de exemplo para cobrir T1059.001:

Elastic KQL:
event.code: "4104"
AND powershell.file.script_block_text: (*IEX* OR *DownloadString* OR *Invoke-*)
AND NOT powershell.file.script_block_text: *Microsoft*

ATT&CK e Threat Intelligence

Grupos APT são catalogados com suas TTPs:

APT29 (Cozy Bear) — técnicas comuns:
  T1566.001  Spearphishing com anexo
  T1218.011  Rundll32 para execução
  T1027      Ofuscação de payload
  T1071.001  C2 via HTTP/S
  T1003.001  LSASS memory dump (coleta de credenciais)

Comparar as TTPs do adversário com sua cobertura identifica onde investir em detecção.

Emulação de adversário (Purple Team)

ATT&CK é a base para exercícios de emulação:

1. Selecionar grupo APT relevante para o setor
2. Mapear TTPs do grupo na Navigator
3. Red Team executa as técnicas em ambiente de teste
4. Blue Team verifica se detectou cada etapa
5. Lacunas viram novas regras de detecção ou controles

Frameworks de emulação: CALDERA (MITRE), Atomic Red Team (Red Canary).

Recursos

Matriz online: attack.mitre.org
ATT&CK Navigator: mitre-attack.github.io/attack-navigator
Atomic Red Team: testes atômicos por técnica em PowerShell/Bash
Sigma rules: regras de detecção mapeadas a técnicas ATT&CK