Metodologias de Pentest com Metasploit e Hardening

Fase I: Coleta de Inteligência ou “Intelligence Gathering”

Mapeamento da Superfície de Ataque

A fase de Coleta de Inteligência é o alicerce de qualquer teste de intrusão. O objetivo é identificar ativos vivos, portas abertas e serviços em execução para construir um mapa topológico da rede alvo. No contexto de uma rede corporativa, isso envolve a enumeração detalhada de protocolos de gerenciamento e compartilhamento de arquivos. O Metasploit utiliza seus módulos auxiliary para realizar essas tarefas de reconhecimento ativo, permitindo interação de baixo nível com a pilha de protocolos sem a necessidade de entregar cargas maliciosas (payloads) neste estágio.

Integração e Gerenciamento de Dados de Reconhecimento

Antes de iniciar varreduras ativas, é imperativo estabelecer uma base de dados centralizada para armazenar e correlacionar as informações coletadas. O Metasploit integra-se nativamente com o banco de dados PostgreSQL, permitindo que o pentester utilize comandos como db_nmap para executar o Nmap e importar automaticamente os resultados (hosts, serviços, sistemas operacionais) para o ambiente de trabalho do framework.

O uso de Workspaces (espaços de trabalho) é uma estratégia vital para a organização em grandes redes corporativas. Através do comando workspace -a [Nome_do_Projeto], o analista pode segmentar os dados por sub-rede (e.g., “VLAN_Financeiro”, “DMZ”, “Servidores_AD”), evitando a contaminação de dados e permitindo uma modelagem de ameaças mais precisa para cada segmento de rede. A capacidade de filtrar hosts por serviços específicos no banco de dados (ex: services -p 445 -R) permite a automação subsequente de ataques direcionados, otimizando o tempo de engajamento.

Enumeração Profunda de Protocolos Corporativos

Em ambientes Windows Active Directory, certos protocolos oferecem uma riqueza de informações que, se não devidamente protegidos, expõem a infraestrutura a ataques devastadores antes mesmo da fase de exploração.

O Protocolo SMB (Server Message Block)

O SMB é a espinha dorsal das redes Microsoft e, consequentemente, um dos alvos primários. O módulo auxiliary/scanner/smb/smb_version é essencial para determinar não apenas a presença do serviço, mas a versão exata do sistema operacional e o dialeto SMB negociado.

A identificação de sistemas negociando SMBv1 é um achado crítico. O SMBv1 é um protocolo legado, inseguro e “verboso”, que serve como vetor para exploits de execução remota de código (RCE) notórios, como o MS17-010 (EternalBlue). Além disso, a ausência de assinatura SMB (SMB Signing), verificável via módulos auxiliares como auxiliary/scanner/smb/smb2, expõe a rede a ataques de Relay, onde um atacante intercepta credenciais NTLM e as retransmite para ganhar acesso a outros sistemas.

Módulo Metasploit	Função Estratégica	Indicador de Risco
auxiliary/scanner/smb/smb_version	Identificação de OS e versão do protocolo.	Presença de Windows Server 2008/Win7 ou SMBv1 habilitado.
auxiliary/scanner/smb/smb_enumshares	Listagem de compartilhamentos de rede.	Compartilhamentos com permissão de escrita ou acesso anônimo.
auxiliary/scanner/smb/pipe_auditor	Enumeração de Named Pipes.	Acesso a pipes administrativos como browser ou netlogon.

Hardening e Remediação: A mitigação eficaz para riscos SMB envolve desabilitar completamente o SMBv1 via Group Policy (GPO) e Registro do Windows (HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\SMB1 definido como 0). Adicionalmente, a assinatura SMB deve ser forçada (“Digitally sign communications (always)”) para prevenir ataques de Man-in-the-Middle e Relay, embora isso possa introduzir uma leve sobrecarga de desempenho na transferência de arquivos.

SNMP (Simple Network Management Protocol)

Frequentemente negligenciado, o SNMP em configurações padrão (versões 1 e 2c) transmite informações em texto claro. O módulo auxiliary/scanner/snmp/snmp_enum pode extrair tabelas de roteamento, listas de processos, softwares instalados e, em casos graves de má configuração, listas de usuários do sistema. A string de comunidade “public” é a vulnerabilidade mais comum explorada nesta fase.

Hardening e Remediação: A migração para SNMPv3 é mandatória para garantir autenticação e criptografia. Se o SNMPv2c for inevitável por limitações de legado, as strings de comunidade devem ser tratadas como senhas complexas e rotacionadas. Além disso, listas de controle de acesso (ACLs) devem ser aplicadas nos dispositivos de rede e servidores para aceitar pacotes SNMP apenas de endereços IP de servidores de gerenciamento autorizados, rejeitando varreduras de estações de trabalho comprometidas.

Enumeração de Usuários e Active Directory

A identificação de contas de usuário válidas é um pré-requisito para ataques de força bruta e pulverização de senhas (password spraying). O Metasploit oferece ferramentas como auxiliary/scanner/smb/smb_enumusers que tentam listar usuários através de sessões nulas (Null Sessions) ou contas de convidado. Em ambientes modernos, o módulo auxiliary/gather/ldap_query pode ser utilizado para extrair informações ricas diretamente do Controlador de Domínio (DC) caso o atacante obtenha qualquer credencial válida ou se a ligação anônima LDAP estiver permitida.

Hardening e Remediação: Para combater a enumeração de usuários, deve-se configurar a política “Network access: Do not allow anonymous enumeration of SAM accounts and shares” e definir a chave de registro RestrictAnonymous para 1 ou 2. Isso impede que atacantes sem credenciais listem usuários do domínio, quebrando a cadeia de ataque (Kill Chain) nos estágios iniciais de reconhecimento.

 

Fase II: Modelagem de Ameaças (Threat Modeling)

A Modelagem de Ameaças no contexto do PTES utiliza as informações coletadas para identificar os ativos de maior valor para o negócio e mapear os caminhos de ataque mais prováveis. O Metasploit auxilia neste processo através da organização lógica dos dados e da identificação de vetores baseados na topologia da rede descoberta.

Identificação de Ativos Críticos e Vetores de Ataque

Utilizando o banco de dados do Metasploit, o analista deve classificar os hosts descobertos. Servidores executando serviços como HTTP (porta 80/443), bancos de dados (MSSQL porta 1433, MySQL porta 3306) e controladores de domínio (LDAP porta 389, Kerberos porta 88) são designados como alvos primários ou “Jóias da Coroa”.

A análise de portas abertas permite inferir a função do servidor e as potenciais vulnerabilidades associadas. Por exemplo, um servidor com a porta 8080 aberta executando um Apache Tomcat desatualizado sugere um vetor de ataque via aplicação web (exploit/multi/http/tomcat_mgr_upload), enquanto um servidor de arquivos com SMBv1 sugere um vetor de infraestrutura (exploit/windows/smb/ms17_010_eternalblue). A modelagem de ameaças deve priorizar vetores que ofereçam o maior privilégio com o menor esforço e risco de detecção.

Análise de Relações de Confiança e Segmentação

A partir da enumeração de compartilhamentos e sessões, o pentester pode mapear relações de confiança. Se uma estação de trabalho no departamento de “Recursos Humanos” tem acesso SMB a um servidor de “Engenharia”, isso indica uma falha na segmentação de rede. O Metasploit facilita essa visualização ao permitir que o analista anote e taggeie hosts no banco de dados (hosts -t tag_name), criando uma representação visual das conexões lógicas que podem ser exploradas para movimentação lateral.

Estratégia de Hardening: A remediação para falhas identificadas na modelagem de ameaças é primariamente arquitetural. A implementação de Segmentação de Rede baseada em VLANs e controlada por Firewalls de Próxima Geração (NGFW) é essencial. O tráfego entre segmentos de usuários e segmentos de servidores deve ser estritamente controlado, permitindo apenas as portas necessárias para o negócio. Além disso, o conceito de Zero Trust deve ser aplicado, onde nenhuma confiança implícita é concedida baseada na localização física ou lógica da rede.

 

Fase III: Análise de Vulnerabilidades

A Análise de Vulnerabilidades busca identificar falhas específicas que podem ser exploradas. Diferente de scanners de vulnerabilidade convencionais (como Nessus ou OpenVAS) que focam na amplitude e frequentemente geram falsos positivos baseados em banners, o Metasploit foca na validação e na confirmação da exploração.

Validação de Vulnerabilidades com Módulos check

Uma das funcionalidades mais poderosas e subutilizadas do Metasploit é o método check presente em muitos módulos de exploit. Este método permite verificar se um alvo é vulnerável sem disparar o exploit completo, minimizando o risco de travar o serviço ou alertar sistemas de detecção simples.

Por exemplo, ao investigar a vulnerabilidade BlueKeep (CVE-2019-0708) em serviços RDP, o uso de use auxiliary/scanner/rdp/cve_2019_0708_bluekeep ou o método check no exploit correspondente envia uma sequência de pacotes específica para analisar a resposta do kernel do Windows. Se o alvo responder de maneira anômala característica da falha, o Metasploit reporta “The target is vulnerable”. Essa confirmação técnica é inestimável para priorizar patches de emergência.

Análise de Credenciais Fracas e Padrão

Grande parte das intrusões corporativas não ocorre por falhas de software complexas (“0-days”), mas por credenciais fracas. O Metasploit possui módulos robustos para testar a força das senhas em diversos protocolos.

• SSH Login: auxiliary/scanner/ssh/ssh_login permite testar credenciais em massa ou realizar ataques de força bruta controlados contra servidores Linux e dispositivos de rede.
• SMB Login: auxiliary/scanner/smb/smb_login é fundamental para identificar o reuso de senhas de administradores locais em estações Windows. Se a mesma senha de administrador local for usada em toda a frota, o comprometimento de uma única máquina permite o comprometimento de todas.

Atenção: Ataques de força bruta devem ser executados com cautela para evitar o bloqueio de contas (Account Lockout) no Active Directory, o que causaria negação de serviço para os usuários legítimos. A técnica de Password Spraying (testar uma única senha comum contra muitos usuários) é preferível durante a análise de vulnerabilidades.

Web Application Scanning

Para aplicações web internas, o Metasploit oferece scanners como auxiliary/scanner/http/http_version, auxiliary/scanner/http/robots_txt, e módulos específicos para CMS como WordPress ou Joomla. A ferramenta Wmap, integrada ao Metasploit, funciona como um scanner de vulnerabilidades web leve, capaz de identificar injeções SQL, XSS e configurações incorretas de diretórios. Embora não substitua ferramentas dedicadas como Burp Suite, o Wmap e os módulos auxiliares HTTP permitem validar rapidamente falhas em interfaces de gerenciamento web expostas.

Hardening e Remediação: A gestão de vulnerabilidades deve ser um processo contínuo.

1. Ciclo de Patching: Priorizar a aplicação de patches para vulnerabilidades que possuem módulos de exploit públicos no Metasploit, pois estas representam o risco mais iminente (“Exploit in the Wild”).
2. Higiene de Credenciais: Implementar políticas de senha robustas (comprimento mínimo de 14 caracteres, complexidade) e auditoria regular.
3. LAPS (Local Administrator Password Solution): Para mitigar o risco de reuso de senhas locais identificado pelo smb_login, a implementação do LAPS da Microsoft é mandatória. O LAPS randomiza a senha do administrador local de cada máquina e a armazena de forma segura no AD, impedindo a movimentação lateral via credenciais locais.

Fase IV: Exploração (Exploitation)

A fase de Exploração é o momento em que a teoria encontra a prática. O objetivo é contornar as medidas de segurança para executar código arbitrário no sistema alvo. O Metasploit distingue-se por sua vasta biblioteca de exploits verificados e seu sistema de payloads flexível.

Estratégias de Seleção de Exploits

Os exploits no Metasploit são categorizados principalmente em Remote (lado do serviço) e Local (lado do cliente ou escalação de privilégio).

• Exploits de Serviço (Server-Side): Atacam serviços que escutam na rede. O exemplo clássico é o exploit/windows/smb/ms17_010_eternalblue. Este exploit envia pacotes maliciosos para a porta 445, provocando um buffer overflow no kernel do Windows para injetar o payload. O sucesso geralmente resulta em acesso com privilégios de SYSTEM.
• Exploits de Cliente (Client-Side): Em ambientes com firewall de borda restritivo, o atacante foca nos usuários. Módulos como exploit/windows/fileformat/office_word_macro criam documentos maliciosos. Quando abertos pelo usuário, eles executam macros que baixam e executam o payload. Essa abordagem explora a confiança humana e configurações inseguras de software de produtividade.

Payloads: Staged vs. Stageless e Evasão de Antivírus

A escolha do payload é crítica para o sucesso da exploração e para a evasão de defesas como Antivírus (AV) e EDR (Endpoint Detection and Response).

• Staged Payloads (e.g., windows/meterpreter/reverse_tcp): Enviam um pequeno código inicial (“stager”) que aloca memória e baixa o restante do payload (o “stage”, como o Meterpreter DLL). São úteis quando o espaço de buffer no exploit é pequeno, mas geram tráfego de rede secundário que é facilmente detectado por EDRs modernos.
• Stageless Payloads (e.g., windows/meterpreter_reverse_tcp): Contêm o código completo do Meterpreter. São maiores, mas eliminam a necessidade de download secundário, sendo preferidos em cenários onde a estabilidade é prioritária e o tamanho do exploit permite.

Evasão de Defesas: O Metasploit evoluiu para combater as defesas modernas. Módulos de Evasão permitem criar executáveis projetados para contornar assinaturas estáticas do Windows Defender. Técnicas de criptografia de shellcode (usando msfvenom com criptografia RC4 ou AES) e ofuscação são empregadas. Além disso, o Windows 10 introduziu o AMSI (Antimalware Scan Interface), que verifica scripts em memória. Payloads modernos do Metasploit, especialmente os baseados em PowerShell, incorporam “stubs” de bypass de AMSI que tentam desativar a verificação antes da execução do código malicioso.

Hardening e Remediação:

1. ASR (Attack Surface Reduction): Habilitar regras de ASR no Microsoft Defender é uma das defesas mais eficazes contra exploits client-side. Regras como “Block all Office applications from creating child processes” e “Block executable content from email client and webmail” neutralizam a maioria dos vetores baseados em documentos.
2. Proteção de Nuvem: Habilitar a “Cloud-delivered protection” no Windows Defender permite que o endpoint consulte a inteligência de ameaças da Microsoft em tempo real, detectando payloads ofuscados que passariam por assinaturas locais.
3. Restrição de Macros: Configurar via GPO para “Desativar todas as macros sem notificação” ou permitir apenas macros assinadas digitalmente por certificados confiáveis da organização.

Fase V: Pós-Exploração (Post-Exploitation) A Fase Crítica de Persistência e Movimentação

Uma vez estabelecida uma sessão (geralmente Meterpreter), inicia-se a fase mais longa e perigosa: a Pós-Exploração. O objetivo é manter o acesso, escalar privilégios e mover-se lateralmente até alcançar o controle do domínio.

Escalação de Privilégios e getsystem

Muitas vezes, a sessão inicial ocorre no contexto de um usuário comum ou serviço de rede. O comando getsystem do Meterpreter tenta automatizar a elevação para privilégios de SYSTEM utilizando técnicas como Impersonação de Named Pipe e Duplicação de Tokens. Se falhar, o módulo post/multi/recon/local_exploit_suggester analisa a versão do kernel e os patches instalados para sugerir exploits locais (LPE) aplicáveis.

Extração de Credenciais e Mimikatz

Credenciais são a moeda da movimentação lateral.

• Hashdump: O módulo post/windows/gather/hashdump extrai hashes NTLM do banco de dados SAM local.
• Kiwi (Mimikatz): Carregado no Meterpreter via load kiw[span_31](start_span)[span_31](end_span)i, esta ferramenta é capaz de extrair senhas em texto claro, tickets Kerberos e hashes NTLM diretamente da memória do processo lsass.exe (Local Security Authority Subsystem Service).

Hardening – Credential Guard: A defesa primária contra a extração de credenciais da memória é o Windows Defender Credential Guard. Esta funcionalidade utiliza virtualização baseada em hardware (VBS) para isolar o processo LSASS, impedindo que ferramentas como o Mimikatz acessem os segredos, mesmo que o atacante tenha privilégios de SYSTEM.

Movimentação Lateral: PsExec, WMI e Pass-the-Hash

Com credenciais ou hashes de administrador em mãos, o atacante busca comprometer outros sistemas.

• PsExec: O módulo exploit/windows/smb/psexec é o método clássico. Ele autentica via SMB, faz upload de um executável de serviço no compartilhamento ADMIN$ e o executa. Embora eficaz, gera artefatos forenses claros (criação de serviço, arquivo em disco).
• WMI (Windows Management Instrumentation): O uso de WMI (exploit/windows/local/wmi ou via ferramentas integradas) é mais furtivo, executando comandos diretamente via RPC/DCOM sem deixar arquivos em disco (ataque fileless). Isso é frequentemente usado para lançar PowerShell em máquinas remotas.
• Pass-the-Hash (PtH): O Metasploit permite usar o hash NTLM diretamente como senha nos módulos de SMB e WMI, eliminando a necessidade de quebrar a senha (cracking).

Hardening Contra Movimentação Lateral:

1. Firewall de Host: Bloquear a comunicação SMB (445) e RPC entre estações de trabalho. Workstations devem falar com servidores, não umas com as outras.
2. Modelo de Administração em Camadas (Tiering): Administradores de Domínio nunca devem logar em estações de trabalho inseguras. Isso previne que suas credenciais sejam expostas em máquinas de menor segurança.
3. Restrição de Serviços: Utilizar “Deny log on as a service” e “Deny log on as a batch job” para contas administrativas em estações de trabalho impede a execução remota via PsExec/WMI.

Ataques Avançados ao Active Directory: Kerberoasting e Golden Ticket

O Metasploit suporta ataques sofisticados contra a infraestrutura Kerberos.

• Kerberoasting: Identifica contas de serviço com SPNs (Service Principal Names) e solicita tickets TGS para elas. Esses tickets são criptografados com a senha da conta de serviço e podem ser quebrados offline para revelar a senha em texto claro. Contas de serviço antigas com senhas fracas são alvos fáceis.
• Golden Ticket: Se o atacante comprometer o hash da conta krbtgt (a conta de serviço do KDC), ele pode forjar um TGT (Ticket Granting Ticket) válido para qualquer usuário, com qualquer privilégio, garantindo persistência total e invisível no domínio.

Remediação de AD:

1. Senhas de Serviço Fortes: Contas de serviço com SPNs devem ter senhas aleatórias de 25+ caracteres, tornando o Kerberoasting computacionalmente inviável.
2. Proteção da Conta KRBTGT: A senha da conta krbtgt deve ser rotacionada regularmente (a cada 180 dias) e imediatamente após qualquer suspeita de comprometimento (rotacionada duas vezes para invalidar tickets antigos).

Persistência

Para garantir o retorno, atacantes instalam backdoors. O Metasploit automatiza isso via exploit/windows/local/persistence (chaves de registro Run) ou criação de Tarefas Agendadas e Serviços maliciosos que reiniciam o payload com o sistema.

Hardening: Monitoramento ativo de chaves de registro de inicialização (HKCU\…\Run, HKLM\…\Run) e eventos de criação de serviço (Event ID 7045) via SIEM é crucial para detecção precoce.

Fase VI: Relatórios e Integração de Ferramentas

A fase final e mais importante para o negócio é a documentação. O valor do pentest reside na capacidade de comunicar riscos técnicos em linguagem de impacto de negócio.

Gestão de Dados e Exportação

O banco de dados do Metasploit centraliza todas as descobertas. O comando db_export -f xml -o relatorio_final.xml permite exportar todos os hosts, serviços, vulnerabilidades e credenciais capturadas em um formato estruturado.

Integração com Dradis e Faraday

Para gerar relatórios profissionais e gerenciar o ciclo de vida das vulnerabilidades, a integração com plataformas de Reporting é recomendada.

• Dradis Framework: Permite importar o XML do Metasploit e mapear as descobertas técnicas para templates de relatório em Word/PDF, facilitando a colaboração da equipe e a consistência dos dados.
• Faraday: Oferece um dashboard colaborativo que ingere dados do Metasploit em tempo real ou via importação de XML, permitindo visualizar a superfície de ataque e o progresso do pentest de forma gráfica.

Guia Consolidado de Hardening e Remediação

Com base na análise dos vetores de ataque do Metasploit, apresentamos um quadro resumo das ações de hardening prioritárias para proteger a rede corporativa.

Camada 1: Redução da Superfície de Ataque (Prevenção de Reconhecimento)

Vetor de Ataque Metasploit	Controle de Hardening	Implementação Técnica (GPO/Registro)
SMB Scanning/Exploitation	Desabilitar SMBv1	GPO: Computer Configuration > Preferences > Windows Settings > Registry. Chave SMB1 em HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters = 0.
LLMNR/NBT-NS Poisoning	Desabilitar Protocolos	GPO: Computer Configuration > Administrative Templates > Network > DNS Client > Turn off multicast name resolution = Enabled.
Enumeração Anônima	Restringir Null Sessions	GPO: Network access: Do not allow anonymous enumeration of SAM accounts and shares = Enabled.

Camada 2: Mitigação de Exploração (Prevenção de Execução)

Vetor de Ataque Metasploit	Controle de Hardening	Implementação Técnica
Exploits Client-Side (Office)	Regras ASR	Habilitar regras ASR via Microsoft Endpoint Manager ou PowerShell (Set-MpPreference -AttackSurfaceReductionRules_Ids…). Focar em bloquear processos filhos do Office.
Payloads em Memória	AMSI e Proteção em Nuvem	Garantir que o Windows Defender “Cloud-delivered protection” esteja ativo e que o AMSI não possa ser desabilitado por usuários locais.
Exploits de Serviço	Patch Management	Estabelecer SLA de patching agressivo (e.g., 72h) para vulnerabilidades críticas com exploits públicos validados pelo Metasploit.

Camada 3: Defesa de Identidade e Movimentação (Pós-Exploração)

Vetor de Ataque Metasploit	Controle de Hardening	Implementação Técnica
Reuso de Senha Local	LAPS	Implementar Local Administrator Password Solution. Instalar o agente LAPS (CSE) em todas as estações e configurar GPO para reportar senhas ao AD.
Mimikatz (LSASS Dumping)	Credential Guard	Habilitar “Turn on Virtualization Based Security” via GPO e configurar “Credential Guard Configuration” para “Enabled with UEFI lock”.
Kerberoasting	Fortalecimento de Serviço	Auditar contas com SPNs (setspn -T domain -q */*) e impor senhas complexas (>25 caracteres). Usar Group Managed Service Accounts (gMSA) sempre que possível.
Movimentação Lateral	Segregação de Admin	Criar contas distintas para Admin de Estação, Servidor e Domínio. Bloquear login de contas de Admin de Domínio em estações via GPO “Deny log on locally”.

Conclusão

A aplicação do Metasploit Framework sob a metodologia PTES revela que a segurança de uma rede corporativa é frágil quando baseada apenas em patching e antivírus tradicionais. A capacidade do Metasploit de automatizar a descoberta, exploração e, crucialmente, a pós-exploração (movimentação lateral e roubo de credenciais), demonstra que o verdadeiro risco reside nas configurações inseguras da arquitetura Windows e na gestão de identidades.

A transição de uma postura reativa para uma defesa resiliente exige a implementação rigorosa das estratégias de hardening detalhadas neste relatório. Ao desabilitar protocolos legados, isolar credenciais críticas com tecnologias modernas (Credential Guard, LAPS) e segmentar a rede para conter a movimentação lateral, as organizações podem neutralizar não apenas as ferramentas automatizadas como o Metasploit, mas também os adversários humanos que utilizam táticas semelhantes para comprometer infraestruturas críticas. O teste de intrusão, portanto, cumpre seu papel final: não apenas apontar falhas, mas conduzir a evolução