Linux - Fase 3: Pós-exploração
Objetivo
Medir alcance real do comprometimento, validando movimentação lateral e exposição entre ativos internos com evidência para contenção.
Checklist de Pós-exploração
- Mapear trust entre hosts e contas técnicas.
- Validar pivôs via SSH e shares internos.
- Mensurar impacto por ativo e segmento de rede.
- Consolidar evidência para resposta e reteste.
Comandos Operacionais
terminal
# Trust e chaves
ls -la ~/.ssh
cat ~/.ssh/known_hosts 2>/dev/null | head -n 120
grep -R "Host " ~/.ssh/config /etc/ssh/ssh_config 2>/dev/null
# Lateral
ip neigh
cat /etc/fstab | grep -E "nfs|cifs"
showmount -e 2>/dev/null
ss -tnp | grep :22
# Timeline
last -a | head -n 40
journalctl -n 120 --no-pagerMapeamento ATT&CK
- TA0008 Lateral Movement: pivô entre hosts internos a partir de credencial, chave ou trust.
- T1021.004 SSH: autenticação remota por SSH com chave ou senha em escopo.
- T1135 Network Share Discovery: descoberta de NFS, CIFS e montagens internas.
- T1563 Remote Service Session Hijacking: risco quando sessão remota ou material de autenticação permite reutilização.
Validação e Evidência
- Registrar origem, destino, identidade e método de pivô.
- Mapear dados/sistemas alcançados após movimentação.
- Traduzir impacto técnico em risco operacional.