Pular para o conteúdo
Categoria: Pentest & Hacking Ético13 min de leitura

MITRE ATT&CK: o mapa das táticas de ataque

Por Schematize Blog ·

Entenda como o framework MITRE ATT&CK cataloga táticas e técnicas reais de adversários e como usá-lo para orientar tanto a defesa quanto operações ofensivas, com exemplos práticos de mapeamento, detecção e emulação.

Quando um atacante invade uma rede, ele não improvisa do zero — segue padrões que se repetem entre campanhas, grupos e anos. O framework MITRE ATT&CK nasceu exatamente para catalogar esses padrões a partir de observações do mundo real. Neste artigo você vai entender como o ATT&CK organiza táticas e técnicas, como navegar pela matriz, e como usá-lo para defender melhor e atacar com mais método — com exemplos concretos de mapeamento e detecção.

O que é o MITRE ATT&CK

ATT&CK significa Adversarial Tactics, Techniques, and Common Knowledge. É uma base de conhecimento, mantida pela MITRE Corporation, que documenta o comportamento real de adversários em ambientes de produção (MITRE, 2020). Em vez de teorizar sobre o que poderia acontecer, o ATT&CK descreve o que de fato foi observado em ataques.

A grande virada conceitual do ATT&CK é mudar o foco. Em vez de pensar em vulnerabilidades isoladas, ele pensa em comportamento. Um adversário pode trocar de exploit, mas a tática de "obter persistência" ou "mover-se lateralmente" tende a permanecer. Catalogar comportamento, e não apenas falhas, torna o conhecimento mais durável.

O projeto começou dentro da MITRE em 2013, a partir de um esforço de pesquisa interno chamado FMX (Fort Meade Experiment), que buscava medir o quão bem a telemetria de endpoints permitia detectar adversários após o comprometimento inicial. A constatação foi clara: faltava um vocabulário comum para descrever o que os atacantes faziam depois de entrar. O ATT&CK preencheu essa lacuna e, desde então, tornou-se referência mundial, atualizado periodicamente com novas técnicas observadas em campo.

O lugar do ATT&CK na "pirâmide da dor"

Para entender por que o ATT&CK é tão valioso, ajuda lembrar o conceito da Pyramid of Pain (Bianco, 2013). Indicadores como hashes de arquivo e endereços IP são triviais para o atacante trocar — bloqueá-los causa pouca "dor". Já as táticas, técnicas e procedimentos (TTPs) estão no topo da pirâmide: são caras de mudar, porque representam o jeito de operar do adversário. O ATT&CK é, essencialmente, um catálogo estruturado de TTPs — exatamente a camada que mais machuca o atacante quando você consegue detectá-la.

Táticas: o "porquê" do ataque

No vocabulário do ATT&CK, uma tática representa o objetivo do adversário em um dado momento — a razão de uma ação. As táticas são organizadas como colunas em uma grande matriz e descrevem a jornada típica de um ataque.

Algumas das táticas principais, em ordem aproximada de uma intrusão:

    Cada tática responde à pergunta "o que o atacante quer aqui?". A resposta para "como ele consegue isso?" está nas técnicas. Vale destacar que a ordem das colunas não é uma sequência rígida: um adversário pode pular táticas, repetir outras e alternar entre elas várias vezes ao longo de uma intrusão.

    Técnicas: o "como" do ataque

    Dentro de cada tática existem técnicas — os métodos concretos para alcançar o objetivo. Por exemplo, dentro da tática Privilege Escalation há técnicas como abuso de tokens, exploração de configurações de serviço e abuso de mecanismos de elevação. Esse mapeamento é tão direto que um guia inteiro de escalação de privilégios pode ser lido como um passeio pelas técnicas dessa tática.

    As técnicas têm identificadores no formato Txxxx e muitas se desdobram em sub-técnicas, no formato Txxxx.yyy, que detalham variações específicas. Por exemplo, a técnica T1059 (Command and Scripting Interpreter) tem sub-técnicas como T1059.001 (PowerShell) e T1059.003 (Windows Command Shell). Cada entrada de técnica costuma trazer:

      Essa estrutura faz do ATT&CK não só um catálogo, mas um manual prático de defesa.

      Táticas, técnicas e procedimentos: a distinção que importa

      Uma confusão comum é tratar "técnica" e "procedimento" como sinônimos. No ATT&CK:

        Distinguir os dois é crucial na hora de escrever regras de detecção. Detectar um procedimento específico (uma assinatura de ferramenta) é frágil — basta trocar a ferramenta. Detectar a técnica subjacente (acesso anômalo à memória do LSASS) é muito mais robusto.

        A estrutura da matriz

        O ATT&CK é mais conhecido por sua matriz, uma grade onde as colunas são táticas e as células abaixo são técnicas. Ler a matriz da esquerda para a direita aproxima-se de seguir o ciclo de vida de um ataque.

        Existem matrizes diferentes para contextos diferentes:

          Essa segmentação garante que as técnicas sejam relevantes ao ambiente analisado, em vez de uma lista genérica e pouco acionável.

          ATT&CK Navigator: visualizando cobertura

          A MITRE disponibiliza uma ferramenta web gratuita, o ATT&CK Navigator, que permite "pintar" técnicas sobre a matriz, criar camadas (layers) e combiná-las. Um uso típico é gerar três camadas — "ameaças relevantes ao meu setor", "minha cobertura de detecção atual" e "o que o último pentest emulou" — e sobrepô-las para enxergar lacunas. Cada layer é um arquivo JSON, o que facilita versioná-lo no Git e acompanhar a evolução da postura de segurança ao longo do tempo.

          {
  "name": "Cobertura de deteccao - Q2",
  "domain": "enterprise-attack",
  "techniques": [
    { "techniqueID": "T1059.001", "score": 100, "comment": "PowerShell: logging + Sigma rule ativa" },
    { "techniqueID": "T1003.001", "score": 40,  "comment": "LSASS dump: detecção parcial, sem EDR" },
    { "techniqueID": "T1566.001", "score": 0,   "comment": "Spearphishing anexo: ponto cego" }
  ]
}

          Um score de 0 a 100 vira um mapa de calor: vermelho onde não há detecção, verde onde há. Esse artefato simples comunica risco para liderança técnica e não técnica de forma imediata.

          Recursos do ecossistema ATT&CK

          Em torno da base de conhecimento, a MITRE e a comunidade construíram um ecossistema que vale conhecer:

            Conhecer esse ecossistema evita reinventar a roda: muita coisa que você precisaria construir já existe, aberta e mapeada ao mesmo vocabulário.

            ATT&CK para a defesa

            Do lado defensivo, o ATT&CK virou uma linguagem comum. Equipes de segurança o usam para:

              Esse uso defensivo conversa diretamente com práticas de threat modeling: ao desenhar um sistema, você pode antecipar quais técnicas um adversário tentaria e projetar controles correspondentes, na linha do que propõe Shostack (2014).

              Detecções baseadas em ATT&CK na prática

              A força do lado defensivo aparece quando você conecta o ATT&CK à sua telemetria. O modelo de dados do ATT&CK lista, para cada técnica, fontes de dados (data sources) úteis — por exemplo, logs de criação de processo, chamadas de API ou tráfego de rede. Projetos abertos como Sigma (regras de detecção independentes de SIEM) e o MITRE CAR (Cyber Analytics Repository) já trazem regras mapeadas a técnicas ATT&CK.

              Um exemplo de regra Sigma para a sub-técnica T1003.001 (despejo de credenciais do LSASS):

              title: Acesso suspeito a memoria do LSASS
status: experimental
logsource:
  product: windows
  category: process_access
detection:
  selection:
    TargetImage|endswith: '\lsass.exe'
    GrantedAccess: '0x1410'
  condition: selection
tags:
  - attack.credential_access
  - attack.t1003.001
level: high

              Note as tags attack.t1003.001: elas amarram a regra à técnica, permitindo que ferramentas calculem automaticamente sua cobertura no Navigator. Esse é o tipo de integração que transforma o ATT&CK de teoria em operação.

              ATT&CK para a ofensa

              Do lado ofensivo, o framework é igualmente valioso. Pentesters e equipes red team usam o ATT&CK para:

                Essa narrativa por táticas e técnicas eleva a qualidade do relatório e deve fazer parte de qualquer metodologia de pentest moderna. O cliente não recebe uma lista solta de achados, mas uma história coerente de como um adversário avançaria.

                Emulação de adversários e Atomic Red Team

                A emulação de adversários (adversary emulation) é o uso mais avançado do ATT&CK na ofensiva. Em vez de testar técnicas aleatórias, a equipe escolhe um grupo real cujo perfil ameaça a organização e reproduz a cadeia de TTPs que ele costuma usar. A própria MITRE publica adversary emulation plans para grupos conhecidos, descrevendo passo a passo a sequência de técnicas.

                Para validações mais rápidas e granulares, o projeto Atomic Red Team oferece testes pequenos e atômicos, cada um mapeado a uma técnica. Um "atômico" para T1059.001 pode ser simplesmente um comando PowerShell que dispara o comportamento esperado, permitindo que o time azul verifique se a detecção acende:

                # Atomic test para T1059.001 - execucao via PowerShell encoded
$cmd = "Write-Host 'Atomic test T1059.001'"
$bytes = [System.Text.Encoding]::Unicode.GetBytes($cmd)
$encoded = [Convert]::ToBase64String($bytes)
powershell.exe -EncodedCommand $encoded

                Rodar esse teste em um ambiente controlado e verificar se o SIEM gerou alerta é um ciclo de validação que fecha o laço entre ofensa e defesa — conhecido como purple teaming.

                Caso prático: descrevendo uma intrusão em linguagem ATT&CK

                Para sentir o valor do framework, veja como um mesmo incidente soa descrito de forma solta versus mapeado ao ATT&CK.

                Descrição solta: "O atacante mandou um e-mail com anexo malicioso, a vítima abriu, ele rodou um script, conseguiu virar admin, pulou para outro servidor e levou o banco de dados."

                A mesma história em ATT&CK fica acionável:

                  A versão mapeada é instantaneamente comparável a outros incidentes, conecta-se a mitigações e detecções documentadas para cada técnica, e cabe num layer do Navigator. Esse é o ganho concreto de adotar o vocabulário.

                  Como começar a usar o ATT&CK

                  Adotar o ATT&CK não exige uma transformação de uma vez. Um caminho gradual funciona melhor:

                    O objetivo não é preencher toda a grade, mas usar o ATT&CK como uma bússola que orienta decisões.

                    Erros comuns ao adotar o ATT&CK

                      Perguntas frequentes

                      O ATT&CK é a mesma coisa que a Cyber Kill Chain? Não. A Cyber Kill Chain da Lockheed Martin (Hutchins et al., 2011) descreve as fases de um ataque em alto nível, do reconhecimento à ação sobre os objetivos. O ATT&CK é muito mais granular: detalha centenas de técnicas concretas dentro de cada fase. Os dois são complementares — a Kill Chain dá a visão macro, o ATT&CK dá o detalhe acionável.

                      O ATT&CK serve só para Windows? Não. A matriz Enterprise cobre Windows, Linux, macOS, nuvem (AWS, Azure, GCP, SaaS), redes, contêineres e identidade. Há ainda matrizes dedicadas para Mobile e para sistemas industriais (ICS).

                      Preciso de ferramentas pagas para usar o ATT&CK? Não. A base de conhecimento, o Navigator, o Atomic Red Team, o Sigma e o CAR são todos gratuitos e abertos. Ferramentas comerciais (EDRs, SIEMs) frequentemente já mapeiam suas detecções a técnicas ATT&CK, o que ajuda, mas não é pré-requisito.

                      Com que frequência o ATT&CK muda? A MITRE publica novas versões periodicamente, adicionando técnicas, reorganizando sub-técnicas e ajustando descrições conforme novas observações surgem. Vale fixar a versão do ATT&CK usada em um relatório, pois identificadores e estrutura podem evoluir entre releases.

                      Conclusão

                      O MITRE ATT&CK é um mapa do comportamento real de adversários, organizado em táticas (o porquê) e técnicas (o como), apresentado em uma matriz que espelha o ciclo de vida de um ataque. Sua força está em catalogar comportamento durável — TTPs no topo da pirâmide da dor — em vez de falhas passageiras, o que o torna útil tanto para defender quanto para atacar. Use-o para mapear sua cobertura de detecção com o Navigator, escrever regras Sigma amarradas a técnicas, validar defesas com Atomic Red Team e dar profundidade ao seu threat modeling e aos seus relatórios de pentest. Dominar essa linguagem comum coloca você em sintonia com a forma como a indústria inteira pensa segurança ofensiva e defensiva.

                      Referências

                        Leituras relacionadas

                        1 min de leitura

                        'Burp Suite: o canivete suíço do pentester web'

                        Domine o Burp Suite de ponta a ponta — configure o proxy, intercepte e modifique requisições, use Repeater e Intruder, gerencie escopo e organize seu fluxo de teste de aplicações web com ética e método.

                        Ler →
                        1 min de leitura

                        OWASP ZAP vs Burp Suite: qual scanner usar?

                        Comparação prática e aprofundada entre OWASP ZAP e Burp Suite, as duas principais ferramentas de teste de segurança de aplicações web, com critérios para escolher a certa em cada cenário.

                        Ler →

                        Exploração de vulnerabilidades: do CVE ao exploit

                        Entenda como uma vulnerabilidade catalogada como CVE vira um exploit funcional, o papel do CVSS, do Metasploit e do MITRE ATT&CK, e como pensar como atacante de forma ética.

                        Ler →

                        Nenhum comentário ainda

                        Seja o primeiro a comentar.

                        Deixe seu comentário

                        Entre com sua conta Canverly para comentar. Você pode usar a mesma conta em qualquer site da rede.

                        Entrar com Canverly