Fórum Brasileiro de CSIRTs

A apresentação detalhará como construir um analisador de malware automatizado usando ferramentas gratuitas como IDA Free, Ghidra, JADX, APKtool e outras, interligadas via vscode ou opencode com modelos LLM locais ou na nuvem. Ao fim serão mostrados exemplos reais de relatórios criados usando a ferramenta a partir de campanhas reais como Grandoreiro, Sorvepotel, Eternidade Stealer entre outros.

Incidentes envolvendo exposição de dados pessoais costumam ser tratados como eventos isolados, limitados ao momento do vazamento ou da publicação indevida das informações. No entanto, a experiência prática demonstra a existência de uma camada operacional posterior e frequentemente negligenciada: a reutilização estruturada desses dados por painéis ilícitos de consulta.
Esses ambientes clandestinos consolidam múltiplas fontes informacionais, bases históricas expostas, credenciais comprometidas, integrações indevidas e mecanismos automatizados de consulta, convertendo dados dispersos em capacidade operacional imediata.
Para equipes de tratamento de incidentes, o fenômeno impõe novo desafio: responder não apenas ao vazamento original, mas também ao uso continuado e operacionalizado das informações expostas.
O objetivo é ampliar a leitura tradicional de incidentes de dados, demonstrando que, em muitos casos, o evento inicial não encerra o problema, apenas inaugura sua fase mais explorável.

As Resoluções CMN nº 5.274/2025 e BCB nº 538/2025 reforçam requisitos de segurança cibernética aplicáveis ao setor financeiro, especialmente relacionados à rastreabilidade, proteção da rede, monitoramento de conexões, tratamento de eventos atípicos, proteção de ambientes críticos, resposta a incidentes e documentação de evidências.
A palestra propõe uma abordagem técnica e operacional sobre como o uso de NetFlow/IPFIX pode apoiar instituições financeiras no atendimento prático a esses requisitos e demonstrar como a telemetria de fluxo de rede pode complementar outros controles, permitindo responder perguntas essenciais em investigações de segurança: quem comunicou com quem, quando, por qual porta, com qual volume, em qual direção, em qual segmento e com qual comportamento observado.
A apresentação abordará a relação entre os requisitos normativos e o uso operacional de NetFlow para apoiar rastreabilidade, proteção de rede, validação de segmentação, identificação de conexões indevidas, monitoramento de ambientes críticos como Pix, STR e RSFN, detecção de tráfego atípico e suporte à resposta a incidentes.

A apresentação abordará como os incidentes de grande impacto financeiro deixaram de se apoiar exclusivamente em vulnerabilidades técnicas complexas (como zero-days) para explorar um encadeamento de falhas estruturais, arquiteturais e de regras de negócio. O conteúdo trará uma análise das principais causas raízes identificadas em investigações forenses reais, devidamente anonimizadas, incluindo a exposição de credenciais hardcoded, ausência de Múltiplo Fator de Autenticação (MFA) em sistemas críticos, falhas de segregação de funções (SoD), comprometimento da cadeia de suprimentos (DevOps inseguro) e aliciamento de insiders. O objetivo é fornecer ao público do 14º Fórum Brasileiro de CSIRTs lições práticas de defesa, resposta e a importância da integração de uma governança técnico-jurídica, demonstrando como a rastreabilidade (logs) e a resposta rápida moldam o risco legal e regulatório perante órgãos como a ANPD e o Banco Central.

O aumento do volume de dados pessoais armazenados por organizações e a crescente pressão regulatória associada à proteção dessas informações tornam cada vez mais relevante a capacidade de equipes de resposta a incidentes investigarem eventos envolvendo acessos potencialmente indevidos a dados sensíveis.
Para equipes de CSIRT, um dos principais desafios está em distinguir atividades legítimas de comportamentos anômalos em ambientes complexos, onde usuários autorizados podem acessar grandes volumes de informação como parte de suas funções operacionais.
Esta apresentação discute uma abordagem metodológica para investigação de eventos envolvendo dados sensíveis, combinando práticas de resposta a incidentes (CSIRT), investigação forense digital (DFIR) e avaliação de impacto sob a perspectiva de proteção de dados.
Também serão discutidas práticas para reduzir falsos positivos, aprimorar a priorização de incidentes e estruturar playbooks específicos para investigações envolvendo acesso a informações sensíveis. Por fim, serão compartilhadas lições aprendidas relacionadas à evolução de processos de resposta a incidentes e à integração entre equipes de segurança da informação e programas de proteção de dados.

A palestra aborda a mudança de paradigma nos ataques cibernéticos modernos, onde os adversários não mais "hackeiam" sistemas, mas sim utilizam credenciais válidas para realizar acessos não autorizados. O foco central é a mitigação de riscos associados à gestão de contas privilegiadas (como senhas fracas, estáticas ou compartilhadas), demonstrando como implementar uma arquitetura Zero Trust robusta e de baixo custo utilizando ferramentas Open Source.

Esta palestra discute o que é CTI, inlcuindo a a diferença entre dados, informação e inteligência, e o ciclo de vida do CTI. Também são discutidas a função do CTI na organização, as competências essenciais do analista de CTI, o que é produzido e para quem, e os níveis de maturidade do Modelo CTI-CMM.

A adoção massiva de IA generativa nas organizações amplia a superfície de ataque e introduz riscos que não se encaixam nos modelos tradicionais de resposta a incidentes. O desafio deixa de ser exclusivamente técnico: como viabilizar o uso de IA em escala, com eficiência, sem comprometer a segurança e a continuidade do negócio?
Nesta apresentação, demonstramos como o CSIRT do Mercado Bitcoin estruturou uma abordagem de adoção segura de IA baseada em risco, eficiência operacional e ganho de escala. A abordagem combina a definição de limites de risco com a implementação de workflows específicos para tratamento de incidentes relacionados a IA e proteção de modelos e dados associados.
Também exploramos o uso da própria IA como aliada na segurança, potencializando processos de triagem, análise e automação, bem como os mecanismos adotados para manter governança e controle operacional sem inviabilizar a inovação.
Por fim, compartilhamos práticas adotadas, desafios enfrentados e lições aprendidas ao longo da jornada.

Esta palestra apresenta a atuação da Anatel no enfrentamento ao uso massivo de decodificadores piratas infectados, associados ao malware BadBox 2.0. Demonstra como esses dispositivos, amplamente distribuídos na borda da rede, são explorados como vetores para formação de botnets, execução de fraudes e ataques distribuídos. A palestra destaca desafios operacionais enfrentados por CSIRTs, incluindo baixa visibilidade, uso de CGNAT e infraestrutura distribuída. São discutidas estratégias práticas de detecção, mitigação e resposta coordenada, bem como lições aprendidas e recomendações aplicáveis à comunidade.

A elevação da complexidade e do número de casos de incidentes cibernéticos no escopo da Administração Pública Federal (APF) cria desafios para a padronização e a eficácia da comunicação de incidentes e de centros de resposta com seus respectivos públicos. Neste sentido, esta palestra apresenta os processos de comunicação de incidentes executados pelo Centro de Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov) no período de 2025 a 2026, dando ênfase à estruturação, automação e direcionamento da comunicação. Como organização descritiva, será utilizado o modelo de comunicação de Lasswell – "quem diz o quê, por qual canal, para quem e com que efeito".

A gestão de vulnerabilidades em ambientes institucionais enfrenta um desafio recorrente: o volume de achados costuma superar a capacidade operacional das equipes responsáveis por analisá-los e tratá-los.
Esta palestra apresenta a experiência do Tribunal Regional Eleitoral do Tocantins (TRE-TO) na evolução de seu processo de priorização de vulnerabilidades e como passou a incorporar referências como KEV (Known Exploited Vulnerabilities) e EPSS (Exploit Prediction Scoring System) na sua lógica de priorização, buscando maior aderência entre a decisão operacional e o risco efetivo. Serão apresentados os critérios adotados, a adaptação desses conceitos à ferramenta já utilizada pela instituição, a construção de consultas operacionais, a automação da extração de dados e a integração com painéis de apoio à decisão.
Trata-se de um relato aplicado e operacional, voltado a organizações que precisam tomar decisões práticas diante de restrições concretas de tempo, pessoal e capacidade de remediação.

A gestão da superfície de ataque continua sendo um grande desafio para equipes de segurança. Em ambientes dinâmicos e distribuídos, as organizações frequentemente não possuem visibilidade contínua dos serviços expostos dentro de seu próprio espaço de endereçamento.
Esta apresentação introduz os resultados iniciais do projeto ARGUS na RNP, uma iniciativa focada em melhorar a visibilidade dos ativos expostos na infraestrutura de rede. O projeto utiliza o framework IVRE para coletar, indexar e analisar dados relacionados à superfície de ataque exposta, combinando-o com outros componentes open source para viabilizar varredura contínua, análise histórica e processamento de dados em larga escala.
A apresentação demonstra como dados de varredura ativa, quando coletados e analisados continuamente ao longo do tempo, podem ser transformados em inteligência acionável para apoiar operações de Blue Team, SOC, CSIRT e Inteligência de Ameaças.

Um dos objetivos principais da etapa de análise no processo de resposta a incidentes, mais do que apontar a extensão dos danos, é possibilitar melhorias de segurança em diversos aspectos, como organizacionais, correção de vulnerabilidades, mudanças de arquitetura de rede, processos de detecção de ameaças, otimização do uso de ferramentas, entre outras.
Esta palestra trará a análise de um caso real de ransomware, com o objetivo de demonstrar que de cada achado deriva uma lição aprendida ou oportunidade perdida de detecção que poderão ser revertidas em melhorias para evitar incidentes futuros.

Esta palestra explora a evolução do ransomware sob a perspectiva de uma corrida armamentista contínua entre atacantes e defensores. Em vez de analisar apenas as técnicas de ransomware ou apenas as ferramentas de defesa, a apresentação mostra como cada avanço nas técnicas de ataque força uma evolução nas estratégias de defesa, e como novas capacidades de detecção levam os atacantes a desenvolver métodos cada vez mais sofisticados de evasão.
Ransomware deixou de ser apenas um tipo de malware. Hoje, ele representa um ecossistema criminoso altamente adaptável, que evolui constantemente em resposta às melhorias nas defesas corporativas. No cenário atual, o campo de batalha do ransomware já não é definido apenas por quem executa o malware, mas também por quem possui maior visibilidade e capacidade de resposta no ambiente comprometido.

A palestra tem como objetivo apresentar uma visão prática, baseada em casos reais de resposta a incidentes, sobre como o cenário de ameaças tem evoluído com a combinação de engenharia social, comprometimento de credenciais, abuso de ambientes de desenvolvimento, uso indevido de chaves de API, ransomware-as-a-service e uso inconsequente de agentes de inteligência artificial.

Apesar de as defesas de endpoint corporativo estarem cada vez mais maduras, os Initial Access Brokers (IABs) continuam inundando a dark web com credenciais válidas. A explicação para esse fato está em um vetor silencioso, massivo e que opera fora do controle dos SOCs: a contaminação de dispositivos pessoais é facilitada por plataformas de compartilhamento de conteúdo, como o YouTube.
Nesta apresentação, sairemos da teoria e abriremos os dados de um estudo empírico recente focado em mapear a cadeia de suprimentos de Infostealers distribuídos em vídeos no YouTube. Demonstraremos, com métricas e artefatos reais coletados em campo, como essas campanhas operam uma verdadeira "industrialização do cibercrime".
A apresentação abordará o dilema prático de quem lida com incidentes: como responder a um comprometimento corporativo grave quando a "paciente zero" é a máquina não gerenciada (pessoal) de um funcionário?
A palestra fornecerá insights operacionais para melhorar a triagem baseada em risco, integrar a inteligência de ameaças dessas campanhas na defesa ativa da identidade e adaptar os playbooks de resposta a incidentes para uma realidade onde a infecção acontece sem gerar um único alerta no EDR da empresa.

Apresentaremos a exploração de processos legítimos em departamentos administrativos como vetor de ataque, com foco em cenários reais, como a resposta a ofícios e demandas formais no departamento Jurídico.
A apresentação reforçará a postura que times de suporte técnico e resposta a incidentes (CSIRT/Help Desk) devem adotar em situações de urgência, especialmente quando lidam com demandas aparentemente válidas, mas potencialmente exploradas por agentes maliciosos.
O objetivo é promover uma visão prática e aplicável, conectando processo, tecnologia e pessoas, para reduzir o risco operacional associado à exploração de fluxos administrativos legítimos.

Este tutorial prático, ministrado por um dos membros da Equipe de Desenvolvimento do MISP, mostrará como integrar a plataforma MISP com ferramentas de operação de segurança, como Wazuh, Zeek e Suricata.
Além destas integrações, o tutorial também cobrirá workflows e como fazer a curadoria de IoCs antes de integrá-los com as demais ferramentas.

Honeypots permitem observar ataques reais na internet e coletar dados valiosos sobre atividades maliciosas. No entanto, transformar esses dados em inteligência acionável ainda é um desafio para muitas organizações.
Nesta apresentação, demonstramos como dados coletados por honeypots podem ser processados, enriquecidos e transformados em indicadores de comprometimento (IOCs) estruturados. Mostraremos uma abordagem prática para integrar essas informações ao MISP, permitindo o compartilhamento de inteligência entre equipes de segurança e CSIRTs.
A palestra apresentará exemplos reais de ataques coletados, bem como o processo de transformação desses eventos em inteligência utilizável para detecção, correlação e defesa.

O compartilhamento de inteligência é motivado por diferentes objetivos, incluindo resposta em tempo real a incidentes, análise pós-incidente e produção de inteligência estratégica. Entretanto, esse processo apresenta desafios significativos, como a presença de dados sensíveis, o risco de vazamento e a falta de confiança entre organizações. Nesse contexto, o compartilhamento sem controle pode ser tão prejudicial quanto a ausência de compartilhamento, evidenciando a necessidade de abordagens estruturadas.
Esta palestra apresenta o uso de MISP pelo SERPRO e evidencia que o uso eficiente do MISP depende não apenas de sua adoção tecnológica, mas da integração entre processos, automação e governança, reforçando que o compartilhamento inteligente sobre ameaças exige uma abordagem estruturada, segura e orientada à geração de valor.

Esta palestra apresenta uma abordagem prática para enriquecimento de Threat Hunting utilizando MISP e Maltego, integrados a múltiplas fontes como SIEM, sandbox de malware e feeds externos de Threat Intelligence. O fluxo contempla a coleta inicial de artefatos a partir de atividades de Threat Hunting proativo ou de alertas gerados por soluções de SIEM, seguida do enriquecimento e correlação de indicadores (IOCs) no MISP. Esses dados são expandidos com análise em sandbox e validação em fontes externas, permitindo maior contexto e redução de falsos positivos.
O Maltego é utilizado para pivoting e análise visual das relações entre indicadores, possibilitando a identificação de infraestruturas maliciosas e padrões de ataque. A partir dessa correlação, são aplicadas técnicas de Threat Hunting orientadas por inteligência para busca ativa no ambiente.
Por fim, os resultados apoiam ações de resposta e mitigação, incluindo bloqueios em controles como Firewall, IDS/IPS e WAF.