branch/feat-caos-recursivo-na-sexta
O café na minha caneca não é mais uma bebida; é um artefato arqueológico da sprint passada, uma mistura de sedimentos de cafeína e desespero. Olho para o Slack e vejo o canal de incidentes brilhando com aquela intensidade de quem acabou de descobrir que o "firewall de próxima geração" foi derrotado por um arquivo .lnk mal-intencionado. Enquanto isso, o Jira me encara com 42 tickets de "prioridade máxima", e eu me pergunto em qual momento da evolução humana decidimos que colocar toda a infraestrutura do mundo nas mãos de drivers de anti-cheat de videogame era uma estratégia sólida de segurança. Spoiler: não era.
O Circo dos Drivers: BYOVD é o Novo "Hello World"
A moda agora, ao que parece, é o BYOVD (Bring Your Own Vulnerable Driver). É como se os atacantes tivessem decidido que invadir um sistema pela porta da frente dá muito trabalho, então eles simplesmente trazem a própria marreta de casa. Temos o STProcessMonitorBYOVD e o KillChain (CVE-2026-0828), que usam drivers de monitoramento de processos para, ironicamente, assassinar processos de EDR e AV. Mas a cereja do bolo — ou o prego no caixão — é o CVE-2025-61155. Um driver de anti-cheat chamado GameDriverX64.sys tem uma vulnerabilidade de IOCTL que permite que qualquer processo de usuário, sem privilégio algum, termine serviços críticos do sistema. Sim, o software que deveria impedir você de usar "aimbot" no Counter-Strike agora é a ferramenta favorita para decapitar o Windows Defender.
E por falar em ironia refinada, temos o KslDump e o KslKatz. Sabe o que eles usam? O driver KslD.sys, assinado pela própria Microsoft e que vem pré-instalado com o Windows Defender. A Microsoft tentou dar um "patch" anulando a função MmCopyMemory na versão atual, mas esqueceu a versão antiga, vulnerável, mofando no diretório de drivers. O atacante não precisa baixar nada suspeito; ele só aponta o serviço para o lixo que a própria Microsoft deixou debaixo do tapete. É o equivalente digital a ser assaltado com a própria chave reserva que você esqueceu no vaso de plantas.
Rust, Crystal e Outras Esquisitices de Performance
Enquanto o pessoal de infraestrutura tenta entender por que os servidores estão morrendo, a galera de Red Team está vivendo o renascimento artístico. O Rustbof agora permite escrever Beacon Object Files (BOFs) em Rust com suporte completo a no_std. É o fim da era do C mal escrito que crasha o Beacon; agora temos segurança de memória para nossos exploits de memória.
Não satisfeitos, lançaram o KaplaStrike, um loader reflexivo escrito em Crystal (sim, aquela linguagem que parece Ruby mas corre como C). Ele faz module overloading, call stack spoofing e remove assinaturas YARA do Crystal Palace. É o ataque gourmet: performático, elegante e completamente invisível para o EDR que, a essa altura, já foi finalizado por um driver de anti-cheat de 2023.
Active Directory: O Labirinto que Nunca Termina
O Active Directory continua sendo aquele monólito de dívida técnica que todos fingimos entender. O adwsdomaindump agora foca no ADWS (Active Directory Web Services), porque aparentemente o LDAP clássico já estava ficando muito barulhento. E se você acha que "Trust de uma via" significa segurança, o artigo "Trust no one" e a ferramenta TDO_dump vieram para provar que a confiança é uma via de mão dupla para quem sabe onde cavar. O comprometimento da floresta que confia dá acesso autenticado à floresta confiada. É como descobrir que o seu vizinho, a quem você só emprestou a chave da garagem, na verdade tem uma passagem secreta para o seu quarto.
Para fechar o pacote de pesadelos do AD, temos o LDAPNomNom, que faz brute force de usuários via LDAP Ping a uma velocidade de 50 mil requisições por segundo sem gerar um único log de auditoria. É o pesadelo de qualquer analista de SOC que depende de logs para dormir à noite.
EDRs: Quem Vigia os Vigilantes?
O CVE-2025-13176 no ESET Inspect Connector é poesia pura. O processo roda como SYSTEM e tenta carregar um arquivo de configuração do OpenSSL de um caminho que não existe... mas que um usuário comum pode criar. Você cria a pasta, joga uma DLL maliciosa e o EDR, o guardião da moral e dos bons costumes, carrega sua carga com privilégios máximos.
E se você não quiser carregar nada, pode usar o VMkatz. Por que exfiltrar um Snapshot de memória de 64GB quando você pode extrair segredos do Windows (hashes NTLM, tickets Kerberos) diretamente do disco virtual no NAS ou no hypervisor? É o Mimikatz com preguiça de dar deploy.
O Grande Inventário do Caos
Abaixo, os commits que ninguém deveria ter aprovado, mas que estão rodando na sua rede agora:
- LSA Whisper BOF: Fala direto com as autenticações do Windows sem tocar na memória do LSASS. PPL e Credential Guard mandaram abraços.
- UnderlayCopy_bof: Copia arquivos travados (SAM, SYSTEM, NTDS.dit) via parsing bruto da MFT. Sem VSS, sem APIs de registro, apenas a verdade nua e crua do sistema de arquivos.
- openDCIM RCE: Uma sequência de SQL Injection para envenenamento de configuração que vira RCE unauthenticated em ambientes Docker. Quem diria que deixar o install.php aberto depois da instalação daria problema, não é mesmo?
- TailVNC: Persistência via rede mesh do Tailscale. Um VNC criptografado que não expõe portas, mas expõe sua alma para o atacante.
- ICMP-Ghost: Um agente C2 escrito em puro assembly x64 para Linux que usa túneis ICMP. É tão minimalista que chega a ser desrespeitoso com os frameworks modernos.
A filosofia do desenvolvimento moderno parece ter convergido para um ponto singular: a complexidade é a maior aliada da entropia. Nós empilhamos camadas de segurança sobre drivers de terceiros, que rodam sobre kernels legados, gerenciados por scripts de automação que ninguém mais sabe como funcionam.
O resultado é um ecossistema onde um arquivo .lnk mal configurado (alô, Lnk-it-up) pode contornar o SmartScreen e o Mark of the Web simplesmente porque "parece um executável confiável". Nós construímos fortalezas digitais com portas de titânio, mas esquecemos que a dobradiça é feita de papel crepom e um driver de anti-cheat que alguém escreveu num final de semana regado a energético em 2018.
Escalar microserviços sem observabilidade é perigoso, mas escalar vetores de ataque usando os próprios componentes "protegidos" do sistema operacional é a ironia final. O Windows tornou-se um grande jogo de Jenga, onde cada nova ferramenta de "segurança" é apenas mais um bloco que o atacante pode puxar para ver o prédio cair.
Vou tentar terminar esse PR antes que o meu container de Jenkins decida que também é vulnerável a uma execução de código remota via variável de ambiente não higienizada. A verdade é que o código é efêmero, o bug é eterno, e o git push --force é a única forma de sentir algum controle sobre o vazio.
"No início, era o bit. Depois veio o driver assinado. E então, o caos percebeu que não precisava de exploit, precisava apenas de um caminho de busca mal configurado."
Status: Merged with conflicts (mental and technical).
branch/feat-caos-recursivo-na-sexta
O café na minha caneca não é mais uma bebida; é um artefato arqueológico da sprint passada, uma mistura de sedimentos de cafeína e desespero. Olho para o Slack e vejo o canal de incidentes brilhando com aquela intensidade de quem acabou de descobrir que o "firewall de próxima geração" foi derrotado por um arquivo .lnk mal-intencionado. Enquanto isso, o Jira me encara com 42 tickets de "prioridade máxima", e eu me pergunto em qual momento da evolução humana decidimos que colocar toda a infraestrutura do mundo nas mãos de drivers de anti-cheat de videogame era uma estratégia sólida de segurança. Spoiler: não era.
O Circo dos Drivers: BYOVD é o Novo "Hello World"
A moda agora, ao que parece, é o BYOVD (Bring Your Own Vulnerable Driver). É como se os atacantes tivessem decidido que invadir um sistema pela porta da frente dá muito trabalho, então eles simplesmente trazem a própria marreta de casa. Temos o STProcessMonitorBYOVD e o KillChain (CVE-2026-0828), que usam drivers de monitoramento de processos para, ironicamente, assassinar processos de EDR e AV. Mas a cereja do bolo — ou o prego no caixão — é o CVE-2025-61155. Um driver de anti-cheat chamado GameDriverX64.sys tem uma vulnerabilidade de IOCTL que permite que qualquer processo de usuário, sem privilégio algum, termine serviços críticos do sistema. Sim, o software que deveria impedir você de usar "aimbot" no Counter-Strike agora é a ferramenta favorita para decapitar o Windows Defender.
E por falar em ironia refinada, temos o KslDump e o KslKatz. Sabe o que eles usam? O driver KslD.sys, assinado pela própria Microsoft e que vem pré-instalado com o Windows Defender. A Microsoft tentou dar um "patch" anulando a função MmCopyMemory na versão atual, mas esqueceu a versão antiga, vulnerável, mofando no diretório de drivers. O atacante não precisa baixar nada suspeito; ele só aponta o serviço para o lixo que a própria Microsoft deixou debaixo do tapete. É o equivalente digital a ser assaltado com a própria chave reserva que você esqueceu no vaso de plantas.
Rust, Crystal e Outras Esquisitices de Performance
Enquanto o pessoal de infraestrutura tenta entender por que os servidores estão morrendo, a galera de Red Team está vivendo o renascimento artístico. O Rustbof agora permite escrever Beacon Object Files (BOFs) em Rust com suporte completo a no_std. É o fim da era do C mal escrito que crasha o Beacon; agora temos segurança de memória para nossos exploits de memória.
Não satisfeitos, lançaram o KaplaStrike, um loader reflexivo escrito em Crystal (sim, aquela linguagem que parece Ruby mas corre como C). Ele faz module overloading, call stack spoofing e remove assinaturas YARA do Crystal Palace. É o ataque gourmet: performático, elegante e completamente invisível para o EDR que, a essa altura, já foi finalizado por um driver de anti-cheat de 2023.
Active Directory: O Labirinto que Nunca Termina
O Active Directory continua sendo aquele monólito de dívida técnica que todos fingimos entender. O adwsdomaindump agora foca no ADWS (Active Directory Web Services), porque aparentemente o LDAP clássico já estava ficando muito barulhento. E se você acha que "Trust de uma via" significa segurança, o artigo "Trust no one" e a ferramenta TDO_dump vieram para provar que a confiança é uma via de mão dupla para quem sabe onde cavar. O comprometimento da floresta que confia dá acesso autenticado à floresta confiada. É como descobrir que o seu vizinho, a quem você só emprestou a chave da garagem, na verdade tem uma passagem secreta para o seu quarto.
Para fechar o pacote de pesadelos do AD, temos o LDAPNomNom, que faz brute force de usuários via LDAP Ping a uma velocidade de 50 mil requisições por segundo sem gerar um único log de auditoria. É o pesadelo de qualquer analista de SOC que depende de logs para dormir à noite.
EDRs: Quem Vigia os Vigilantes?
O CVE-2025-13176 no ESET Inspect Connector é poesia pura. O processo roda como SYSTEM e tenta carregar um arquivo de configuração do OpenSSL de um caminho que não existe... mas que um usuário comum pode criar. Você cria a pasta, joga uma DLL maliciosa e o EDR, o guardião da moral e dos bons costumes, carrega sua carga com privilégios máximos.
E se você não quiser carregar nada, pode usar o VMkatz. Por que exfiltrar um Snapshot de memória de 64GB quando você pode extrair segredos do Windows (hashes NTLM, tickets Kerberos) diretamente do disco virtual no NAS ou no hypervisor? É o Mimikatz com preguiça de dar deploy.
O Grande Inventário do Caos
Abaixo, os commits que ninguém deveria ter aprovado, mas que estão rodando na sua rede agora:
A filosofia do desenvolvimento moderno parece ter convergido para um ponto singular: a complexidade é a maior aliada da entropia. Nós empilhamos camadas de segurança sobre drivers de terceiros, que rodam sobre kernels legados, gerenciados por scripts de automação que ninguém mais sabe como funcionam.
O resultado é um ecossistema onde um arquivo .lnk mal configurado (alô, Lnk-it-up) pode contornar o SmartScreen e o Mark of the Web simplesmente porque "parece um executável confiável". Nós construímos fortalezas digitais com portas de titânio, mas esquecemos que a dobradiça é feita de papel crepom e um driver de anti-cheat que alguém escreveu num final de semana regado a energético em 2018.
Escalar microserviços sem observabilidade é perigoso, mas escalar vetores de ataque usando os próprios componentes "protegidos" do sistema operacional é a ironia final. O Windows tornou-se um grande jogo de Jenga, onde cada nova ferramenta de "segurança" é apenas mais um bloco que o atacante pode puxar para ver o prédio cair.
Vou tentar terminar esse PR antes que o meu container de Jenkins decida que também é vulnerável a uma execução de código remota via variável de ambiente não higienizada. A verdade é que o código é efêmero, o bug é eterno, e o git push --force é a única forma de sentir algum controle sobre o vazio.