# TA0001 — Initial Access ## Descrição O Acesso Inicial é a primeira interação do adversário com o ambiente da vítima — o momento em que a barreira perimetral é quebrada. Esta tática agrupa todas as técnicas usadas para obter uma posição inicial dentro de uma rede: exploração de aplicações expostas, phishing, comprometimento de cadeia de suprimento, acesso via credenciais válidas obtidas anteriormente e aproveitamento de serviços de acesso remoto. É a fase de maior visibilidade para equipes de defesa, pois frequentemente envolve comunicação com infraestrutura externa e criação de novos processos. No entanto, adversários sofisticados como [[g0016-apt29|APT29]] utilizam técnicas de acesso inicial que mimetizam comportamento legítimo — como login via credenciais válidas roubadas em [[t1078-valid-accounts|T1078]] — tornando a detecção baseada apenas em anomalias ineficaz. No Brasil e LATAM, as técnicas de acesso inicial mais prevalentes são [[t1566-phishing|phishing]] (especialmente com documentos Office maliciosos e links via WhatsApp), exploração de aplicações web expostas (T1190) e uso de credenciais vazadas em ataques de credential stuffing. O setor [[financial|financeiro]] é o principal alvo, seguido por [[government|governo]] e [[healthcare|saúde]]. ## Posição no Kill Chain ```mermaid graph TB R["Reconhecimento"]:::inactive --> RD["Desenvolvimento<br/>de Recursos"]:::inactive RD --> IA["🚪 Acesso Inicial"]:::active IA --> EX["Execução"]:::inactive EX --> PE["Persistência"]:::inactive PE --> PR["Esc. Privilégios"]:::inactive PR --> DE["Evasão de Defesas"]:::inactive DE --> CA["Acesso a<br/>Credenciais"]:::inactive CA --> DI["Descoberta"]:::inactive DI --> LM["Mov. Lateral"]:::inactive LM --> CO["Coleta"]:::inactive CO --> C2["Comando e<br/>Controle"]:::inactive C2 --> EXF["Exfiltração"]:::inactive EXF --> IM["Impacto"]:::inactive classDef active fill:#e74c3c,color:#fff,stroke:#c0392b,stroke-width:3px classDef inactive fill:#2c3e50,color:#95a5a6,stroke:#1a252f ``` ## Técnicas desta Tática no Vault %% ```dataview TABLE WITHOUT ID link(file.link, title) AS "Nota", mitre-id AS "ID", title AS "Técnica", platforms AS "Plataformas" FROM "ttp/techniques" WHERE contains(mitre-tactic, "Initial Access") SORT mitre-id ASC ``` %% <!-- QueryToSerialize: TABLE WITHOUT ID link(file.link, title) AS "Nota", mitre-id AS "ID", title AS "Técnica", platforms AS "Plataformas" FROM "ttp/techniques" WHERE contains(mitre-tactic, "Initial Access") SORT mitre-id ASC --> <!-- SerializedQuery: TABLE WITHOUT ID link(file.link, title) AS "Nota", mitre-id AS "ID", title AS "Técnica", platforms AS "Plataformas" FROM "ttp/techniques" WHERE contains(mitre-tactic, "Initial Access") SORT mitre-id ASC --> | Nota | ID | Técnica | Plataformas | | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | --------- | --------------------------------------------------------------------- | ------------------------------------------------------------------------------------------------------------------------------ | | [[t1189-drive-by-compromise\|T1189 - Drive-by Compromise]] | T1189 | T1189 - Drive-by Compromise | <ul><li>Identity Provider</li><li>Linux</li><li>macOS</li><li>Windows</li></ul> | | [[t1190-exploit-public-facing-application\|T1190 - Exploit Public-Facing Application]] | T1190 | T1190 - Exploit Public-Facing Application | <ul><li>Containers</li><li>ESXi</li><li>IaaS</li><li>Linux</li><li>macOS</li><li>Network Devices</li><li>Windows</li></ul> | | [[t1195-supply-chain-compromise\|T1195 - Supply Chain Compromise]] | T1195 | T1195 - Supply Chain Compromise | <ul><li>Linux</li><li>Windows</li><li>macOS</li><li>SaaS</li></ul> | | [[t1195-001-compromise-software-dependencies\|T1195.001 - Compromise Software Dependencies and Development Tools]] | T1195.001 | T1195.001 - Compromise Software Dependencies and Development Tools | <ul><li>Windows</li><li>Linux</li><li>macOS</li></ul> | | [[t1195-001-compromise-software-dependencies-and-development-tools\|T1195.001 - Compromise Software Dependencies and Development Tools]] | T1195.001 | T1195.001 - Compromise Software Dependencies and Development Tools | <ul><li>Linux</li><li>macOS</li><li>Windows</li></ul> | | [[t1195-002-compromise-software-supply-chain\|T1195.002 - Compromise Software Supply Chain]] | T1195.002 | T1195.002 - Compromise Software Supply Chain | <ul><li>Linux</li><li>Windows</li><li>macOS</li></ul> | | [[t1195-002-supply-chain-compromise\|T1195.002 - Supply Chain Compromise: Compromise Software Supply Chain]] | T1195.002 | T1195.002 - Supply Chain Compromise: Compromise Software Supply Chain | <ul><li>Windows</li><li>macOS</li><li>Linux</li></ul> | | [[t1195-003-compromise-hardware-supply-chain\|T1195.003 - Compromise Hardware Supply Chain]] | T1195.003 | T1195.003 - Compromise Hardware Supply Chain | <ul><li>Linux</li><li>macOS</li><li>Windows</li></ul> | | [[t1199-trusted-relationship\|T1199 - Trusted Relationship]] | T1199 | T1199 - Trusted Relationship | <ul><li>Windows</li><li>SaaS</li><li>IaaS</li><li>Linux</li><li>macOS</li><li>Identity Provider</li><li>Office Suite</li></ul> | | [[t1200-hardware-additions\|T1200 - Hardware Additions]] | T1200 | T1200 - Hardware Additions | <ul><li>Windows</li><li>Linux</li><li>macOS</li></ul> | | [[t1566-phishing\|T1566 - Phishing]] | T1566 | T1566 - Phishing | <ul><li>Identity Provider</li><li>Linux</li><li>macOS</li><li>Office Suite</li><li>SaaS</li><li>Windows</li></ul> | | [[t1566-001-spearphishing-attachment\|T1566.001 - Spearphishing Attachment]] | T1566.001 | T1566.001 - Spearphishing Attachment | <ul><li>Linux</li><li>macOS</li><li>Windows</li></ul> | | [[t1566-002-spearphishing-link\|T1566.002 - Spearphishing Link]] | T1566.002 | T1566.002 - Spearphishing Link | <ul><li>Identity Provider</li><li>Linux</li><li>macOS</li><li>Office Suite</li><li>SaaS</li><li>Windows</li></ul> | | [[t1566-003-spearphishing-via-service\|T1566.003 - Spearphishing via Service]] | T1566.003 | T1566.003 - Spearphishing via Service | <ul><li>Linux</li><li>macOS</li><li>Windows</li></ul> | | [[t1566-004-spearphishing-voice\|T1566.004 - Spearphishing Voice]] | T1566.004 | T1566.004 - Spearphishing Voice | <ul><li>Linux</li><li>macOS</li><li>Windows</li><li>Identity Provider</li></ul> | | [[t1659-content-injection\|T1659 - Content Injection]] | T1659 | T1659 - Content Injection | <ul><li>Linux</li><li>macOS</li><li>Windows</li></ul> | | [[t1669-wi-fi-networks\|T1669 - Wi-Fi Networks]] | T1669 | T1669 - Wi-Fi Networks | <ul><li>Linux</li><li>Network Devices</li><li>Windows</li><li>macOS</li></ul> | <!-- SerializedQuery END --> ## Mindmap — Técnicas de Acesso Inicial ```mermaid mindmap root((TA0001<br/>Initial Access)) Phishing T1566 Phishing T1566.001 Spearphishing Attachment T1566.002 Spearphishing Link T1566.003 Spearphishing via Service Exploração T1190 Exploit Public-Facing App T1203 Exploitation for Client Exec T1189 Drive-by Compromise Credenciais e Acesso T1078 Valid Accounts T1133 External Remote Services T1199 Trusted Relationship Cadeia de Suprimento T1195 Supply Chain Compromise T1195.001 Software Dependencies T1195.002 Software Supply Chain Hardware T1200 Hardware Additions T1091 Replication Through Removable Media ``` ## Atores que Utilizam esta Tática | Ator | Técnica Preferida de Acesso Inicial | |------|-------------------------------------| | [[Cozy Bear]] | Spearphishing, exploração de Citrix/Pulse Secure | | [[g0032-lazarus-group\|Lazarus Group]] | Spearphishing com decoy de oferta de emprego | | [[Fancy Bear]] | Phishing com credenciais, exploração de VPN | | [[g1017-volt-typhoon\|Volt Typhoon]] | T1190 — exploração de Fortinet, Citrix, NETGEAR | | [[TA505]] | T1190 — exploração massiva de MOVEit, GoAnywhere | | [[lockbit\|LockBit Operators]] | Valid Accounts, exploração de serviços expostos | ## Detecção e Mitigação ### Detecção - **Email Gateway:** Filtragem de anexos Office com macros, links para domínios recém-registrados - **EDR/XDR:** Processos filhos suspeitos de Office, Adobe Reader, browsers - **WAF / IDS:** Padrões de exploit em requisições HTTP (fuzzing, payloads SQLi/RCE) - **SIEM:** Logins de localizações inesperadas, horários atípicos, múltiplos IPs - **Threat Intel:** Correlação de IPs/domínios com feeds de infraestrutura C2 ### Mitigação - Implementar MFA em **todos** os serviços expostos externamente (VPN, RDP, portais web) - Patch management rigoroso para aplicações voltadas à internet — priorizar CISA KEV - Email filtering com sandbox de comportamento para análise de anexos - Segmentação de rede: DMZ isolada da rede corporativa interna - Treinamento contínuo de funcionários para reconhecimento de phishing ## Relevância LATAM/Brasil O Brasil lidera em volume de phishing na América Latina. Campanhas direcionadas ao setor bancário utilizam engenharia social sofisticada em português (sem erros gramaticais), páginas réplica de bancos hospedadas em provedores nacionais e distribuição massiva via WhatsApp. Ataques de exploração de aplicações são comuns contra portais corporativos de empresas brasileiras que atrasam aplicação de patches — a jánela de exploração do [[cve-2024-3400|CVE-2024-3400]] (PAN-OS) e [[cve-2024-47575|CVE-2024-47575]] (FortiManager) afetou dezenas de organizações brasileiras. - [[ta0042-resource-development|TA0042 - Resource Development]] — fase anterior - [[ta0002-execution|TA0002 - Execution]] — fase seguinte - [[t1566-phishing|T1566 - Phishing]] — técnica mais prevalente - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] — exploração de apps web - [[t1078-valid-accounts|T1078 - Valid Accounts]] — acesso via credenciais válidas - [[t1133-external-remote-services|T1133 - External Remote Services]] — abuso de VPN/RDP - [[cve-2024-3400|CVE-2024-3400]] — PAN-OS explorado via Initial Access - [[cve-2024-47575|CVE-2024-47575]] — FortiManager explorado via Initial Access - [[_techniques|Índice de Técnicas]] — visão geral de todas as técnicas documentadas ## Referências - [[ta0001-*|MITRE ATT&CK - TA0001 Initial Access]] - [CISA KEV — Known Exploited Vulnerabilities](https://www.cisa.gov/known-exploited-vulnerabilities-catalog)