Na comunidade de inteligência e contra, definimos tradecraft como toda e qualquer técnica, tecnologia ou procedimento que ajuda na atividade de inteligência. É comum que cada corpo de inteligência tenham dezenas/centenas de tradecrafts que são ensinadas durante a fase de treinamento de um agente.

Um exemplo conhecido é o chamado Dead Drop que é basicamante uma forma de trocar informações entre o espião e os eu handler(agente) de forma que ambos não sejam vistos/pegos no mesmo lugar. A técnica em combinar previamente um local(banco da praça, pedra, caixa de correio (e daí veio o nome da técnica)) no qual o agente coloca uma mensagem(cifrada please), marca um sinal em um outro ponto previamente combinado para avisar ao operador que há algo a ser recolhido, o então operador coleta essa informação para passar para frente. Tem um vídeo em inglês bem didático sobre essa técnica aqui: youtube.

Cada um dos tradecrafts existentes possuem uma intenção/objetivo dentro do conjunto de habilidades de um analista de inteligência. E isso também é verdade para quem opera no mundo digital. Perceba que o conjunto de habilidades as vezes podem ser os mesmos, só mudam os meios. Um exemplo disso é o meio de comunicação, antigamente via cartas cifradas, imagens(esteganografia), microfilmes, disquetes, pendrives e internet.

Se formos portar o Dead Drop para o ambiente digital, é semelhante a escrever um e-mail em uma caixa de e-mail qualquer como o GMAIL e não enviar, apenas deixar como rascunho, o próximo agente que acessar a mesma caixa de e-mail precisa apenas olhar para os rascunhos para saber que informação está sendo passada. Acha absurdo ? essa mesma técnica foi supostamente utilizada pela Ex-Presidente Dilma roussef para avisar sobre os avanços da Lava-Jato. Link

Cada uma dessas técnicas, táticas e procedimentos(quando falamos de cyber costumamos referir aos tradecrafts como TTP) acabam por gerar uma trilha ou personalidade identificável de agentes. É aí que o MTIRE ATT&CK entra. A função do MITRE ATT&CK é catalogar as técnicas, táticas e procedimentos dos APTs(Advanced Persistent Threats) de forma que um blue teamer possa:

• 1 - Identificar quais Threat Actors tendem a atacar mais o seu business.
• 2 - Saber quais são as técnicas, táticas e procedimentos que estes TA possuem e;
• 3 - Simular, testar e validar que as suas próprias TTPs são capazes de identificar e mitigar um ataque de um desses TA.

É impossível ? não não é, difícil ? com certeza ! Ainda mais se compararmos a discrepância entre os requisitos do Blue Team vs Red Team ou de um atacante. Nesse sentido eu tenho duas palestras bem legais sobre o tema que podem ser vistas aqui e aqui

Update 2024 - Ferramenta - Malandrês-lingo

O texto acima estava em uma longa lista de rascunhos de blogposts que eu comecei a escrever mas não terminei e portanto não havia sido públicado. Inicialmente eu nem lembro todo o conteúdo que queria escrever, mas resolvi postar mesmo assim.

De qualquer forma, após a palestra no Hacking Na web Day no Rio de Janeiro, na qual falei de segurança operacional (OPSEC) acabei por revelar um dos tradecrafts que desenvolvi em 2019 quando trabalhava com Threat Intel. Em conversas com outros amigos que permanecem na área, nenhum deles tinha sequer ouvido falar dessa técnica, então resolvi não só falar sobre ela, mas publicar o código que permite isso, mas tem alguns caveats aqui:

1. Você não pode/deve utilizar esse código, apenas pegue a ideia, absorva e crie o seu próprio dicinário.
2. O código foi modificado da versão original em 2019 para funcionar com o Whatsapp/Instagram/Facebook de 2024. Aplicações web com essas mudam frequentemente e pode ser que, quando você baixar este código já não está mais funcional. Paciência! eu falei para não usar…
3. O código não será mantido, publiquei apenas para ilustrar a ideia.

Disponível no meu github