s1155-covenant - RunkIntel

# Covenant > Tipo: **tool** · S1155 · [MITRE ATT&CK](https://attack.mitre.org/software/S1155) ## Descrição [[s1155-covenant|Covenant]] é um framework de comando e controle (C2) multiplataforma escrito em .NET, disponível públicamente no GitHub. A ferramenta foi desenvolvida para uso em red team e testes de penetração, oferecendo uma interface web para gerenciar operações ofensivas, criar listeners HTTP/HTTPS, gerar e gerenciar implants ("Grunts") e executar tarefas de pós-exploração. Pesquisadores de segurança e red teams legítimos utilizam Covenant para simular TTPs adversariais em avaliações de segurança de clientes. Em contextos maliciosos, o [[g0125-silk-typhoon|HAFNIUM]] utilizou Covenant em sua campanha de exploração de Exchange Server (ProxyLogon), aproveitando sua capacidade de C2 sobre HTTP/HTTPS e execução de comandos via WMI e PowerShell. A natureza open-source e a documentação detalhada do Covenant tornam-no acessível a atores de ameaça menos sofisticados. Seu uso de comunicação assimétrica criptografada ([[t1573-002-asymmetric-cryptography|T1573.002]]) e portas não-padrão ([[t1571-non-standard-port|T1571]]) dificulta a detecção por inspeção de tráfego básica. **Plataformas:** Linux, macOS, Windows ## Técnicas Utilizadas - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1571-non-standard-port|T1571 - Non-Standard Port]] - [[t1047-windows-management-instrumentation|T1047 - Windows Management Instrumentation]] - [[t1218-010-regsvr32|T1218.010 - Regsvr32]] - [[t1218-004-installutil|T1218.004 - InstallUtil]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1218-005-mshta|T1218.005 - Mshta]] - [[t1573-002-asymmetric-cryptography|T1573.002 - Asymmetric Cryptography]] ## Grupos que Usam - [[g0125-silk-typhoon|HAFNIUM]] ## Relevância LATAM/Brasil O [[g0125-silk-typhoon|HAFNIUM]], vinculado à exploração massiva de Exchange Server via ProxyLogon/ProxyShell, teve impacto significativo em organizações brasileiras: estima-se que centenas de Exchange servers no Brasil foram comprometidos durante as campanhas de 2021-2022. O uso de Covenant por HAFNIUM como framework C2 pós-exploração dessas instâncias Exchange comprometidas significa que organizações brasileiras que não realizaram investigação forense completa à época podem ainda ter Grunts Covenant persistentes em seus ambientes. ## Detecção **Fontes de dados recomendadas:** - **Sysmon Event ID 1 (ProcessCreaté):** Grunts Covenant executam via `InstallUtil.exe`, `Regsvr32.exe`, e `Mshta.exe` como LOLBins de execução - monitorar esses processos com argumentos incomuns - **Sysmon Event ID 3 (NetworkConnect):** Beaconing periódico do Grunt para o listener Covenant via HTTPS - identificar por certificados TLS auto-assinados e padrões de jitter - **Windows Event ID 4104 (PowerShell Script Block Logging):** Comandos PowerShell base64-encoded gerados pelo Grunt durante execução de tarefas - **Windows Event ID 7045 (Service Installed):** Instalação de serviço por Covenant durante persistência via `InstallUtil` **Regras de detecção:** - Sigma: `proc_creation_win_hktl_covenant_grunt.yml` - indicadores de execução de Grunt Covenant via LOLBins (SigmaHQ) - Sigma: `net_connection_win_covenant_c2.yml` - padrões de rede do C2 Covenant - Elastic: `command_and_control_framework_activity` - detecção de frameworks C2 conhecidos incluindo Covenant ## Referências Adicionais - [MITRE ATT&CK - S1155](https://attack.mitre.org/software/S1155) - [GitHub - cobbr/Covenant](https://github.com/cobbr/Covenant) - repositório oficial - [SigmaHQ - Covenant C2 Detection](https://github.com/SigmaHQ/sigma) - 2024