# ngrok > Tipo: **tool** · S0508 · [MITRE ATT&CK](https://attack.mitre.org/software/S0508) ## Descrição [[s0508-ngrok|ngrok]] é uma ferramenta legítima de proxy reverso que cria túneis seguros para expor servidores locais à internet através de domínios gerados dinâmicamente (ex: `xyz.ngrok.io`). Desenvolvedores a utilizam amplamente para testar webhooks, expor APIs de desenvolvimento e compartilhar servidores locais temporariamente sem necessidade de configuração de DNS ou abertura de portas no firewall. Em operações maliciosas, o [[s0508-ngrok|ngrok]] é empregado para criar canais de C2 ocultos que parecem tráfego legítimo HTTPS para domínios reconhecidos da ngrok.io - frequentemente na whitelist de firewalls corporativos. Grupos como [[g0049-oilrig|OilRig]], [[g1015-scattered-spider|Scattered Spider]], [[g1003-ember-bear|Ember Bear]] e [[g0117-fox-kitten|Fox Kitten]] utilizam ngrok para expor servidores de comando dentro de perímetros comprometidos, permitindo acesso remoto persistente a máquinas internas sem abrir portas no firewall de saída. A ferramenta também é usada para exfiltração de dados através do túnel HTTPS. A detecção é desafiadora porque o tráfego para ngrok.io é HTTPS legítimo e muitas organizações não bloqueiam este domínio. O principal indicador são conexões persistentes de longa duração a `*.ngrok.io` ou `*.ngrok-free.app` a partir de sistemas internos que normalmente não se comúnicam com serviços de desenvolvimento. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1090-proxy|T1090 - Proxy]] - [[t1567-exfiltration-over-web-service|T1567 - Exfiltration Over Web Service]] - [[t1568-002-domain-generation-algorithms|T1568.002 - Domain Generation Algorithms]] - [[t1102-web-service|T1102 - Web Service]] - [[t1572-protocol-tunneling|T1572 - Protocol Tunneling]] ## Grupos que Usam - [[g0049-oilrig|OilRig]] - [[g1003-ember-bear|Ember Bear]] - [[g1015-scattered-spider|Scattered Spider]] - [[g0140-lazyscripter|LazyScripter]] - [[g0117-fox-kitten|Fox Kitten]] ## Detecção **Fontes de dados recomendadas:** - **DNS:** Resolução de `*.ngrok.io`, `*.ngrok-free.app` ou `*.ngrok.dev` por hosts internos que não são estações de desenvolvimento - **Firewall / Proxy:** Conexões HTTPS persistentes (> 30 minutos) para domínios ngrok.io a partir de servidores, especialmente fora do horário comercial - **Sysmon Event ID 1 (ProcessCreaté):** Processo `ngrok.exe` executado em sistemas de produção ou servidores; verificar linha de comando por `authtoken` ou `http`/`tcp` tunelamento **Regras de detecção:** - Sigma: `proc_creation_win_ngrok_execution.yml` - detecta execução do ngrok em sistemas Windows (SigmaHQ) - Network: Alerta em conexões para `api.ngrok.com` (autenticação) ou subdomínios `*.ngrok.io` de hosts não-desenvolvimento - Threat Intel: Bloquear domínio `ngrok.io` em firewalls corporativos onde não há necessidade de desenvolvimento ## Relevância LATAM/Brasil O uso de [[s0508-ngrok|ngrok]] como ferramenta de acesso remoto malicioso tem sido crescente em ataques a organizações brasileiras. [[g1015-scattered-spider|Scattered Spider]] - grupo com histórico de engenharia social sofisticada contra empresas latinas - utiliza ngrok para manter acesso persistente após comprometimento inicial por vishing. Em 2024-2025, campanhas contra operadoras de telecomúnicações e provedores de serviços gerenciados no Brasil registraram uso de ngrok como alternativa ao Cobalt Strike para minimizar indicadores conhecidos. O [[g0117-fox-kitten|Fox Kitten]] (Iran Nexus) também empregou ngrok em ataques a organizações do Oriente Médio com ramificações em empresas latinas. ## Referências - [MITRE ATT&CK - S0508](https://attack.mitre.org/software/S0508)