s1144-frp - RunkIntel

# FRP > Tipo: **tool** · S1144 · [MITRE ATT&CK](https://attack.mitre.org/software/S1144) ## Descrição [[s1144-frp|FRP]] (Fast Reverse Proxy) é uma ferramenta open-source de proxy reverso disponível públicamente no GitHub que expõe serviços localizados atrás de firewalls ou NAT à Internet. Desenvolvedores e administradores de sistemas a utilizam legitimamente para expor servidores de desenvolvimento local, túneis SSH, e serviços internos para acesso remoto temporário - funcionalidade similar ao ngrok. Suporta protocolos TCP, UDP e HTTP(S) com criptografia e autenticação configuraveis. Em contextos maliciosos, adversários utilizam FRP para estabelecer túneis de rede que permitem comunicação C2 bidirecional contornando firewalls corporativos e inspeção de tráfego. O [[g1017-volt-typhoon|Volt Typhoon]] - grupo de espionagem chinês focado em infraestrutura crítica - utiliza FRP extensivamente como ferramenta de tunneling para comunicação C2 sigilosa e movimentação lateral via proxy. O [[g0059-magic-hound|Magic Hound]] (APT35/Charming Kitten, iraniano) e o [[g0108-blue-mockingbird|Blue Mockingbird]] também empregam FRP para evasão de controles de rede. A ferramenta é especialmente eficaz em ambientes que permitem HTTPS de saída mas bloqueiam conexões diretas a IPs não-categorizados. **Plataformas:** Linux, macOS, Windows ## Técnicas Utilizadas - [[t1095-non-application-layer-protocol|T1095 - Non-Application Layer Protocol]] - [[t1059-007-javascript|T1059.007 - JavaScript]] - [[t1090-proxy|T1090 - Proxy]] - [[t1572-protocol-tunneling|T1572 - Protocol Tunneling]] - [[t1573-002-asymmetric-cryptography|T1573.002 - Asymmetric Cryptography]] - [[t1046-network-service-discovery|T1046 - Network Service Discovery]] - [[t1049-system-network-connections-discovery|T1049 - System Network Connections Discovery]] - [[t1090-003-multi-hop-proxy|T1090.003 - Multi-hop Proxy]] - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] ## Grupos que Usam - [[g0108-blue-mockingbird|Blue Mockingbird]] - [[g0059-magic-hound|Magic Hound]] - [[g1017-volt-typhoon|Volt Typhoon]] ## Relevância LATAM/Brasil O [[g1017-volt-typhoon|Volt Typhoon]], com foco documentado em infraestrutura crítica (energia, telecomúnicações, transportes), representa risco direto ao Brasil dado o perfil de alvos - especialmente empresas de energia como Petrobras, operadoras de telecomúnicações e provedores de internet. O uso de FRP por Volt Typhoon para comunicação C2 sigilosa via protocolo HTTPS (porta 443) é particularmente evasivo em ambientes corporativos brasileiros que permitem saída HTTPS irrestrita. O [[g0059-magic-hound|Magic Hound]] (APT35), com histórico de campanhas contra energia e governo, também emprega FRP em operações que incluem alvos na América Latina. ## Detecção **Fontes de dados recomendadas:** - **Sysmon Event ID 3 (NetworkConnect):** Conexões HTTPS de longa duração ou periódicas de processos incomuns para IPs fora de categorias conhecidas - padrão de C2 via FRP tunnel - **Firewall/Proxy Logs:** Conexões de saída para portas não-padrão (7000, 7500, etc.) ou para IPs sem ASN reconhecido de CDN ou provedor de nuvem legítimo - **DNS Logs:** Consultas para domínios associados a FRP servers - geralmente IPs de VPS ou domínios recém-registrados **Regras de detecção:** - Sigma: `net_connection_win_frp_proxy.yml` - padrões de rede de comunicação via FRP (SigmaHQ) - CISA AA23-144A: TTPs do Volt Typhoon incluindo uso de FRP - com indicadores de detecção - Elastic: `network_tunnel_tool_execution` - detecção de ferramentas de tunneling incluindo FRP ## Referências Adicionais - [MITRE ATT&CK - S1144](https://attack.mitre.org/software/S1144) - [CISA AA23-144A - Volt Typhoon targets critical infrastructure with FRP](https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-144a) - 2023-05-24 - [GitHub - fatedier/frp](https://github.com/fatedier/frp) - repositório oficial