det0035-detect-bidirectional-web-service-c2-channels-via-process-network-correla

# DET0035 — Detect Bidirectional Web Service C2 Channels via Process & Network Correlation ## Descrição Esta estratégia detecta canais C2 bidirecionais que utilizam serviços web legítimos (GitHub, Pastebin, Slack, Discord, Telegram, OneDrive, Google Drive) como infraestrutura de comando e controle, evitando a necessidade de domínios maliciosos próprios e contornando bloqueios baseados em reputação de domínio. O adversário usa a API do serviço para postar comandos e receber resultados, tudo em tráfego HTTPS para destinos confiáveis. A correlação processo-rede é o núcleo desta detecção: processos que tipicamente não deveriam fazer chamadas de API ao GitHub (`cmd.exe`, `powershell.exe`, `mshta.exe`) fazendo requisições autenticadas com Bearer tokens para `api.github.com` ou `raw.githubusercontent.com` são altamente suspeitos. A presença de tokens de API hardcodados em scripts ou variáveis de ambiente de processos suspeitos reforça a detecção. A frequência de polling é outro indicador: um processo fazendo chamadas GET para `api.github.com/repos/user/repo/contents/cmd.txt` a cada 30 segundos (padrão de C2 por repositório) difere do comportamento de um desenvolvedor. Ferramentas como PoshC2, Covenant e implantes customizados frequentemente implementam esse padrão. Análise de DNS também pode revelar: resolução de `api.github.com` por processos não-desenvolvimento em estações de usuário final. ## Indicadores de Detecção - `powershell.exe` ou `cmd.exe` fazendo requisições autenticadas para `api.github.com`, `api.telegram.org`, ou `discord.com/api` - Processo de usuário fazendo polling periódico (< 2 min de intervalo) para API de serviço cloud legítimo - Bearer token ou API key presente em linha de comando ou variável de ambiente de processo suspeito - Requisição `GET /repos/<user>/<repo>/contents/` repetida com alto polling raté - Upload de dados para Pastebin (`pastebin.com/api/api_post.php`) por processo não-browser - Uso de `Invoke-WebRequest` ou `curl` para endpoints de Slack/Discord fora de contexto de integração - Processo com histórico de execução curto fazendo chamadas de API para múltiplos serviços legítimos em sequência ## Técnicas Relacionadas - [[t1102-web-service|T1102 — Web Service]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1567-exfiltration-over-web-service|T1567 — Exfiltration Over Web Service]] - [[t1573-encrypted-channel|T1573 — Encrypted Channel]] ## Analytics Relacionadas - [[an0100-analytic-0100|AN0100 — Analytic 0100]] - [[an0101-analytic-0101|AN0101 — Analytic 0101]] - [[an0102-analytic-0102|AN0102 — Analytic 0102]] --- *Fonte: [MITRE ATT&CK — DET0035](https://attack.mitre.org/detectionstrategies/DET0035)*