det0075-internal-proxy-behavior-via-lateral-host-to-host-c2-relay

# DET0075 — Internal Proxy Behavior via Lateral Host-to-Host C2 Relay ## Descrição Em ambientes segmentados, adversários frequentemente não conseguem comunicação direta de todos os hosts comprometidos para sua infraestrutura C2 externa. Para contornar essa limitação, utilizam um padrão de proxy interno: um host comprometido com acesso à internet atua como relay, retransmitindo o tráfego C2 de outros hosts internos que não têm saída direta para a internet. Essa cadeia de hosts relay (T1090.001 — Internal Proxy) torna a detecção mais difícil pois apenas o host de borda gera tráfego de saída suspeito. Esta estratégia de detecção identifica hosts que simultaneamente recebem conexões de hosts internos e retransmitem tráfego para destinos externos com padrão temporal correlacionado. Indicadores-chave incluem: processo ouvindo em porta não padrão e encaminhando conexões recebidas para IPs externos, uso de ferramentas de tunelamento como `chisel`, `ligolo`, `frp` ou `socat`, e padrão de latência de rede que sugere encaminhamento (round-trip time inconsistente com a localização do destino aparente). A correlação entre múltiplos hosts internos comúnicando-se com um único host pivot, seguida de tráfego de saída desse pivot para IPs externos, é o padrão central desta estratégia. Grupos APT sofisticados como [[g0007-apt28]] e [[g0032-lazarus-group]] utilizam infraestrutura de relay em múltiplos saltos para dificultar o rastreamento até a infraestrutura real de C2. ## Indicadores de Detecção - Host ouvindo em porta TCP não padrão (> 1024) e encaminhando conexões recebidas para IP externo - Ferramenta de tunelamento detectada: `chisel`, `ligolo-ng`, `frp`, `socat`, `netcat` com flags de relay - Múltiplos hosts internos conectando-se ao mesmo host pivot na mesma porta em curto intervalo - Tráfego bidirecional com latência variável inconsistente com conexão direta ao destino aparente - Processo ouvindo em interface loopback e em interface de rede simultaneamente com forward de tráfego - Spike de conexões simultâneas recebidas e de saída no mesmo host em janela temporal de 5 minutos ## Técnicas Relacionadas - [[t1090001-proxy-internal-proxy|T1090.001 — Internal Proxy]] - [[t1090-proxy|T1090 — Proxy]] - [[t1572-protocol-tunneling|T1572 — Protocol Tunneling]] - [[t1021-remote-services|T1021 — Remote Services]] - [[t1571-non-standard-port|T1571 — Non-Standard Port]] ## Analytics Relacionadas - [[an0204-analytic-0204|AN0204 — Analytic 0204]] - [[an0205-analytic-0205|AN0205 — Analytic 0205]] - [[an0206-analytic-0206|AN0206 — Analytic 0206]] - [[an0207-analytic-0207|AN0207 — Analytic 0207]] - [[an0208-analytic-0208|AN0208 — Analytic 0208]] --- *Fonte: [MITRE ATT&CK — DET0075](https://attack.mitre.org/detectionstrategies/DET0075)*