det0118-exploitation-of-remote-services-multi-platform-lateral-movement-detectio

# DET0118 — Exploitation of Remote Services — multi-platform lateral movement detection ## Descrição Esta estratégia detecta exploração de vulnerabilidades em serviços remotos para movimentação lateral em ambientes multi-plataforma. Diferentemente do uso de credenciais legítimas, a exploração de serviços remotos envolve o envio de dados maliciosos para serviços vulneráveis como SMBv1 (EternalBlue), RDP (BlueKeep), Exchange (ProxyLogon), Confluence, Citrix e outros. O resultado é execução de código remoto no sistema alvo sem necessidade de credenciais válidas. Os indicadores variam por serviço alvo: para SMB, tráfego para porta 445 com shellcode patterns ou tamanhos de pacote anômalos; para RDP, tentativas de conexão seguidas de crash do processo `rdpclip.exe` (indicativo de exploit buggy) ou conexão bem-sucedida sem autenticação esperada; para serviços web, requests com payloads de exploit conhecidos (gadget chains Java deserialization, templates SSTI). Network IDS/IPS com assinaturas de exploit é a detecção primária. A correlação entre escanamento interno de serviços e exploração é o sinal mais forte — sequência de `nmap`/`masscan` → exploit attempt para os serviços encontrados vulneráveis. Grupos como [[eternalblue-exploiter]] e operadores de ransomware como [[wannacry]] (que usou EternalBlue massivamente) e [[s0368-notpetya]] demonstram o impacto destrutivo desta técnica em ambientes LATAM e globais. ## Indicadores de Detecção - Tráfego SMB para porta 445 com patterns de EternalBlue (tamanho de pacote característico, negociação anômala) - Conexão RDP bem-sucedida de IP externo para host que não é servidor de acesso remoto designado - Requests HTTP a serviços internos com payloads contendo gadget chains de desserialização Java/PHP - Processo de serviço (`rdpclip`, `mspaint`, `services`) terminando inesperadamente após conexão de rede - Novo processo criado como filho direto de processo de serviço de rede (`inetinfo`, `httpd`, `tomcat`) - Exploração de serviço seguida de spawning de shell reversa (conexão de saída TCP em porta alta) ## Técnicas Relacionadas - [[t1210-exploitation-of-remote-services]] — Técnica principal - [[t1570-lateral-tool-transfer]] — Transferência de ferramentas pós-exploit - [[t1021-remote-services]] — Uso de serviços remotos para lateral movement - [[t1190-exploit-public-facing-application]] — Exploração de aplicação pública (vetor inicial) - [[t1068-exploitation-for-privilege-escalation]] — Exploração para escalada ## Analytics Relacionadas - [[an0327-analytic-0327|AN0327 — Analytic 0327]] - [[an0328-analytic-0328|AN0328 — Analytic 0328]] - [[an0329-analytic-0329|AN0329 — Analytic 0329]] - [[an0330-analytic-0330|AN0330 — Analytic 0330]] --- *Fonte: [MITRE ATT&CK — DET0118](https://attack.mitre.org/detectionstrategies/DET0118)*