det0133-ide-tunneling-detection-via-process-file-and-network-behaviors

# DET0133 — IDE Tunneling Detection via Process, File, and Network Behaviors ## Descrição Esta estratégia detecta o abuso de funcionalidades de tunelamento de IDEs (Integrated Development Environments) como VS Code Remote Tunnels, JetBrains Gateway e similares para estabelecer acesso remoto persistente e difícil de detectar. Adversários exploram esses mecanismos legítimos de desenvolvimento remoto para criar túneis que bypassam controles de firewall tradicionais, pois o tráfego parece legítimo para ferramentas de desenvolvimento. O VS Code Remote Tunnel, em particular, usa a infraestrutura de nuvem da Microsoft (`tunnels.api.visualstudio.com`) para estabelecer conexão reversa, dispensando abertura de portas de entrada. Grupos APT como UNC3944 e operadores de ransomware documentaram o uso desta técnica para manter persistência furtiva em ambientes corporativos. A telemetria inclui Sysmon Event ID 1 para execução de `code-tunnel`, `code.exe --tunnel`, `vscode-server`, logs de rede para conexões a `tunnels.api.visualstudio.com` e `global.rel.tunnels.api.visualstudio.com`, e presença de arquivos de configuração de tunnel em `~/.vscode-server/` ou `%USERPROFILE%\.vscode-server\`. A combinação de instalação de extensão remota com conexão de rede outbound para endpoints da Microsoft é o behavior-chain principal. ## Indicadores de Detecção - Processo `code-tunnel` ou `code.exe --tunnel` executando em servidor de produção - Conexão outbound para `tunnels.api.visualstudio.com` a partir de host não-desenvolvedor - Presença de `.vscode-server/` em diretório home de conta de serviço - JetBrains Gateway (`.gateway/`) ou IDX tunnel em ambiente sem equipe de desenvolvimento - Processo de IDE baixando extensões de rede em contexto de servidor não-autorizado ## Técnicas Relacionadas - [[t1572-protocol-tunneling|T1572 — Protocol Tunneling]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1133-external-remote-services|T1133 — External Remote Services]] - [[t1219-remote-access-tools|T1219 — Remote Access Software]] - [[t1021-remote-services|T1021 — Remote Services]] ## Analytics Relacionadas - [[an0375-analytic-0375|AN0375 — Analytic 0375]] - [[an0376-analytic-0376|AN0376 — Analytic 0376]] - [[an0377-analytic-0377|AN0377 — Analytic 0377]] --- *Fonte: [MITRE ATT&CK — DET0133](https://attack.mitre.org/detectionstrategies/DET0133)*