det0135-detection-of-mail-protocol-based-c2-activity-smtp-imap-pop3

# DET0135 — Detection of Mail Protocol-Based C2 Activity (SMTP, IMAP, POP3) ## Descrição Esta estratégia detecta canais de Comando e Controle (C2) que utilizam protocolos de e-mail (SMTP porta 25/587, IMAP porta 143/993, POP3 porta 110/995) para comunicação entre o implante e o operador. A técnica T1071.003 é utilizada para misturar tráfego malicioso com fluxo legítimo de e-mail corporativo, evitando detecção por soluções focadas em HTTP/HTTPS. Malwares como Agent Tesla, Formbook e várias famílias de RATs utilizam contas de e-mail comprometidas ou criadas específicamente para C2 via SMTP/IMAP. O padrão comportamental inclui processo não relacionado a cliente de e-mail estabelecendo conexões diretas a servidores SMTP/IMAP externos, especialmente em horários incomuns ou com volume de mensagens anômalo. A telemetria requer logs de firewall com visibilidade de protocolo (SMTP/IMAP/POP3), NetFlow para identificar processos estabelecendo conexões em portas de e-mail, e análise de conteúdo de e-mail (DLP) para padrões de exfiltração. A ausência de agente de e-mail corporativo (Outlook, Thunderbird) na cadeia de processo é um indicador de alta fidelidade de uso de protocolo por malware. ## Indicadores de Detecção - Processo não-cliente-de-e-mail (não `outlook.exe`, `thunderbird.exe`) conectando em porta 25/587/143/993 - Conexão SMTP/IMAP de processo em `%TEMP%`, `%APPDATA%` ou com nome de processo suspeito - Alto volume de mensagens SMTP enviadas por processo de usuário em curto período - Autenticação IMAP/POP3 para domínio de e-mail gratuito (gmail, outlook) por processo não reconhecido - Corpo de e-mail com padrão Base64 longo ou conteúdo binário codificado em MIME ## Técnicas Relacionadas - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] - [[t1048-exfiltration-over-alternative-protocol|T1048 — Exfiltration Over Alternative Protocol]] - [[t1132-data-encoding|T1132 — Data Encoding]] - [[t1566-phishing|T1566 — Phishing]] ## Analytics Relacionadas - [[an0379-analytic-0379|AN0379 — Analytic 0379]] - [[an0380-analytic-0380|AN0380 — Analytic 0380]] - [[an0381-analytic-0381|AN0381 — Analytic 0381]] - [[an0382-analytic-0382|AN0382 — Analytic 0382]] --- *Fonte: [MITRE ATT&CK — DET0135](https://attack.mitre.org/detectionstrategies/DET0135)*