det0325-external-proxy-behavior-via-outbound-relay-to-intermediate-infrastructur

# DET0325 — External Proxy Behavior via Outbound Relay to Intermediaté Infrastructure ## Descrição Esta estratégia detecta o uso de infraestrutura intermediária como proxy externo para comúnicações C2, onde o tráfego do endpoint comprometido é retransmitido por servidores de relay antes de chegar ao servidor de comando e controle real. A técnica [[t1090-proxy|T1090-proxy]] e [[T1090.002-external-proxy]] são usadas para dificultar rastreamento da infraestrutura C2 e para contornar listas de bloqueio baseadas em IP. A detecção foca em padrões de conexão de saída anômalos — tráfego para IPs/domínios sem histórico na organização, conexões de longa duração para endereços não categorizados, e comportamento de beaconing (conexões regulares em intervalos fixos). Ferramentas como Cobalt Strike, Brute Ratel e implantes customizados de APTs frequentemente usam proxies externos encadeados. Em ambientes brasileiros, a detecção de relay proxies é especialmente relevante pois adversários frequentemente utilizam VPS de provedores brasileiros (Localweb, HostGator BR, Contabo) como relay intermediário para parecer tráfego doméstico e evitar filtros geográficos. ## Indicadores de Detecção - Conexões de saída regulares em intervalos fixos (beaconing com jitter <10%) para IPs sem categoria - Sessões HTTP/HTTPS com User-Agent incomum para o processo que gerou a conexão - Tráfego de saída para IPs em ASNs de hosting (não CDN) sem histórico na organização - Conexões de longa duração (>1h) para destinos externos não relacionados a serviços legítimos - Retransmissão de pacotes: endpoint recebe dados de A e os encaminha para B imediatamente - Uso de SOCKS proxy por processos não-administrativos (`proxychains`, `chisel`, `ligolo`) ## Técnicas Relacionadas - [[T1090.002-external-proxy]] — técnica primária - [[t1090-proxy|T1090-proxy]] — categoria pai - [[t1071-application-layer-protocol|T1071-application-layer-protocol]] — protocolos usados na comunicação via proxy - [[t1572-protocol-tunneling|T1572-protocol-tunneling]] — tunelamento de protocolo frequentemente combinado - [[t1102-web-service|T1102-web-service]] — uso de serviços web legítimos como relay ## Analytics Relacionadas - [[an0922-analytic-0922|AN0922 — Analytic 0922]] - [[an0923-analytic-0923|AN0923 — Analytic 0923]] - [[an0924-analytic-0924|AN0924 — Analytic 0924]] - [[an0925-analytic-0925|AN0925 — Analytic 0925]] - [[an0926-analytic-0926|AN0926 — Analytic 0926]] --- *Fonte: [MITRE ATT&CK — DET0325](https://attack.mitre.org/detectionstrategies/DET0325)*