det0354-behavior-chain-detection-for-t1133-external-remote-services-across-windo

# DET0354 — Behavior-chain detection for T1133 External Remote Services across Windows, Linux, macOS, Containers ## Descrição Esta estratégia em cadeia de comportamento detecta o abuso de serviços de acesso remoto expostos externamente — VPN, Citrix, RDP, SSH, VNC, Kubernetes API — como vetores de acesso inicial ou persistência. A técnica [[t1133-external-remote-services|T1133-external-remote-services]] cobre cenários onde adversários utilizam serviços legítimos com credenciais comprometidas ou vulnerabilidades para obter acesso à rede interna sem passar por perímetros de segurança tradicionais. A abordagem de cadeia comportamental vai além da detecção do login em si, correlacionando o acesso via serviço remoto externo com atividades pós-acesso suspeitas — reconhecimento de rede, acesso a recursos de dados, instalação de ferramentas. A correlação de logs de VPN/gateway com telemetria de endpoint é fundamental. Em ambientes LATAM, VPNs SSL e Citrix expostos à internet são frequentemente explorados por grupos de ransomware como ponto de entrada. Vulnerabilidades em Fortinet FortiGate ([[cve-2024-21762|CVE-2024-21762]]), Citrix Bleed e Pulse Secure foram amplamente exploradas em campanhas recentes. ## Indicadores de Detecção - Login via VPN ou gateway de acesso externo fora do horário comercial ou de localização não usual - Acesso via serviço remoto externo seguido de reconhecimento de rede em <5 minutos - Múltiplas tentativas de autenticação falhas seguidas de sucesso (brute force bem-sucedido) em serviço externo - Sessão Citrix/RDP iniciando processos de enumeração (net.exe, PowerShell, wmic) em contexto de servidor - Container ou pod Kubernetes acessado diretamente via API exposta com Service Account de alto privilégio - Login SSH de IP em bloco de hosting cloud (AS não-ISP residencial) por conta sem histórico de acesso externo ## Técnicas Relacionadas - [[t1133-external-remote-services|T1133-external-remote-services]] — técnica primária - [[t1078-valid-accounts|T1078-valid-accounts]] — credenciais utilizadas para acesso via serviço remoto - [[t1190-exploit-public-facing-application|T1190-exploit-public-facing-application]] — exploração de vulnerabilidade no serviço remoto - [[t1021-001-remote-desktop-protocol]] — RDP como serviço remoto externo - [[T1021.004-ssh]] — SSH como serviço remoto externo abusado ## Analytics Relacionadas - [[an1004-analytic-1004|AN1004 — Analytic 1004]] - [[an1005-analytic-1005|AN1005 — Analytic 1005]] - [[an1006-analytic-1006|AN1006 — Analytic 1006]] - [[an1007-analytic-1007|AN1007 — Analytic 1007]] --- *Fonte: [MITRE ATT&CK — DET0354](https://attack.mitre.org/detectionstrategies/DET0354)*