det0416-detection-of-file-transfer-protocol-based-c2-ftp-ftps-smb-tftp

# DET0416 — Detection of File Transfer Protocol-Based C2 (FTP, FTPS, SMB, TFTP) ## Descrição Adversários utilizam protocolos de transferência de arquivo — FTP, FTPS, SMB e TFTP — como canais de Command and Control (C2) para enviar comandos e receber resultados de forma encoberta. Esses protocolos são frequentemente permitidos em firewalls corporativos por necessidades operacionais legítimas, tornando-os atrativos como canais alternativos quando HTTPS é bloqueado ou monitorado. O malware pode implementar C2 sobre SMB para comunicação entre hosts internos sem tráfego externo detectável. O uso de SMB para C2 lateral (sem sair do perímetro) é especialmente preocupante: frameworks como [[s0154-cobalt-strike]] suportam canais SMB named pipes entre implantes para criar redes de comunicação internas que não aparecem nos logs de proxy ou firewall de perímetro. TFTP, por ser sem autenticação e simples, é usado para download de payloads adicionais em dispositivos de rede ou sistemas com capacidade limitada. A detecção exige inspeção profunda de pacotes (DPI) e análise de comportamento de rede. Conexões FTP para IPs externos não catalogados, especialmente com padrões de comando incomuns ou transferências de arquivos executáveis, são alertas de alta prioridade. O tráfego SMB saindo do perímetro da rede — especialmente para portas 445 ou 139 em IPs públicos — é altamente suspeito na maioria dos ambientes corporativos. ## Indicadores de Detecção - Tráfego FTP (porta 21) ou FTPS (porta 990) para IPs externos não presentes no inventário de fornecedores - Conexões SMB (porta 445) de estações de trabalho para IPs fora da rede corporativa - Transferência de arquivos executáveis (`.exe`, `.dll`, `.ps1`) via FTP ou SMB para/de hosts externos - Named pipes SMB incomuns identificados em logs de Sysmon (Event ID 17/18) por processos não reconhecidos - Tráfego TFTP (UDP 69) originado de servidores ou dispositivos de rede em horário fora de manutenção ## Técnicas Relacionadas - [[T1071002-file-transfer-protocols|T1071.002 — File Transfer Protocols]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[T1021002-smb-windows-admin-shares|T1021.002 — SMB/Windows Admin Shares]] - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] - [[t1570-lateral-tool-transfer|T1570 — Lateral Tool Transfer]] ## Analytics Relacionadas - [[an1169-analytic-1169|AN1169 — Analytic 1169]] - [[an1170-analytic-1170|AN1170 — Analytic 1170]] - [[an1171-analytic-1171|AN1171 — Analytic 1171]] - [[an1172-analytic-1172|AN1172 — Analytic 1172]] - [[an1173-analytic-1173|AN1173 — Analytic 1173]] --- *Fonte: [MITRE ATT&CK — DET0416](https://attack.mitre.org/detectionstrategies/DET0416)*