det0425-suspicious-use-of-web-services-for-c2

# DET0425 — Suspicious Use of Web Services for C2 ## Descrição Adversários abusamde serviços web legítimos e amplamente confiáveis — como GitHub, Pastebin, Google Drive, OneDrive, Discord, Telegram, Slack, Dropbox e Twitter/X — como canais de Command and Control (C2). Essa técnica, conhecida como "Living off Legitimaté Sites" (LoLS), é eficaz porque o tráfego para esses domínios raramente é bloqueado por firewalls corporativos e se mescla com uso legítimo de usuários. O malware busca comandos em repositórios GitHub, arquivos Pastebin ou posts em redes sociais, seguindo padrões predefinidos (ex.: procurando por mensagens com prefixo específico). Atualizações de configuração e payloads são distribuídos via Google Drive ou Dropbox. Webhooks do Discord e Telegram são populares para receber dados exfiltrados de stealers. Essa abordagem torna a atribuição de infraestrutura extremamente difícil. Famílias como [[s1038-dcrat]], [[s0332-remcos]] e [[s0385-njrat]] popularizadas em ataques contra o Brasil utilizam Discord e Telegram como C2. A detecção foca em anomalias de uso: processos não-browser conectando a APIs do GitHub/Pastebin, User-Agents incomuns em requisições para serviços de nuvem conhecidos, e padrões de polling regular (beaconing) para URLs específicas nesses serviços. ## Indicadores de Detecção - Processo não-browser fazendo requisições HTTP para `api.github.com`, `pastebin.com` ou `discord.com/api/webhooks` - Polling regular (intervalo fixo) para URLs em serviços como GitHub, Pastebin, Google Drive por processo suspeito - User-Agent não padrão em requisições para serviços de armazenamento cloud legítimos - Download de arquivos executáveis ou scripts via APIs de armazenamento cloud por processos do sistema - Requisições POST frequentes para webhooks do Discord ou Telegram com corpo encodado em Base64 ## Técnicas Relacionadas - [[t1102-web-service|T1102 — Web Service]] - [[T1102001-dead-drop-resolver|T1102.001 — Dead Drop Resolver]] - [[T1102002-bidirectional-communication|T1102.002 — Bidirectional Commúnication]] - [[T1071001-web-protocols|T1071.001 — Web Protocols]] - [[t1567-exfiltration-over-web-service|T1567 — Exfiltration Over Web Service]] ## Analytics Relacionadas - [[an1189-analytic-1189|AN1189 — Analytic 1189]] - [[an1190-analytic-1190|AN1190 — Analytic 1190]] - [[an1191-analytic-1191|AN1191 — Analytic 1191]] - [[an1192-analytic-1192|AN1192 — Analytic 1192]] --- *Fonte: [MITRE ATT&CK — DET0425](https://attack.mitre.org/detectionstrategies/DET0425)*