det0445-detection-of-proxy-infrastructure-setup-and-traffic-bridging

# DET0445 — Detection of Proxy Infrastructure Setup and Traffic Bridging ## Descrição Adversários configuram infraestrutura de proxy para redirecionar tráfego malicioso através de nós intermediários, tornando mais difícil rastrear a origem real das comúnicações de C2 e exfiltração de dados. Isso inclui o uso de servidores comprometidos como proxies reversos, redes de VPS alugados, redes de bots como proxies residenciais e serviços legítimos de proxy/CDN como pontos de retransmissão. O estabelecimento de proxies pode ocorrer dentro da própria rede alvo — onde o adversário instala ferramentas de tunneling (como `frp`, `ligolo`, `chisel`, `ngrok`) em sistemas comprometidos para criar pontes entre segmentos de rede isolados — ou externamente, criando uma cadeia de proxies que complica atribuição e resposta a incidentes. Essa técnica é amplamente utilizada por grupos como [[g0096-apt41|APT41]] e operadores de ransomware para acesso a redes segmentadas. A detecção envolve identificar instalação e execução de ferramentas de proxy/tunneling conhecidas, conexões de rede de longa duração com tráfego bidirecional de baixo volume (indicativo de canal de controle de proxy), e uso de portas não padrão por processos que não deveriam realizar comúnicações de rede. ## Indicadores de Detecção - Execução de binários como `frpc`, `ligolo-ng`, `chisel`, `ngrok`, `plink` ou `socat` em servidores internos - Conexão de longa duração (> 1 hora) para IP externo em porta não padrão por processo de servidor - Processo ouvindo em porta não registrada e encaminhando tráfego para outro host interno - Download e execução de binário de proxy de fonte externa logo após comprometimento inicial - Tráfego de rede bidirecional com padrão de relay: entrada de A → saída para B com mesmo volume - DNS query para domínios de serviços de proxy/tunnel como `ngrok.io`, `serveo.net`, `pagekite.net` ## Técnicas Relacionadas - [[t1090-proxy|T1090 — Proxy]] - [[T1090003-multi-hop-proxy|T1090.003 — Multi-hop Proxy]] - [[t1572-protocol-tunneling|T1572 — Protocol Tunneling]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1041-exfiltration-over-c2-channel|T1041 — Exfiltration Over C2 Channel]] - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] ## Analytics Relacionadas - [[an1229-analytic-1229|AN1229 — Analytic 1229]] - [[an1230-analytic-1230|AN1230 — Analytic 1230]] - [[an1231-analytic-1231|AN1231 — Analytic 1231]] - [[an1232-analytic-1232|AN1232 — Analytic 1232]] - [[an1233-analytic-1233|AN1233 — Analytic 1233]] --- *Fonte: [MITRE ATT&CK — DET0445](https://attack.mitre.org/detectionstrategies/DET0445)*