det0581-detect-one-way-web-service-command-channels

# DET0581 — Detect One-Way Web Service Command Channels ## Descrição Canais de comando unidirecionais via serviços web ([[t1102-web-service|T1102]]) são utilizados por adversários para transmitir comandos para implantes sem estabelecer conexão direta ao servidor C2, dificultando a detecção por análise de tráfego bidirecional. O implante consulta periodicamente serviços legítimos como Pastebin, GitHub Gist, Twitter/X, Telegram, Discord, ou páginas de perfil em redes sociais para recuperar comandos codificados. A resposta (exfiltração de resultados) pode ocorrer por canal separado ou não ocorrer, tornando difícil identificar a comunicação C2 pela análise de fluxo de rede convencional. Técnicas de Dead Drop Resolver utilizam esse padrão: o malware lê um "dead drop" — um recurso web que parece inofensivo mas contém o endereço real do C2 codificado no texto, comentários ou metadados. Grupos como [[g0016-apt29]] e [[g0032-lazarus-group]] utilizam variações desse padrão para comunicação C2 resiliente em ambientes com inspeção profunda de pacotes. O acesso a serviços como GitHub ou Telegram raramente é bloqueado em ambientes corporativos, maximizando a probabilidade de sucesso. A detecção foca na periodicidade e padrão de acesso: um processo que acessa um Pastebin ou Gist a cada 30-60 segundos de forma automatizada, ou que acessa diferentes URLs do mesmo serviço em sequência buscando atualizações, difere do comportamento humano normal. Correlação de user-agent, timing determinístico e ausência de interação de usuário são os principais discriminadores. ## Indicadores de Detecção - Processo acessando `pastebin.com/raw/`, `gist.github.com/raw/` ou `api.telegram.org` em intervalo regular (jitter mínimo) - Acesso automatizado a URLs de serviços públicos sem abertura de janela de browser (processo sem GUI) - User-agent inconsistente com browser legítimo em requisições para serviços de compartilhamento - Processo sem histórico de acesso à internet realizando GET para serviço de hospedagem de texto - Acesso a múltiplas URLs do mesmo domínio público em sequência por processo de sistema - Conteúdo retornado por serviço público decodificado para outro URL ou IP (Dead Drop Resolver) ## Técnicas Relacionadas - [[t1102-web-service|T1102 — Web Service]] - [[T1102.001-web-service-dead-drop-resolver|T1102.001 — Dead Drop Resolver]] - [[T1071.001-application-layer-protocol-web-protocols|T1071.001 — Web Protocols]] - [[t1568-dynamic-resolution|T1568 — Dynamic Resolution]] - [[t1090-proxy|T1090 — Proxy]] ## Analytics Relacionadas - [[an1599-analytic-1599|AN1599 — Analytic 1599]] - [[an1600-analytic-1600|AN1600 — Analytic 1600]] - [[an1601-analytic-1601|AN1601 — Analytic 1601]] - [[an1602-analytic-1602|AN1602 — Analytic 1602]] --- *Fonte: [MITRE ATT&CK — DET0581](https://attack.mitre.org/detectionstrategies/DET0581)*