# DET0834 — Detection of Upload Tool ## Descrição Adversários fazem upload de ferramentas e utilitários ofensivos para plataformas públicas ou infraestrutura de staging como parte da preparação de capacidades para ataques futuros. Diferente do upload de malware (DET0824), esta técnica foca específicamente em ferramentas de ataque — frameworks de post-exploitation como Cobalt Strike, Metasploit, impacket, BloodHound, e utilitários de reconhecimento e movimentação lateral. Ao hospedar essas ferramentas em serviços legítimos, o adversário pode baixá-las para sistemas comprometidos de forma que o tráfego sejá indistinguível de uso corporativo legítimo de serviços como GitHub ou S3. O uso de ferramentas hospedadas externamente também permite ao adversário atualizar suas capacidades em campo — atualizando o payload no repositório para que todos os sistemas comprometidos recebam a versão mais recente automaticamente. Grupos como [[g0096-apt41]], [[g0046-fin7]] e operadores de ferramentas de ataque comerciais como [[s0154-cobalt-strike]] frequentemente hospedam stagers e beacons configurados em repositórios ou buckets de armazenamento antes de iniciar campanhas, mapeado em [[t1608-stage-capabilities|T1608-stage-capabilities]] e [[t1588-obtain-capabilities|T1588-obtain-capabilities]]. A detecção deve focar no comportamento de download e execução: processos incomuns fazendo download de arquivos executáveis de repositórios GitHub ou serviços de armazenamento em nuvem, transferências de ferramentas conhecidas de ataque identificadas por hash ou comportamento, e execução de binários cujo hash corresponde a versões conhecidas de ferramentas ofensivas. Correlacionar downloads de serviços legítimos com execução subsequente de atividades de reconhecimento ou movimentação lateral é o indicador mais forte desta técnica. ## Indicadores de Detecção - Download de binários de repositórios GitHub com poucos stars e criados recentemente por processos de sistema - Hashes de arquivos baixados de nuvem correspondendo a versões conhecidas de Cobalt Strike, Metasploit ou impacket - Execução de ferramentas de ataque conhecidas (`BloodHound.exe`, `SharpHound.exe`, `Rubeus.exe`) após download externo - PowerShell ou Python fazendo download de scripts de URLs de armazenamento em nuvem e executando diretamente - Binários sem assinatura digital executados imediatamente após download de serviços de nuvem - Tráfego para domínios de distribuição de ferramentas ofensivas identificados em threat intelligence - Criação de processos filhos incomuns por processos de download (wget, curl) imediatamente após execução ## Técnicas Relacionadas - [[t1608-stage-capabilities|T1608-stage-capabilities]] — preparação de ferramentas em infraestrutura de staging - [[t1588-obtain-capabilities|T1588-obtain-capabilities]] — obtenção de ferramentas e utilitários para o ataque - [[t1105-ingress-tool-transfer|T1105-ingress-tool-transfer]] — transferência de ferramentas para sistemas comprometidos - [[t1059-command-and-scripting-interpreter|T1059-command-and-scripting-interpreter]] — uso de intérpretes para executar ferramentas baixadas - [[t1219-remote-access-tools]] — ferramentas de acesso remoto legítimas usadas como implante ## Analytics Relacionadas - [[an1966-analytic-1966|AN1966 — Analytic 1966]] --- *Fonte: [MITRE ATT&CK — DET0834](https://attack.mitre.org/detectionstrategies/DET0834)*