det0838-detection-of-virtual-private-server

# DET0838 — Detection of Virtual Private Server ## Descrição Virtual Private Servers (VPS) são amplamente utilizados por adversários como infraestrutura de ataque devido ao custo baixo, anonimato relativo (especialmente quando pagos com criptomoeda), facilidade de provisionamento e remoção, e o fato de que IPs de provedores de cloud como Vultr, Linode, DigitalOcean e OVH têm reputação neutral que não é bloqueada por padrão. VPS são utilizados como servidores C2, redirectores de tráfego, servidores de phishing, plataformas de exfiltração e nós de pivotamento. Grupos como [[g0016-apt29]], [[g0007-apt28]] e operadores de ransomware constroem infraestruturas multi-hop de VPS para dificultar rastreamento e atribuição. A identificação de IPs de VPS como origem de ataques é possível via análise de ASNs — provedores de hosting como Vultr (AS20473), DigitalOcean (AS14061) e Linode (AS63949) têm seus ranges de IP bem documentados e consultas de BGP permitem identificar a origem de tráfego suspeito. No entanto, a ampla utilização legítima desses provedores por organizações para cargas de trabalho de produção dificulta o bloqueio generalizado. A detecção deve basear-se em análise de comportamento e correlação de contexto — um acesso VPN de IP de hosting provider em horário incomum para uma conta específica merece investigação, mesmo que não sejá automaticamente bloqueado. Correlacionar IPs de VPS com threat intelligence (listas de IPs de C2 conhecidos, IPs de servidores de phishing reportados), analisar comportamento de autenticação e implementar análises de risco adaptativo baseadas em contexto de IP são abordagens eficazes, mapeadas em [[t1583-acquire-infrastructure|T1583-acquire-infrastructure]] e [[t1090-proxy|T1090-proxy]]. ## Indicadores de Detecção - Autenticações em sistemas corporativos originadas de IPs de ASNs de hosting providers (Vultr, DO, Linode) - Correlação de IPs de VPS com feeds de threat intelligence — C2, phishing, scanners maliciosos conhecidos - Conexões de saída regulares para IPs de hosting providers sem correspondência com serviços legítimos da organização - Análise de risco: primeiro login de IP de hosting provider para conta com acesso a dados sensíveis - Tráfego de exfiltração (volumes altos, destino novo) para IPs de VPS não reconhecidos - Múltiplos IPs de diferentes hosting providers acessando consecutivamente os mesmos recursos (rotação de IP) - VPS da organização com tráfego anômalo indicando uso como redirector ou nó C2 comprometido ## Técnicas Relacionadas - [[t1583-acquire-infrastructure|T1583-acquire-infrastructure]] — aquisição de VPS para infraestrutura de ataque - [[t1090-proxy|T1090-proxy]] — VPS como proxy/redirector para mascarar origem real - [[t1071-application-layer-protocol|T1071-application-layer-protocol]] — comunicação C2 hospedada em VPS - [[t1567-exfiltration-over-web-service|T1567-exfiltration-over-web-service]] — exfiltração para VPS como destino intermediário - [[t1078-valid-accounts|T1078-valid-accounts]] — logins com credenciais comprometidas originados de VPS ## Analytics Relacionadas - [[an1970-analytic-1970|AN1970 — Analytic 1970]] --- *Fonte: [MITRE ATT&CK — DET0838](https://attack.mitre.org/detectionstrategies/DET0838)*