det0854-detection-of-virtual-private-server

# DET0854 — Detection of Virtual Private Server ## Descrição Esta estratégia foca na detecção do uso de Virtual Private Servers (VPS) como infraestrutura de ataque — um recurso amplamente utilizado por adversários para hospedar servidores de comando e controle (C2), staging de malware, proxies de anonimização e plataformas de phishing. VPS são preferidos por oferecerem endereços IP de provedores legítimos de nuvem, dificultando bloqueios baseados em reputação. Adversários adquirem VPS com criptomoedas ou cartões pré-pagos para dificultar rastreamento, frequentemente escolhendo provedores em jurisdições com fraca cooperação internacional (Rússia, China, alguns países da Europa Oriental). O ciclo de vida típico é curto — um VPS é configurado, usado em uma campanha e abandonado, com novo endereço IP adquirido para a próxima operação, frustrando blocklists estáticas. A detecção eficaz combina análise de ASN de origem de tráfego suspeito (identificando ranges conhecidos de provedores VPS "bulletproof"), correlação com feeds de threat intelligence sobre IPs C2 ativos, e monitoramento de novas conexões de saída da rede corporativa para destinos em ASNs de alto risco. ## Indicadores de Detecção - Conexões de saída para IPs em ASNs conhecidos de provedores VPS bulletproof (M247, Serverius, FranTech) - Comúnicação com IPs que aparecem em feeds de C2 como FeodoTracker, abuse.ch ou Emerging Threats - Uso de portas não padrão (443 sobre TCP 4444, 8443, 8080) para comunicação persistente com IPs externos - Certificados TLS autoassinados ou emitidos recentemente para IPs de provedores cloud em conexões de longa duração ## Técnicas Relacionadas - [[t1583-acquire-infrastructure|T1583 — Acquire Infrastructure]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1090-proxy|T1090 — Proxy]] - [[t1584-compromise-infrastructure|T1584 — Compromise Infrastructure]] ## Analytics Relacionadas - [[an1986-analytic-1986|AN1986 — Analytic 1986]] --- *Fonte: [MITRE ATT&CK — DET0854](https://attack.mitre.org/detectionstrategies/DET0854)*