# DET0874 — Detection of Server ## Descrição A estratégia DET0874 complementa a DET0871 com foco em diferentes aspectos da detecção de infraestrutura de servidor adversarial, específicamente servidores utilizados para staging de ferramentas e payloads antes do ataque. Adversários configuram servidores de staging para armazenar implantes, ferramentas de pós-exploração, dados exfiltrados e scripts de ataque — separando a infraestrutura operacional da de C2 para compartimentalização e resiliência. A separação de funções entre servidor de C2, servidor de staging e servidor de exfiltração é uma prática de OPSEC de operadores experientes que complica a defesa ao distribuir a infraestrutura maliciosa. Servidores de staging frequentemente possuem certificados TLS válidos, banners de serviço legítimos e permanecem dormentes até o momento do ataque, tornando sua identificação mais difícil através de reputação de IP isolada. A detecção se baseia em análise comportamental de tráfego de rede para identificar downloads de ferramentas de fontes suspeitas, monitoramento de acessos a URLs ou caminhos específicos associados a frameworks de ataque conhecidos (Cobalt Strike, Metasploit), e correlação com threat intelligence sobre infraestrutura de staging de campanhas ativas. ## Indicadores de Detecção - Download de ferramenta executável de servidor externo por processo de sistema não esperado - Acesso a URL com caminho típico de servidor de staging de framework C2 (ex: `/jquery.js`, `/fonts.css`) - Certificado TLS de servidor externo com características associadas a infraestrutura de Cobalt Strike - Processo realizando download de payload em múltiplas partes de servidor com baixa reputação - Servidor externo servindo conteúdo binário codificado disfarçado como recurso web legítimo - Comúnicação com servidor provisionado em data recente sem histórico de uso corporativo - Correlação entre IP de servidor e indicadores de campanhas ativas em feeds de threat intel ## Técnicas Relacionadas - [[T1583.004-server|T1583.004 — Acquire Infrastructure: Server]] - [[T1584.004-server|T1584.004 — Compromise Infrastructure: Server]] - [[T1608.001-upload-malware|T1608.001 — Stage Capabilities: Upload Malware]] - [[T1608.002-upload-tool|T1608.002 — Stage Capabilities: Upload Tool]] - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] - [[T1090.003-multi-hop-proxy|T1090.003 — Proxy: Multi-hop Proxy]] ## Analytics Relacionadas - [[an2006-analytic-2006|AN2006 — Analytic 2006]] --- *Fonte: [MITRE ATT&CK — DET0874](https://attack.mitre.org/detectionstrategies/DET0874)*