det0882-detection-of-web-services

# DET0882 — Detection of Web Services ## Descrição A estratégia DET0882 aborda a detecção do uso adversarial de serviços web legítimos como infraestrutura de ataque. Adversários utilizam plataformas como GitHub, Pastebin, Google Docs, Notion, Telegram, Discord e outros serviços confiáveis para hospedar payloads, configurações de C2, scripts maliciosos e como canal de comunicação com implantes. Essa técnica é conhecida como "living off trusted sites" (LOTS) e é altamente eficaz para evasão. A utilização de serviços legítimos como C2 ou dead drop resolver (DDR) aproveita o fato de que grandes plataformas raramente são bloqueadas por firewalls corporativos e seu tráfego está misturado com uso legítimo de negócios, dificultando inspeção e bloqueio sem impacto operacional significativo. Grupos APT como APT29 e Mustang Panda documentadamente utilizam GitHub e OneDrive como parte de sua infraestrutura de C2. A detecção requer análise granular de tráfego para serviços web legítimos: volume anormal de acesso de processo específico, acesso a URLs com padrão de dead drop (arquivos de texto em repositórios sem contexto de negócio), e correlação com comportamentos pós-acesso (download seguido de execução de código). ## Indicadores de Detecção - Processo do sistema (svchost, rundll32) acessando GitHub, Pastebin ou similar sem contexto de negócio - Download de arquivo de texto/JSON de repositório GitHub por processo não relacionado a desenvolvimento - Acesso a URL de serviço web com path que corresponde a padrão de dead drop resolver de C2 conhecido - Volume incomum de requisições GET para Pastebin ou GitHub de endpoint não relacionado a dev - Processo malware-like lendo conteúdo de documento Google Docs ou Notion de acesso único - Comúnicação bidirecional com Discord/Telegram API de processo que não é cliente de mensagens - Exfiltração de dados via upload para serviço cloud legítimo (Google Drive, OneDrive, Dropbox) ## Técnicas Relacionadas - [[T1583.006-web-services|T1583.006 — Acquire Infrastructure: Web Services]] - [[t1102-web-service|T1102 — Web Service]] - [[T1102.001-dead-drop-resolver|T1102.001 — Web Service: Dead Drop Resolver]] - [[T1102.002-bidirectional-communication|T1102.002 — Web Service: Bidirectional Commúnication]] - [[t1567-exfiltration-over-web-service|T1567 — Exfiltration Over Web Service]] - [[T1608.001-upload-malware|T1608.001 — Stage Capabilities: Upload Malware]] ## Analytics Relacionadas - [[an2014-analytic-2014|AN2014 — Analytic 2014]] --- *Fonte: [MITRE ATT&CK — DET0882](https://attack.mitre.org/detectionstrategies/DET0882)*