det0885-detection-of-compromise-infrastructure

# DET0885 — Detection of Compromise Infrastructure ## Descrição A estratégia DET0885 aborda a detecção de comprometimento de infraestrutura de terceiros por adversários para uso como plataforma de ataque. Em vez de adquirir nova infraestrutura, adversários comprometem servidores, roteadores, VPNs, firewalls e outros dispositivos de organizações legítimas para hospedar C2, conduzir reconhecimento, proxying de tráfego e staging de ferramentas. Isso dificulta enormemente a atribuição e o bloqueio por reputação de IP. Organizações comprometidas e transformadas em infraestrutura de ataque frequentemente são escolhidas por seu perfil de baixo risco: pequenas e médias empresas sem equipe de segurança dedicada, universidades, municípios e ONGs. Grupos APT patrocinados por estados são especialmente conhecidos por utilizar infraestrutura comprometida de países neutros para criar distância geográfica da atribuição real. O grupo Volt Typhoon (China) documentadamente construiu uma vasta rede de roteadores SOHO comprometidos para esse fim. A detecção requer monitoramento de comportamentos anômalos em infraestrutura própria (servidor web corporativo sendo usado como proxy), análise de logs de acesso para padrões de relay, e inteligência sobre IPs de infraestrutura comprometida conhecida em feeds de threat intelligence. ## Indicadores de Detecção - Servidor corporativo aceito como próximo hop em cadeia de proxy detectada em análise de tráfego - Tráfego de saída de servidor web corporativo para C2 externo sem justificativa de negócio - Autenticação em dispositivo de borda corporativo a partir de IP de campanha APT conhecida - Padrão de tráfego relay: servidor recebendo e retransmitindo pacotes para terceiros sem contexto - Logs de acesso a dispositivo de rede mostrando uso como proxy por IP externo desconhecido - IoC de servidor C2 de campanha ativa apontando para endereço IP pertencente a outra organização - Indicadores forenses de comprometimento em servidor de hospedagem ou firewall corporativo ## Técnicas Relacionadas - [[t1584-compromise-infrastructure|T1584 — Compromise Infrastructure]] - [[T1584.001-domains|T1584.001 — Domains]] - [[T1584.004-server|T1584.004 — Server]] - [[T1090.003-multi-hop-proxy|T1090.003 — Proxy: Multi-hop Proxy]] - [[T1090.004-domain-fronting|T1090.004 — Proxy: Domain Fronting]] - [[t1600-weaken-encryption|T1600 — Weaken Encryption]] ## Analytics Relacionadas - [[an2017-analytic-2017|AN2017 — Analytic 2017]] --- *Fonte: [MITRE ATT&CK — DET0885](https://attack.mitre.org/detectionstrategies/DET0885)*