hunting-initial-access-brokers

# Hunting - Initial Access Brokers (IABs) > [!warning] Aviso Importante > Este playbook é para uso por threat hunters experientes em DFIR e inteligência de ameaças. IABs frequentemente mantêm acesso **dormante por dias ou semanas** antes da venda — a janela de detecção existe, mas é estreita. Ação imediata após identificação é essencial para evitar escalonamento para ransomware. --- ## Visão Geral **Initial Access Brokers (IABs)** são atores de ameaça especializados em comprometer redes corporativas e vender esse acesso como serviço para outros grupos criminosos — principalmente operadores de [[ransomware]], como [[lockbit-ransomware|LockBit]], [[blackcat-alphv|BlackCat/ALPHV]], [[play-ransomware|Play]] e [[s0611-clop-ransomware|Cl0p]]. O modelo IAB representa uma profissionalização da cadeia de ataque: em vez de um grupo executar todas as fases do ataque, há especialização por função. O IAB faz o trabalho "sujo" de comprometimento inicial, enquanto o operador de ransomware cuida da extorsão. **Por que caçar IABs:** - IABs frequentemente passam dias ou semanas no ambiente **sem executar ransomware** - esse é o período em que a detecção pode evitar o pior - O acesso vendido é geralmente válido, persistente e privilegiado - não é apenas um shell temporário - A telemetria de acesso dormente é **diferente** da telemetria de um ataque em andamento - é mais silenciosa, o que exige hipóteses específicas **Preços típicos de acesso em fóruns underground:** | Tipo de acesso | Faixa de preço (USD) | Atratividade | |---------------|---------------------|-------------| | RDP com admin local | $200 – $800 | Alta - fácil uso imediato | | VPN corporate (Fortinet, Citrix) | $500 – $3.000 | Muito alta - acesso confiável | | Domain Admin / Enterprise Admin | $3.000 – $10.000+ | Crítica - acesso total | | Webshell em servidor público | $100 – $500 | Média - depende de pivotamento | | Infostealer log com credenciais VPN | $50 – $300 | Alta - escala em volume | **Relacionamento com operadores de ransomware:** IABs vendem acesso em fóruns como RAMP, Exploit.in e XSS, frequentemente com affiliate programs de grupos como [[lockbit-ransomware|LockBit]] e [[blackcat-alphv|BlackCat/ALPHV]]. O operador compra, realiza reconnaissance mínimo, e então executa ransomware — tipicamente dentro de 72 horas da compra. --- ## Modelo de Negócio IAB ```mermaid graph TB A["🔍 IAB — Reconhecimento Shodan, Censys, OSINT"] --> B["💥 Comprometimento Inicial RDP brute force, VPN CVE, Phishing, Infostealer"] B --> C["🔑 Validação de Acesso Login de teste breve Sem movimentação lateral"] C --> D["📋 Listagem no Fórum RAMP, Exploit.in, XSS Descrição: setor, receita, país"] D --> E["💰 Venda para Operador Ransomware-as-a-Service Affiliaté programs"] E --> F["🚨 Deployment de Ransomware Geralmente 24–72h após compra LockBit, BlackCat, Play, Cl0p"] style A fill:#2d3748,color:#e2e8f0 style B fill:#742a2a,color:#fed7d7 style C fill:#744210,color:#fefcbf style D fill:#1a365d,color:#bee3f8 style E fill:#44337a,color:#e9d8fd style F fill:#63171b,color:#fff5f5 ``` **Ecossistema completo:** ```mermaid graph TB subgraph Fontes["Fontes de Acesso"] S1["Infostealer logs (Raccoon, RedLine, Vidar)"] S2["Credential marketplaces (Genesis Market, 2easy)"] S3["Brute force RDP/VPN (botnets automatizadas)"] S4["Exploração de CVEs (Fortinet, Citrix, Ivanti)"] end subgraph IAB["IAB — Broker"] B1["Validação e triagem de acessos"] B2["Classificação por valor (setor, receita, geo)"] end subgraph Compradores["Compradores"] C1["LockBit Affiliates"] C2["BlackCat Affiliates"] C3["Play Operadores"] C4["Grupos de espionagem Estado-nação"] end S1 --> B1 S2 --> B1 S3 --> B1 S4 --> B1 B1 --> B2 B2 --> C1 B2 --> C2 B2 --> C3 B2 --> C4 ``` --- ## Hipóteses de Hunting As hipóteses abaixo focam no **período de acesso dormente** — a janela entre o comprometimento inicial pelo IAB e a ativação pelo comprador. | # | Hipótese | Indicador principal | Prioridade | |---|----------|--------------------|-----------:| | H1 | Conta comprometida válidada via login único breve em VPN/RDP | Sessão curta (< 5 min), sem atividade subsequente | Alta | | H2 | Credencial de infostealer sendo usada de novo IP | Login bem-sucedido após longa inatividade, IP em range VPS/datacenter | Alta | | H3 | Nova conta local admin criada mas sem uso posterior | Conta criada fora do processo de onboarding, sem logon subsequente | Alta | | H4 | Webshell com interação de baixa frequência | Requisições HTTP POST isoladas a caminhos incomuns, agente User-Agent genérico | Média | | H5 | VPN appliance explorado - processo filho anômalo | Processo filho de daemon VPN executando shell ou downloader | Alta | | H6 | Credencial corporativa aparece em breach/paste externo | Monitoramento de credential exposure antes de login anômalo interno | Média | --- ## Vetores de Acesso Inicial ### RDP Exposto O Remote Desktop Protocol na porta 3389 (e portas alternativas como 3390, 13389, 33890) exposto diretamente à internet é o vetor mais explorado por IABs. Ferramentas como Shodan e Censys indexam esses serviços continuamente. **Indicadores de comprometimento via RDP:** - Login bem-sucedido após sequência de falhas (brute force → sucesso) - Login de IP em ASN de VPS/hosting (DigitalOcean, Vultr, Hetzner, Linode) - Login fora do horário comercial do fuso horário da organização - Sessão RDP com duração < 10 minutos e sem processos executados **Exposição no contexto brasileiro:** O Brasil tem historicamente uma das maiores taxas de exposição de RDP à internet no mundo. Levantamentos do Shodan regularmente identificam dezenas de milhares de instâncias brasileiras com porta 3389 acessível, muitas sem autenticação em nível de rede (NLA). --- ### Exploração de Appliances VPN CVEs em appliances VPN são o vetor preferencial para acessos de alto valor (acesso corporativo confiável): | Vendor | CVEs relevantes | Tipo | |--------|----------------|------| | Fortinet FortiGate | [[cve-2024-21762\|CVE-2024-21762]], [[cve-2023-27997\|CVE-2023-27997]] | RCE/Auth bypass pré-auth | | Citrix NetScaler | [[cve-2023-4966\|CVE-2023-4966]] (Citrix Bleed) | Vazamento de sessão | | Ivanti Connect Secure | [[cve-2024-21887\|CVE-2024-21887]], [[cve-2023-46805\|CVE-2023-46805]] | RCE/Auth bypass | | Pulse Secure | CVE-2019-11510, CVE-2021-22893 | Leitura arbitrária de arquivo | | Palo Alto PAN-OS | [[cve-2024-3400\|CVE-2024-3400]] | RCE pré-auth | **Indicadores de exploração de VPN:** - Processos filhos anômalos do daemon VPN (ex: `openssl`, `curl`, `sh`, `bash`) - Arquivos criados em diretórios temporários do appliance - Conexões de saída para IPs externos após autenticação - Mudanças em configuração via API ou CLI sem correlação com ticket de change --- ### Infostealer Logs e Credential Marketplaces [[s1148-raccoon-stealer|Raccoon]], [[s1240-redline-stealer|RedLine]] e [[vidar-stealer|Vidar]] são infostealers amplamente usados para coletar credenciais salvas em browsers, sessões VPN, e tokens de autenticação. Os logs são vendidos em marketplaces como Genesis Market (derrubado em 2023 mas com forks ativos), 2easy Shop e Russian Market. **Cadeia de ataque via infostealer:** 1. Usuário infectado → infostealer exfiltra cookies, senhas salvas, arquivos de configuração VPN 2. Log vendido em marketplace por $10–$100 por máquina 3. IAB compra lotes → filtra credenciais corporativas válidas 4. Credencial VPN/RDP válidada → listada por $500–$3.000 **Indicadores de uso de credencial de infostealer:** - Login bem-sucedido de IP nunca visto antes na organização - User-Agent diferente do padrão histórico do usuário (mudança de SO/browser) - Ausência de MFA challenge (token de sessão pode estar incluído no log) - Login em horário atípico para o perfil do usuário --- ### Phishing para Credenciais VPN/RDP Campanhas de phishing direcionadas a funcionários com acesso VPN são comuns no modelo IAB. O objetivo não é executar malware imediatamente, mas capturar credenciais válidas para venda. **Padrões observados:** - Páginas de phishing imitando portais VPN corporativos (Cisco AnyConnect, GlobalProtect) - Adversary-in-the-Middle (AiTM) com ferramentas como Evilginx2 para capturar sessões MFA - Uso de [[t1566-phishing|T1566 - Phishing]] com pretexto de renovação de senha corporativa --- ### Webshells em Aplicações Públicas Webshells em servidores web/aplicações públicas oferecem acesso persistente de baixo perfil. IABs frequentemente plantam webshells em aplicações vulneráveis e as listam com baixo nível de interação para evitar detecção. **Indicadores de webshell ativa:** - Requisições HTTP POST a arquivos com extensões `.php`, `.aspx`, `.jsp` em diretórios incomuns - Parâmetros de query com encoding base64 ou hex em requisições de entrada - Processo web server executando `cmd.exe`, `powershell.exe`, `bash`, ou `whoami` - Arquivos criados recentemente em diretórios de aplicação web com extensões executáveis --- ## Indicadores de Acesso Dormente O "acesso dormente" é o período entre o comprometimento pelo IAB e a ativação pelo comprador. É caracterizado por: > [!info] Jánela de Oportunidade > IABs geralmente **não se movem lateralmente** — isso aumentaria o risco de detecção e reduziria o valor do acesso. A fase dormente é mais silenciosa que um ataque ativo, mas tem padrões detectáveis. ### Padrões de Validação de Acesso | Comportamento | Descrição | Por que ocorre | |--------------|-----------|---------------| | Sessão RDP curta (1–5 min) | Login, verificação rápida, logout | IAB confirma que acesso ainda funciona antes de listar | | Login único sem atividade | Autenticação bem-sucedida, nenhum processo executado | Validação automatizada de credencial | | Conexão VPN breve | Conexão de minutos, sem tráfego de dados significativo | Teste de conectividade | | `whoami` / `ipconfig` imediatos | Comandos de reconhecimento mínimo logo após login | Confirmação do ambiente para incluir na listagem | ### Backdoors Criados Mas Inativos - Nova conta local com privilégios administrativos criada sem correspondência em AD/ITSM - Tarefa agendada ou serviço criado mas com trigger distante no futuro - Chave de registro `Run`/`RunOnce` adicionada mas sem processo correspondente iniciado - Usuário adicionado a grupo `Remote Desktop Users` ou `Administrators` sem ticket de mudança ### Webshells com Baixa Frequência - Requisições ao arquivo suspeito: 1–3 por semana, sem padrão regular - Origem de IPs diferentes a cada acesso (uso de proxies/VPS rotativos) - Conteúdo da resposta HTTP sempre com status 200 mas payload mínimo --- ## Queries de Hunting ### H1 - Sessão RDP/VPN Curta de IP Incomum #### KQL - Microsoft Sentinel ```kql // Detecta logins bem-sucedidos de IPs em ASNs de datacenter com sessão curta let KnownASNs = dynamic(["DigitalOcean", "Vultr", "Hetzner", "Linode", "OVH", "Choopa"]); SigninLogs | where ResultType == 0 // sucesso | where AppDisplayName has_any ("VPN", "Remote Desktop", "Gateway") | where NetworkLocationDetails has_any (KnownASNs) | summarize SessionCount = count(), FirstSeen = min(TimeGenerated), LastSeen = max(TimeGenerated) by UserPrincipalName, IPAddress, AppDisplayName | extend SessionDuration = datetime_diff('minute', LastSeen, FirstSeen) | where SessionDuration < 10 | order by SessionDuration asc ``` #### SPL - Splunk ```spl index=windows EventCode=4624 LogonType=10 | eval session_hour=strftime(_time, "%Y-%m-%d %H") | stats count min(_time) as first_logon max(_time) as last_logon values(TargetUserName) as users by IpAddress, session_hour | eval duration_min=round((last_logon-first_logon)/60, 1) | where duration_min < 10 AND count = 1 | lookup geoip IpAddress OUTPUT Country, Region, Org | where Org IN ("DigitalOcean", "Vultr", "Hetzner", "OVH", "Linode") | sort -_time ``` --- ### H2 - Credencial Usada de IP Nunca Visto #### KQL - Microsoft Sentinel ```kql // Usuário com histórico de logins de IPs conhecidos agora logando de IP novo let LookbackDays = 30d; let RecentWindow = 1d; let HistoricalIPs = SigninLogs | where TimeGenerated between (ago(LookbackDays) .. ago(RecentWindow)) | where ResultType == 0 | summarize KnownIPs = make_set(IPAddress) by UserPrincipalName; SigninLogs | where TimeGenerated > ago(RecentWindow) | where ResultType == 0 | join kind=leftouter HistoricalIPs on UserPrincipalName | where not(IPAddress in (KnownIPs)) | where isnotempty(KnownIPs) // Usuário tem histórico - não é conta nova | project TimeGenerated, UserPrincipalName, IPAddress, AppDisplayName, Location, UserAgent, KnownIPs | order by TimeGenerated desc ``` #### SPL - Splunk - Novo IP para Usuário com Histórico ```spl index=vpn_logs action=success | stats dc(src_ip) as unique_ips values(src_ip) as ip_list earliest(_time) as first_seen latest(_time) as last_seen by user | eval new_login_threshold=if(unique_ips > 5, "established_user", "new_user") | where new_login_threshold="established_user" | join user [ search index=vpn_logs action=success earliest=-1d | stats values(src_ip) as recent_ips by user ] | eval new_ip=mvfilter(NOT match(recent_ips, ip_list)) | where isnotnull(new_ip) | table user, new_ip, ip_list, last_seen ``` --- ### H3 - Brute Force RDP Seguido de Sucesso #### KQL - Microsoft Sentinel ```kql // IP com múltiplas falhas seguidas de login bem-sucedido (brute force → sucesso) let FailureThreshold = 10; let TimeWindow = 1h; let FailedLogins = SecurityEvent | where EventID == 4625 | where LogonType in (3, 10) | summarize FailureCount = count(), FailedAccounts = make_set(TargetUserName) by IpAddress, bin(TimeGenerated, TimeWindow); let SuccessfulLogins = SecurityEvent | where EventID == 4624 | where LogonType in (3, 10) | summarize SuccessCount = count(), SuccessAccounts = make_set(TargetUserName) by IpAddress, bin(TimeGenerated, TimeWindow); FailedLogins | where FailureCount >= FailureThreshold | join kind=inner SuccessfulLogins on IpAddress, $left.TimeGenerated == $right.TimeGenerated | project TimeGenerated, IpAddress, FailureCount, FailedAccounts, SuccessAccounts | order by FailureCount desc ``` #### SPL - Splunk - Brute Force Exitoso ```spl index=windows EventCode=4625 LogonType IN (3, 10) | bucket _time span=1h | stats count as failures values(TargetUserName) as attempted_users by IpAddress, _time | where failures >= 10 | join IpAddress [ search index=windows EventCode=4624 LogonType IN (3, 10) earliest=-24h | stats count as successes values(TargetUserName) as successful_users by IpAddress | where successes > 0 ] | table _time, IpAddress, failures, attempted_users, successes, successful_users | sort -failures ``` --- ### H4 - Nova Conta Admin Local Sem Uso Posterior #### KQL - Microsoft Sentinel ```kql // Conta criada com privilégios de admin mas sem nenhum logon nos últimos 7 dias let CreationWindow = 14d; let InactivityThreshold = 7d; SecurityEvent | where EventID == 4720 // conta criada | where TimeGenerated > ago(CreationWindow) | project AccountCreated = TargetUserName, CreationTime = TimeGenerated, CreatingAccount = SubjectUserName, Computer | join kind=leftanti ( SecurityEvent | where EventID == 4624 | where TimeGenerated > ago(InactivityThreshold) | project TargetUserName ) on $left.AccountCreated == $right.TargetUserName | join kind=inner ( SecurityEvent | where EventID == 4732 // adicionado ao grupo de Administradores | project MemberAdded = MemberName ) on $left.AccountCreated == $right.MemberAdded | project CreationTime, AccountCreated, CreatingAccount, Computer | order by CreationTime desc ``` --- ### H5 - Webshell - Processo Filho do Web Server #### KQL - Microsoft Defender for Endpoint ```kql // Processos de shell/recon executados como filhos do IIS, Apache, Nginx, Tomcat let WebServerProcesses = dynamic(["w3wp.exe", "httpd.exe", "nginx.exe", "tomcat.exe", "java.exe", "python.exe", "php-cgi.exe"]); let SuspiciousChildren = dynamic(["cmd.exe", "powershell.exe", "whoami.exe", "net.exe", "net1.exe", "ipconfig.exe", "curl.exe", "certutil.exe", "bitsadmin.exe", "wscript.exe", "cscript.exe"]); DeviceProcessEvents | where InitiatingProcessFileName has_any (WebServerProcesses) | where FileName has_any (SuspiciousChildren) | project Timestamp, DeviceName, AccountName, InitiatingProcessFileName, FileName, ProcessCommandLine, InitiatingProcessCommandLine | order by Timestamp desc ``` #### SPL - Splunk - Webshell via Sysmon ```spl index=sysmon EventCode=1 ParentImage IN ("*\\w3wp.exe", "*\\httpd.exe", "*\\nginx.exe", "*\\java.exe", "*\\php-cgi.exe") Image IN ("*\\cmd.exe", "*\\powershell.exe", "*\\whoami.exe", "*\\net.exe", "*\\curl.exe", "*\\certutil.exe", "*\\wscript.exe") | table _time, Computer, User, ParentImage, Image, CommandLine | sort -_time ``` --- ### H6 - Logins VPN de Geolocalização Incomum #### KQL - Microsoft Sentinel ```kql // Logins VPN de países não esperados para a organização let AllowedCountries = dynamic(["Brazil", "United States", "Portugal"]); SigninLogs | where ResultType == 0 | where AppDisplayName has_any ("VPN", "GlobalProtect", "AnyConnect", "FortiClient") | extend Country = tostring(LocationDetails.countryOrRegion) | where Country !in (AllowedCountries) | where isnotempty(Country) | summarize LoginCount = count(), FirstSeen = min(TimeGenerated), LastSeen = max(TimeGenerated) by UserPrincipalName, IPAddress, Country | order by LoginCount desc ``` --- ## Ferramentas de Hunting ### Exposição de Superfície Externa | Ferramenta | Uso no contexto IAB | Exemplo de query | |-----------|--------------------|-----------------:| | **Shodan** | Identificar RDP/VPN da org expostos à internet | `org:"Empresa XYZ" port:3389` | | **Censys** | Mapear appliances VPN com CVEs conhecidos | `autonomous_system.organization: "Empresa" AND services.port: 443` | | **FOFA** | Alternativa ao Shodan com foco em APAC/LATAM | `org="empresa" && port="3389"` | | **Netlas** | Busca por certificados TLS e banners de serviços | Certificado expirado = alvo fácil | ### Monitoramento de Credenciais Expostas | Serviço | Cobertura | Tipo | |---------|-----------|------| | **Have I Been Pwned** | Breaches públicos - emails e senhas | Gratuito/API | | **Hudson Rock** | Logs de infostealers - verifica domínio corporativo | Freemium | | **SpyCloud** | Monitoramento enterprise de credential exposure | Pago | | **Flare.io** | Dark web monitoring - menciona a org em fóruns? | Pago | | **Recorded Future** | Inteligência sobre IABs e listagens de acesso | Pago | > [!tip] Dica Operacional > Hudson Rock oferece uma API gratuita para verificar se um domínio corporativo aparece em logs de infostealers. Execute `curl "https://cavalier.hudsonrock.com/api/json/v2/osint-tools/search-by-domain?domain=empresa.com.br"` para verificação rápida. ### Análise de Logs de VPN e Firewall | Ferramenta | Uso | |-----------|-----| | **Velociraptor** | Coleta em escala de logs de autenticação, processos e conexões | | **Chainsaw** | Análise rápida de Windows Event Logs com regras Sigma | | **Hayabusa** | Detecção baseada em Sigma para Event Logs - ótimo para análise retroativa | | **Elastic SIEM** | Correlação de logs de VPN/firewall com eventos de endpoint | --- ## Contexto LATAM/Brasil > [!danger] Brasil no Radar dos IABs > O Brasil é consistentemente listado entre os países com maior volume de acessos vendidos em fóruns underground. Organizações dos setores financeiro, governo e energia são alvos de alto valor. ### Por Que o Brasil é Atrativo para IABs **Exposição de RDP acima da média global:** Levantamentos recentes do Shodan identificam entre 40.000 e 60.000 instâncias de RDP expostas no Brasil, muitas sem NLA (Network Level Authentication). Grande parte pertence a PMEs e órgãos públicos municipais e estaduais. **Prevalência de Fortinet e Citrix:** O mercado brasileiro de segurança tem forte adoção de [[_fortinet|Fortinet FortiGate]] e Citrix NetScaler para VPN corporativa. CVEs críticos nesses produtos — como [[cve-2024-21762|CVE-2024-21762]] (FortiOS RCE) e [[cve-2023-4966|CVE-2023-4966]] (Citrix Bleed) — foram amplamente explorados por IABs com foco em organizações brasileiras. **Mercados underground com foco em BR:** | Fórum/Marketplace | Tipo de acesso vendido | Faixa de preço BR | |------------------|----------------------|:----------------:| | RAMP Forum | Acesso VPN/RDP para grandes corporações BR | $1.000 – $8.000 | | Exploit.in | Acesso inicial, credential logs de empresas BR | $300 – $5.000 | | XSS.is | Lotes de infostealer logs com domínios .br | $50 – $500/lote | | Russian Market | Logs de infostealers com cookies corporativos BR | $10 – $200/log | **Setores mais listados (por volume observado):** ```mermaid pie title Setores Brasileiros em Listagens IAB (2024-2025) "Financeiro / Bancos" : 28 "Governo Estadual/Municipal" : 22 "Saúde / Hospitais" : 15 "Varejo / E-commerce" : 13 "Indústria / Manufatura" : 12 "Telecomunicações" : 10 ``` ### Grupos IAB com Histórico de Targets Brasileiros - **UNC2165** (afiliado ao [[lockbit-ransomware|LockBit]]) - exploração de VPNs Fortinet e Citrix em LATAM - **Scattered Spider** / grupos de língua inglesa - engenharia social via helpdesk - **Grupos de língua russa** não nomeados - especializados em infostealer logs em português - Operadores afiliados ao [[s0611-clop-ransomware|Cl0p]] - exploitation de MOVEit e GoAnywhere com impacto em organizações BR ### Recomendações Específicas para o Brasil 1. **Monitorar o domínio da organização em Hudson Rock** - verifica se há logs de infostealers com credenciais corporativas 2. **Auditar exposure via Shodan** usando ASNs de provedores brasileiros (Claro, Vivo, TIM, Embratel, Locaweb) 3. **Priorizar patching de Fortinet e Citrix** - CVEs nesses produtos são os mais explorados por IABs com foco em BR 4. **Implementar Conditional Access com MFA** para todos os acessos VPN e RDP - credenciais de infostealer perdem valor com MFA robusto 5. **Revisar exposição de RDP** - desabilitar ou mover para porta não padrão com NLA obrigatório --- ## Checklist de Hunting ### Preparação - [ ] Levantar surface externa via Shodan/Censys - quantos serviços de acesso remoto expostos? - [ ] Verificar domínio corporativo em Hudson Rock por logs de infostealers - [ ] Confirmar retenção de logs VPN e RDP no SIEM - mínimo 90 dias - [ ] Estabelecer baseline de IPs, países e horários de login para principais usuários VPN - [ ] Mapear todas as contas com acesso VPN/RDP privilegiado ### Execução - [ ] Executar H1 - sessões curtas de IPs em ASNs de datacenter - [ ] Executar H2 - credencial usada de IP nunca visto no histórico de 30 dias - [ ] Executar H3 - brute force RDP/VPN seguido de login bem-sucedido - [ ] Executar H4 - nova conta local admin sem logon subsequente - [ ] Executar H5 - processo filho suspeito de web server - [ ] Executar H6 - logins VPN de países não esperados ### Investigação de Achados - [ ] Para cada True Positive: capturar artefatos forenses antes de agir (não alertar atacante) - [ ] Verificar se há listagem da org em fóruns underground (Flare, Recorded Future) - [ ] Correlacionar timestamp do acesso suspeito com postagens em fóruns IAB - [ ] Checar se conta comprometida tem acesso a sistemas críticos (AD, backup, finance) ### Documentação - [ ] Documentar cada hipótese com resultado (TP/FP/Inconclusivo) - [ ] Se TP confirmado: escalar para IR e iniciar contenção imediata - [ ] Atualizar detection rules com novos IOAs identificados - [ ] Registrar IPs/ASNs maliciosos para blocklists --- ## Referências - [[t1078-valid-accounts|T1078 - Valid Accounts]] - técnica central de IABs: uso de credenciais válidas roubadas - [[t1133-external-remote-services|T1133 - External Remote Services]] - VPN e RDP como vetor de acesso inicial - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - exploração de appliances VPN - [[t1110-brute-force|T1110 - Brute Force]] - técnica de comprometimento de RDP exposto - [[t1566-phishing|T1566 - Phishing]] - phishing direcionado a credenciais VPN - [[t1556-modify-authentication-process|T1556 - Modify Authentication Process]] - backdoor de autenticação criado pelo IAB - [[s1148-raccoon-stealer|Raccoon Stealer]] - infostealer amplamente usado para coletar credenciais corporativas - [[s1240-redline-stealer|RedLine Stealer]] - infostealer focado em browsers e configurações VPN - [[lockbit-ransomware|LockBit]] - principal comprador de acessos IAB com affiliate program ativo - [[blackcat-alphv|BlackCat/ALPHV]] - operador de ransomware com forte dependência de IABs - [[cve-2024-21762|CVE-2024-21762]] - FortiOS RCE pré-auth amplamente explorado por IABs em 2024 - [[cve-2023-4966|CVE-2023-4966]] - Citrix Bleed, exploração massiva com impacto em organizações LATAM - [[hunting-lateral-movement]] - playbook relacionado: detecção de movimentação após acesso IAB - [Coveware Q4 2024 - Ransomware Marketplace Report](https://www.coveware.com/ransomware-reports) - [KELA Research - Initial Access Brokers in 2024](https://ke-la.com/blog/) --- *Última revisão: 2026-03-26 | Próxima revisão recomendada: 2026-09-26*