> [!warning] Aviso Importante
> Resposta a espionagem APT e fundamentalmente diferente de ransomware. O objetivo do APT e **persistência silenciosa**, nao interrupcao. Acoes precipitadas alertam o atacante e podem comprometer evidências criticas para investigação forense e policial. Este playbook requer coordenacao com equipe juridica, CTIR Gov (se entidade governamental) e possívelmente forcas policiais. Nao expulse o atacante antes de preservar evidências e avaliar o escopo completo.
---
## Visão Geral
Grupos de espionagem avancada (APT) operam com objetivos de **coleta de inteligencia** de longo prazo. Em contraste com grupos financeiros, APTs buscam manter acesso persistente e silencioso por meses ou anos, exfiltrando dados de forma gradual para evitar detecção.
**Grupos com atividade documentada em LATAM/Brasil:**
- **[[g1045-salt-typhoon]]** (China/MSS) - comprometeu operadoras de telecomunicacoes globalmente, incluindo infraestrutura no Brasil. Foco: comunicacoes governamentais e diplomaticas.
- **[[g1017-volt-typhoon]]** (China/PLA) - especialista em Living off the Land (LOTL). Alvo: infraestrutura critica. Detectado em redes de energia e telecomunicacoes na America do Sul.
- **[[g0007-apt28]]** (Russia/GRU) - Fancy Bear. Campanhas contra governos, instituicoes academicas e think tanks na America Latina. Ativo durante eleicoes.
- **[[g0099-blind-eagle-apt-c-36]]** (APT-C-36) - origem possível Colombia/LATAM. Espionagem politica e economica em paises andinos. Usa RATs customizados.
**O que diferencia resposta a APT:**
| Aspecto | Ransomware | APT Espionagem |
|---------|-----------|---------------|
| Objetivo do atacante | Disrupcao + extorsao | Silencio + coleta de dados |
| Detecção imediata | Recomendada | CUIDADO - alertar pode comprometer evidencias |
| Expulsao imediata | Sim | NENHUMA ACAO SEM PLANO COMPLETO |
| Impacto principal | Disponibilidade | Confidencialidade |
| Prazo tipico de presenca | Horas/dias | Meses/anos |
**Notas relacionadas:** [[g1045-salt-typhoon]] - [[g1017-volt-typhoon]] - [[g0007-apt28]] - [[g0099-blind-eagle-apt-c-36]] - [[t1078-valid-accounts|T1078]] - [[t1036-masquerading|T1036]] - [[government|governo]] - [[telecommunications|telecomunicacoes]]
---
## Attack Flow - APT LATAM
```mermaid
graph TB
A["🎯 Spear-phishing<br/>ou CVE de Borda"] --> B["📌 Acesso Inicial<br/>Credencial Comprometida"]
B --> C["🔍 Reconhecimento Interno<br/>LOTL - netstat, ipconfig, whoami"]
C --> D["🛡️ Evasão de Defesas<br/>Desabilitar logs, living-off-land"]
D --> E["⬆️ Escalada de Privilegios<br/>Kerberoasting, LSASS dump"]
E --> F["🌐 Movimento Lateral<br/>WMI, PsExec, RDP, SMB"]
F --> G["📦 Staging C2<br/>Beacon customizado ou LOTL"]
G --> H["📤 Exfiltração Gradual<br/>DNS covert channel / HTTPS"]
H --> I["⏳ Persistência Longa<br/>Meses a anos de acesso"]
style A fill:#9933ff,color:#fff
style I fill:#660099,color:#fff
style D fill:#ff9900,color:#000
style H fill:#cc0000,color:#fff
```
---
## Fluxo de Resposta ao Incidente
```mermaid
flowchart TD
A([" Indicador APT Detectado<br/>Beaconing / LOTL / Credencial"]) --> B{Confirmar APT<br/>ou Falso Positivo?}
B -->|Confirmado| C[SILENCIO OPERACIONAL<br/>Nao alertar o atacante]
B -->|Duvidoso| D[Threat Hunting<br/>Análise detalhada 48h]
D -->|Confirmado| C
D -->|Falso Positivo| E[Documentar e Fechar]
C --> F[ESCOPO COMPLETO<br/>Mapear toda presenca APT]
F --> G[Forense Silenciosa<br/>EDR Read-Only Hunting]
G --> H{Infraestrutura<br/>Critica Afetada?}
H -->|Sim| I[Notificar CTIR Gov<br/>e CERT.br Imediatamente]
H -->|Nao| J[Avaliar Notificação<br/>CERT.br]
I --> K[Coordenar com<br/>Autoridades Federais]
J --> K
K --> L[PLANO DE EXPULSAO<br/>Executar em janela coordenada]
L --> M[Expulsao Simultanea<br/>de Todos os Acessos]
M --> N[Hardening e<br/>Monitoramento Intensivo]
N --> O([" APT Removido"])
style A fill:#9933ff,color:#fff
style C fill:#ff4444,color:#fff
style I fill:#ff6600,color:#fff
style O fill:#00aa44,color:#fff
style L fill:#cc6600,color:#fff
```
---
## Contexto - Táticas LOTL (Living off the Land)
O [[g1017-volt-typhoon]] e o [[g1045-salt-typhoon]] sao especialmente conhecidos pelo uso de **binarios e ferramentas já presentes no sistema** para evitar detecção por soluções de segurança tradicionais.
### Binarios Windows Mais Abusados (LOTL)
| Binario | Uso Malicioso Tipico |
|---------|---------------------|
| `netsh.exe` | Port forwarding e tunelamento |
| `certutil.exe` | Download de payloads, decode base64 |
| `wmic.exe` | Execução remota, reconhecimento |
| `powershell.exe` | Download, exec, recon encoberto |
| `mshta.exe` | Execução de HTA malicioso |
| `regsvr32.exe` | Execução de COM objects remotos |
| `bitsadmin.exe` | Download e persistência |
| `ntdsutil.exe` | Dump do NTDS.dit (credenciais AD) |
| `vssadmin.exe` | Dump de arquivos bloqueados (NTDS) |
### Indicadores de LOTL - Salt Typhoon / Volt Typhoon
```
# Volt Typhoon - indicadores tipicos documentados (CISA AA23-144A)
# Uso de netsh para port forwarding encoberto
netsh interface portproxy add v4tov4 listenport=8080 listenaddress=0.0.0.0 connectport=443 connectaddress=IP_EXTERNO
# Uso de wmic para execução lateral
wmic /node:"TARGET_HOST" process call creaté "cmd /c whoami > C:\output.txt"
# Exfiltração via DNS covert channel (Salt Typhoon)
# Queries DNS incomuns com subdominios longos e randomizados
# Ex: 4f3a2b1c.updaté.legitimatecdn.com
# Criação de usuario local para persistência (Blind Eagle)
net user backdoor P@ssw0rd1! /add
net localgroup administrators backdoor /add
```
---
## Indicadores de Compromissao
### Salt Typhoon - Telecomunicacoes
```
# Indicadores gerais - sempre válidar com MISP/VirusTotal
# Salt Typhoon abusa de plataformas de infraestrutura de telecom
# Procurar por:
- Processo legit com handle em arquivos de config de rede
- Acesso a dados de CDR (Call Detail Records) por processo nao autorizado
- Modificacao de configuracoes de roteamento sem ticket de mudanca
- Queries SQL em sistemas de SS7 por contas de servico fora do padrao
```
### Volt Typhoon - Infraestrutura Critica
```
# Volt Typhoon - IOCs comportamentais (CISA AA24-038A)
- ntdsutil snapshot creaté (dump do AD sem incidente criado)
- Uso de Impacket (secretsdump) para obtencao de hashes
- Exfiltração via FTP/SFTP encoberto em portas incomuns
- Uso de LSASS dump via comsvcs.dll: rundll32.exe comsvcs.dll MiniDump
```
### APT28 (Fancy Bear) - Campanhas LATAM
```
# APT28 - vetores tipicos em LATAM (documentados ESET, Recorded Future)
- Spear-phishing com documentos Office com macro VBA
- Uso de Sofacy/X-Agent como C2 implantat
- Abuso de servicos cloud como C2 (OneDrive, Google Drive)
- Ataques a sistemas de e-mail nao patcheados (CVE-2023-23397 - Outlook)
```
---
## Coleta de Evidências para Investigação (CRITICO)
> [!danger] Preservar Evidências Antes de Qualquer Acao de Expulsao
> Em casos de espionagem APT com potencial envolvimento policial ou interesses de segurança nacional, as evidências devem ser coletadas em formato forense aceitavel em tribunal. Acionar empresa de forense especializada ou equipe com certificacao CFCE/GCFE.
### Evidências Obrigatorias
- [ ] **Imagem de RAM** de sistemas comprometidos (Magnet RAM Capture, DumpIt)
- [ ] **Imagem forense de disco** (FTK Imager, dd) - com hash SHA256 verificado
- [ ] **Logs de autenticação** dos ultimos 90-180 dias (EventID 4624, 4625, 4768, 4769)
- [ ] **Logs de rede** - capturas PCAP do período de comprometimento
- [ ] **Logs do EDR** - exportar antes de qualquer alteração de politica
- [ ] **Configuracoes de rede** - snapshots de firewalls, switches, roteadores
- [ ] **Artifacts de persistência** - chaves de registro, tarefas agendadas, servicos
- [ ] **Amostras de malware** - com chain of custody documentada
### Chain of Custody (Custódia de Evidências)
```
FORMULARIO DE CUSTÓDIA DE EVIDENCIAS
Item N.: [número sequencial]
Data/Hora de coleta: [DD/MM/YYYY HH:MM]
Coletado por: [nome, função, assinatura]
Sistema de origem: [hostname, IP, tipo]
Método de coleta: [ferramenta e versao usada]
Hash SHA256 antes da coleta: [hash]
Hash SHA256 após coleta: [hash - deve ser identico]
Midia de armazenamento: [tipo, serial, capacidade]
Lacre/Identificação: [número do lacre]
Cadeia de custodia subsequente: [nome, data, finalidade]
```
---
## Notificação de Autoridades
### CTIR Gov (Entidades Governamentais)
O **CTIR Gov** (Centro de Tratamento de Incidentes de Segurança do Governo) deve ser notificado quando o incidente afeta:
- Orgaos da Administracao Publica Federal
- Infraestrutura critica nacional (energia, telecomunicacoes, financas, transporte, saude)
- Sistemas de informacoes classificadas
**Contato CTIR Gov:**
- Portal: `ctir.gov.br`
- Email: `
[email protected]`
- Telefone: (61) 3411-0050
### CERT.br (Todas as Organizacoes)
O CERT.br coordena a resposta a incidentes no Brasil. Notificar quando:
- Infraestrutura brasileira foi usada como pivot/relay pelo atacante
- IOCs foram identificados que podem ajudar outras organizacoes
- Comprometimento de sistemas de infraestrutura critica
**Contato CERT.br:**
- Email: `
[email protected]`
- Formulario: `cert.br/contato/`
### Policia Federal / Policia Civil
Em casos de espionagem com impacto nacional ou envolvimento de agentes estrangeiros:
- Policia Federal: `pf.gov.br` - Superintendencia Regional em cada estado
- Para crimes ciberneticos com urgencia: (61) 2024-8200
---
## Ferramentas Recomendadas
### Detecção de LOTL e Beaconing
| Ferramenta | Uso | Detalhe |
|------------|-----|---------|
| **Velociraptor** | Hunting em escala - busca de artefatos LOTL | `velociraptor artifacts collect Windows.Detection.LotL` |
| **CrowdStrike Falcon** | EDR com inteligência de APT embutida | Identity Protection para detecção de movimento lateral |
| **Microsoft Defender for Endpoint** | Correlação com TI da Microsoft sobre grupos APT | Advanced Hunting: `DeviceProcessEvents` |
| **Zeek** | Análise de beaconing em trafego DNS e HTTP | Detectar C2 por regularidade temporal de conexoes |
| **RITA** | Beacon detection automatizado via Zeek logs | `rita analyze --dataset logs/` |
### Forense Especializada
| Ferramenta | Uso |
|------------|-----|
| **Volatility 3** | Análise de memoria - extrair processos ocultos, injecoes |
| **Rekall** | Análise de memoria avancada |
| **Plaso/log2timeline** | Timeline forense de múltiplas fontes |
| **Kansa** | Incident Response framework PowerShell em escala |
| **WinPmem** | Captura de RAM em sistemas Windows |
---
## Checklist de Detecção (Silenciosa)
> [!warning] Silencio Operacional
> TODAS as acoes abaixo devem ser executadas sem modificar o comportamento do atacante. Use acesso read-only. Nao bloquear acesso do atacante ainda.
- [ ] Confirmar indicadores via logs existentes (SIEM/EDR) antes de qualquer acao ativa
- [ ] Identificar o C2 do atacante via análise de trafico DNS e HTTP
- [ ] Mapear movimento lateral: quais sistemas foram acessados, quando, por qual conta
- [ ] Identificar dados que foram exfiltrados (volume, período, destino)
- [ ] Identificar mecanismos de persistência instalados (servicos, scheduled tasks, backdoors)
- [ ] Estimar dwell time: quando o acesso inicial ocorreu (retroativo em logs)
- [ ] Identificar todas as contas comprometidas ou criadas pelo atacante
- [ ] Mapear todos os sistemas com ferramentas do atacante instaladas
---
## Checklist de Contencao (Coordenada)
> [!danger] Expulsao Deve Ser Simultanea e Coordenada
> Expulsar o APT de apenas um sistema sem bloquear todos os outros vetores de acesso e permitir que o grupo reconecte em horas. O plano de expulsao deve cobrir TODOS os pontos de acesso identificados simultaneamente.
**Jánela de expulsao recomendada:** fora do horario comercial, com equipe completa disponível
- [ ] Definir data/hora coordenada de expulsao com toda a equipe IR e TI
- [ ] Acionar empresa de forense externa se volumes forenses ainda estao incompletos
- [ ] Preparar lista completa de contas a serem resetadas (TODAS simultaneamente)
- [ ] Preparar lista de processos e servicos maliciosos a serem removidos
- [ ] Preparar patches para vulnerabilidades exploradas (disponiveis e testados)
- [ ] **EXECUTAR:** Resetar senha de TODOS os usuarios comprometidos ao mesmo tempo
- [ ] **EXECUTAR:** Desabilitar ou deletar contas criadas pelo atacante
- [ ] **EXECUTAR:** Remover backdoors, servicos e tarefas agendadas maliciosas
- [ ] **EXECUTAR:** Aplicar patches nas vulnerabilidades exploradas
- [ ] **EXECUTAR:** Bloquear IPs e dominios de C2 no firewall e DNS
- [ ] Resetar senha KRBTGT duas vezes (inválida todos os tickets Kerberos existentes)
- [ ] Verificar se o atacante já foi expulso: monitorar C2 por 24h
---
## Checklist de Erradicacao
- [ ] Auditoria completa de usuarios do Active Directory - remover backdoors e contas fantasmas
- [ ] Auditoria de GPO (Group Policy): APTs frequentemente modificam GPOs para persistência
- [ ] Verificar trust relationships no AD - APTs criam trust para dominios externos
- [ ] Revisar configuracoes de firewall e VPN - buscar port forwards criados pelo atacante
- [ ] Reimaging completo de todos os sistemas confirmadamente comprometidos
- [ ] Verificar firmware de dispositivos de rede (switches, roteadores) - APTs de nivel nacional podem comprometer firmware
- [ ] Revogar e regenerar todos os certificados do ambiente (PKI)
- [ ] Auditoria de Cloud: verificar roles IAM criadas, recursos acessados, dados exfiltrados
---
## Checklist de Recuperacao e Hardening
- [ ] Habilitar MFA em TODOS os acessos remotos sem excecao (VPN, RDP, SSH, cloud)
- [ ] Implementar Privileged Access Workstations (PAW) para administradores
- [ ] Segmentar rede: servidores criticos em VLANs isoladas
- [ ] Implementar Zero Trust Architecture para acesso a sistemas criticos
- [ ] Habilitar auditoria de comandos PowerShell (ScriptBlock Logging, Module Logging)
- [ ] Implementar EDR com cobertura 100% de endpoints incluindo servidores
- [ ] Configurar SIEM para alertar sobre uso incomum de LOTL binaries
- [ ] Monitoramento intensivo de DNS para detectar C2 via DNS covert channel
- [ ] Revisao de todos os fornecedores com acesso ao ambiente (supply chain)
- [ ] Reportar IOCs ao CERT.br e CTIR Gov para inteligência nacional
---
## Queries de Detecção
### Splunk - Uso Suspeito de LOTL Binaries
```spl
index=sysmon EventCode=1
Image IN (
"*\\netsh.exe",
"*\\certutil.exe",
"*\\bitsadmin.exe",
"*\\mshta.exe",
"*\\regsvr32.exe",
"*\\wmic.exe",
"*\\ntdsutil.exe"
)
NOT (User="NT AUTHORITY\\SYSTEM" AND ParentImage="*\\services.exe")
| stats count by Computer, User, Image, CommandLine, ParentImage
| sort -count
```
### Splunk - Beaconing Detection (Regularidade de Conexoes)
```spl
index=proxy
| eval hour=strftime(_time, "%H")
| stats count by src_ip, dest_ip, dest_port, hour
| eventstats avg(count) AS avg_count stdev(count) AS std_count by src_ip, dest_ip
| eval beacon_score = abs(count - avg_count) / (std_count + 0.001)
| where beacon_score < 0.5 AND count > 10
| sort -count
```
### Splunk - NTDS.dit Dump (Extração de Credenciais AD)
```spl
index=sysmon EventCode=1
CommandLine IN (
"*ntdsutil*snapshot*creaté*",
"*vssadmin*creaté shadow*",
"*comsvcs.dll*MiniDump*lsass*",
"*procdump*lsass*"
)
| table _time, Computer, User, CommandLine, ParentImage
```
### KQL - Microsoft Sentinel - APT Lateral Movement Pattern
```kql
let suspiciousAccounts = SigninLogs
| where ResultType == "0" // Success
| where AppDisplayName has_any ("Remote Desktop", "SMB", "WMI")
| where AuthenticationRequirement == "singleFactorAuthentication"
| distinct UserPrincipalName;
DeviceLogonEvents
| where AccountName in (suspiciousAccounts)
| where LogonType in ("RemoteInteractive", "Network", "NetworkCleartext")
| where RemoteDeviceName != ""
| summarize TargetCount = dcount(DeviceName), Devices = make_set(DeviceName) by AccountName, RemoteDeviceName, bin(Timestamp, 1h)
| where TargetCount > 3
| order by TargetCount desc
```
### KQL - Microsoft Sentinel - DNS Covert Channel (Salt Typhoon Pattern)
```kql
DnsEvents
| where QueryType == "A"
| extend SubdomainLength = strlen(split(Name, ".")[0])
| where SubdomainLength > 30
| summarize QueryCount = count(), Queries = make_set(Name, 10) by Computer, bin(TimeGenerated, 1h)
| where QueryCount > 5
| order by QueryCount desc
```
---
## Comúnicação
### Silencio Operacional - Regras de Comúnicação Interna
> [!danger] Vazamentos Internos Podem Alertar o Atacante
> APTs muitas vezes comprometem emails corporativos e sistemas de comunicação internos. Use APENAS canais out-of-band para comunicar sobre o incidente.
| Canal | Status | Alternativa |
|-------|--------|-------------|
| Email corporativo | INSEGURO - pode estar comprometido | Signal / Telegram cifrado |
| Teams / Slack | INSEGURO - pode estar comprometido | Sala fisica isolada |
| Telefone VoIP corporativo | POTENCIALMENTE INSEGURO | Celular pessoal |
| Wiki / Confluence interno | INSEGURO | Documento fisico ou cloud externa |
### Templaté - Notificação CTIR Gov
```
Para:
[email protected]
Assunto: Incidente de Espionagem APT - [CLASSIFICACAO]
ORGANIZACAO: [nome e CNPJ]
DATA/HORA: [confirmacao do incidente]
SUMARIO DO INCIDENTE
Tipo: Espionagem APT
Grupo suspeito: [se identificado]
Dwell time estimado: [período]
Dados afetados: [descrição sem dados sensiveis]
INDICADORES TECNICOS
[IOCs identificados: IPs, dominios, hashes - somente os que podem ser compartilhados]
ACOES TOMADAS
[Resumo das acoes de resposta]
SOLICITACAO
[Inteligencia adicional / Coordenacao de resposta / Notificação a outras organizacoes]
Contato tecnico: [nome, email, telefone seguro]
```
---
## Licoes Aprendidas
### Questoes Obrigatorias Pos-Incidente
1. Qual foi o dwell time do APT? (acesso inicial até detecção)
2. Quais dados foram exfiltrados? Havia classificação e controles adequados?
3. O APT tinha presenca em sistemas que nao chegamos a identificar?
4. As ferramentas de detecção existentes teriam alertado mais cedo?
5. O processo de expulsao coordenada foi eficaz ou o APT reconectou?
6. A notificação ao CTIR Gov/CERT.br foi adequada e tempestiva?
### Metricas de Impacto
| Metrica | Valor |
|---------|-------|
| Dwell time total (dias) | |
| Sistemas comprometidos | |
| Contas comprometidas | |
| Volume de dados exfiltrados (GB) | |
| Dados classificados expostos | |
| Custo de resposta e forense | |
| Tempo de recuperacao total | |
### Melhorias Recomendadas
- [ ] Implementar programa de Threat Hunting proativo mensal com foco em LOTL
- [ ] Habilitar auditoria de PowerShell (ScriptBlock Logging) em todos os endpoints
- [ ] Implementar Network Detection and Response (NDR) para beaconing detection
- [ ] Revisar e reduzir privilégios: nenhuma conta de usuario deve ser admin de dominio por padrao
- [ ] Implementar PAM (Privileged Access Management) para contas administrativas
- [ ] Exercicio Red Team anual com simulacao de APT nacao-estado
- [ ] Aderir a programas de inteligencia setorial (CERT.br, FS-ISAC, Health-ISAC)
- [ ] Estabelecer canal pre-aprovado com CTIR Gov para notificação rapida
---
## Referências
- [[g1045-salt-typhoon]] - APT chines com foco em telecomúnicacoes
- [[g1017-volt-typhoon]] - APT chines especialista em LOTL e infraestrutura critica
- [[g0007-apt28]] - APT russo (Fancy Bear) com campanhas politicas em LATAM
- [[g0099-blind-eagle-apt-c-36]] - APT LATAM com foco em espionagem politica e economica
- [[t1078-valid-accounts|T1078 - Valid Accounts]] - abuso de credenciais legitimas
- [[t1036-masquerading|T1036 - Masquerading]] - camuflagem de processos maliciosos
- [[t1562-impair-defenses|T1562 - Impair Defenses]] - desativacao de logs e defesas
- [[t1071-application-layer-protocol|T1071 - Application Layer Protocol]] - C2 via HTTP/DNS
- [[government|governo]] - alvo primario de espionagem nacao-estado
- [[telecommunications|telecomúnicacoes]] - Salt Typhoon foco principal
- [[critical-infrastructure|infraestrutura critica]] - Volt Typhoon foco principal
- [CISA AA23-144A - Volt Typhoon LOTL Advisory](https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-144a)
- [CISA AA23-263A - Salt Typhoon Telecom Advisory](https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-190a)
- [CTIR Gov - Centro de Tratamento de Incidentes do Governo](https://www.ctir.gov.br/)
- [CERT.br - Tratamento de Incidentes](https://www.cert.br/incidentes/)
- [ESET - Blind Eagle APT LATAM Analysis](https://www.welivesecurity.com/)
---
*Ultima revisao: 2026-03-27 | Proxima revisao recomendada: 2026-09-27*