# T1001.002 - Esteganografia em Comando e Controle ## Técnica Pai Esta é uma sub-técnica de [[t1001-data-obfuscation|T1001 - T1001 - Data Obfuscation]]. ## Descrição Esteganografia é a arte de ocultar informações dentro de outros dados de forma que a própria existência da mensagem secreta não sejá perceptível. No contexto de Command and Control (C2), adversários utilizam essa técnica para camuflar instruções e respostas dentro de arquivos de aparência completamente normal - imagens, documentos, arquivos de áudio - tornando o tráfego de controle virtualmente indistinguível de comúnicações legítimas para inspeções superficiais de rede. O método mais comum envolve arquivos de imagem: os bits menos significativos (LSB - Least Significant Bits) de pixels em um JPEG ou PNG são substituídos por bytes de instrução codificados. A alteração é imperceptível ao olho humano e práticamente indetectável sem análise estatística especializada. O malware [[s0037-hammertoss|HAMMERTOSS]], atribuído ao grupo russo APT29, exemplifica essa abordagem com sofisticação: busca imagens no Twitter, extrai comandos codificados nos pixels e executa as instruções localmente - todo o fluxo de C2 se parece com tráfego normal de rede social. O [[s0395-lightneuron|LightNeuron]], implante do grupo [[g0010-turla|Turla]], usa esteganografia em PDFs e JPEGs enviados via e-mail para receber comandos sem estabelecer conexões de rede diretas ao servidor C2. Além de imagens, a técnica se aplica a outros formatos: metadados EXIF de fotografias, campos de comentário em documentos Office, streams de áudio (variação de LSB), e até cabeçalhos de protocolos de rede. O malware [[s0038-duqu|Duqu]], relacionado ao Stuxnet, utilizou esteganografia em tráfego HTTP para mascarar exfiltração de dados. A flexibilidade da técnica e a ausência de conexões diretas a IPs maliciosos conhecidos fazem dela uma escolha preferida por grupos APT em operações de longa duração que exigem persistência e furtividade. **Contexto Brasil/LATAM:** O grupo [[g0001-axiom|Axiom]], associado a operações de espionagem chinesa, utilizou esteganografia em campanhas contra setores de tecnologia e telecomúnicações na América Latina. No Brasil, o vetor mais comum documentado envolve imagens distribuídas via e-mail corporativo ou hospedadas em serviços legítimos de cloud storage (Google Drive, OneDrive, Dropbox) - dificultando o bloqueio sem impactar produtividade. A combinação de esteganografia com acesso a serviços cloud legítimos cria um canal de C2 que passa pelos proxies corporativos sem inspeção. Setores de energia, telecomúnicações e governo federal são os alvos mais documentados na região. ## Attack Flow ```mermaid graph TB A[Implante Instalado] --> B[Download de Arquivo de Imagem] B --> C[**Extração de C2 por Esteganografia T1001.002**] C --> D[Execução de Comandos] D --> E[Exfiltração / Persistência] ``` ## Como Funciona 1. **Preparação** - O operador de C2 codifica as instruções (comandos shell, configurações, endereços de próximo estágio) em um arquivo de imagem ou documento usando ferramentas de esteganografia. O arquivo resultante é hospedado em um serviço legítimo ou enviado diretamente à vítima. Ferramentas como [[s0633-sliver|Sliver]] possuem suporte nativo a canais esteganográficos. 2. **Execução** - O implante na máquina comprometida requisita o arquivo (GET para URL de imagem em serviço cloud, por exemplo). A requisição se parece com tráfego de navegação comum. Localmente, o implante decodifica os bits LSB ou metadados do arquivo para extrair as instruções. Não há conexão direta ao servidor C2 - o servidor de imagens atua como proxy involuntário. 3. **Pós-execução** - As instruções extraídas são executadas localmente. Resultados e saídas podem ser re-codificados em uma nova imagem e enviados de volta ao atacante pelo mesmo canal, completando o ciclo bidirecional de C2. O [[s0495-rdat|RDAT]] implementa exatamente esse ciclo usando imagens anexadas em e-mails do Exchange como canal bidirecional. **Exemplo:** ```python # Artefato de detecção: análise de entropia em imagens baixadas # Alta entropia nos bits LSB sugere conteúdo codificado # Ferramentas como StegDetect e zsteg geram alertas para SIEM # python3 stegdetect.py --lsb --check-entropy image.jpg # Saída esperada: [ALERT] High LSB entropy detected (score: 0.94) ``` ## Detecção **Fontes de dados:** Proxy de rede (volume anômalo de downloads de imagens de serviços cloud), análise de entropia de arquivos em DLP/sandbox (alta entropia LSB em imagens), correlação de eventos de rede com execução de processos suspeitos, logs de e-mail para imagens anexadas de remetentes externos, EDR (acesso a arquivos de imagem por processos não-browser). ```yaml title: Suspicious Image Download Followed by Process Execution id: b8e52d4f-7a1c-4b3e-9f0d-2c6a8e3d5b71 status: experimental description: Detects potential steganographic C2 - image download from cloud storage followed by suspicious child process logsource: category: network_connection product: windows detection: selection_download: DestinationHostname|contains: - 'drive.google.com' - 'onedrive.live.com' - 'dropbox.com' Initiated: 'true' selection_image_ext: DestinationHostname|contains: '.jpg' condition: selection_download and selection_image_ext falsepositives: - Normal business use of cloud storage level: low tags: - attack.command_and_control - attack.t1001.002 ``` ## Mitigação | Mitigação | Recomendação Prática | |-----------|---------------------| | [[m1031-network-intrusion-prevention\|M1031 - Prevenção de Intrusão de Rede]] | Implante inspeção profunda de pacotes (DPI) com análise de entropia de conteúdo; configure sandbox para analisar imagens baixadas de fontes externas em busca de anomalias estatísticas nos canais LSB | | [[m1037-filter-network-traffic\|M1037 - Filtragem de Tráfego de Rede]] | Restrinjá downloads de imagens de serviços cloud não autorizados via proxy corporativo; implemente allow-list de domínios para transferências de arquivos binários | ## Referências *Fonte: [MITRE ATT&CK - T1001.002](https://attack.mitre.org/techniques/T1001/002)*