t1001-data-obfuscation

# T1001 - Data Obfuscation ## Descrição A técnica de ofuscação de dados em comúnicações C2 descreve o conjunto de métodos pelos quais um adversário torna seu tráfego de comando e controle mais difícil de identificar, inspecionar ou decodificar por defensores e ferramentas de segurança. É importante notar que ofuscação não é o mesmo que criptografia: o objetivo aqui não é necessáriamente proteger o conteúdo com chaves criptográficas, mas sim tornar o tráfego menos conspícuo e resistente à inspeção de assinaturas. O tráfego pode ser cifrado E ofuscado ao mesmo tempo, ou apenas ofuscado. As abordagens mais comuns incluem a inserção de dados inúteis (junk data) para "inflar" pacotes e torná-los mais parecidos com tráfego legítimo de protocolo, o uso de esteganografia para ocultar comandos dentro de imagens, áudio ou outros arquivos de mídia, e a impersonação de protocolos conhecidos (como HTTP, DNS ou SMTP) criando pacotes que superficialmente se parecem com tráfego legítimo mas transportam instruções maliciosas em campos normalmente ignorados por firewalls básicos. O [[g0047-gamaredon|Gamaredon Group]], grupo russo ativo contra a Ucrânia, usa ofuscação em suas comúnicações C2 como camada adicional de evasão. Malwares como [[darkgaté|DarkGaté]] - um loader-as-a-service amplamente usado em ataques de phishing - e [[flawedammyy|FlawedAmmyy]] - RAT usado pelo grupo TA505 em campanhas contra o setor financeiro global - implementam ofuscação de protocolo para dificultar análise de tráfego. O [[s0495-rdat|RDAT]], malware atribuído ao grupo APT34/OilRig, usa esteganografia em imagens para transportar dados C2 de forma particularmente evasiva. **Contexto Brasil/LATAM:** Ofuscação de dados C2 é relevante no contexto brasileiro especialmente por conta da proliferação de RATs e loaders que atacam o setor financeiro. Grupos que operam trojans bancários na América Latina - como os responsáveis pela família Grandoreiro e Mekotio - utilizam protocolos C2 customizados com ofuscação para evitar detecção por sistemas anti-fraude. Ambientes brasileiros com proxies de inspeção TLS têm melhor visibilidade, mas a ofuscação em camada de aplicação (dentro do payload já criptografado) requer análise comportamental do endpoint para identificação. Times de threat hunting devem procurar padrões de beaconing com periodicidade regular e volumes de dados anormais para o tipo de protocolo observado. ## Attack Flow ```mermaid graph TB A[Acesso Inicial] --> B[Implantação C2] B --> C[**Ofuscação de Dados**] C --> D[Evasão de IDS/Proxy] D --> E[C2 Persistente] ``` ## Como Funciona **1. Preparação** O adversário desenvolve ou configura o implante com uma rotina de ofuscação específica. Isso pode envolver um esquema de codificação proprietário (XOR, Base64 customizado, ROT13 modificado), um protocolo que imita HTTP mas com campos não-padrão, ou uma biblioteca de esteganografia para ocultar dados em arquivos de mídia gerados dinâmicamente. **2. Execução** Durante a operação, todas as comúnicações entre o implante e o servidor C2 passam pela rotina de ofuscação. Um comando simples como "execute powershell" pode ser transmitido como bytes aleatórios aparentes, como metadados de uma imagem JPEG, ou como campos HTTP X- headers incomuns. Do ponto de vista de um IDS baseado em assinatura, o tráfego não corresponde a nenhum padrão de C2 conhecido. **3. Pós-execução** Os resultados das operações também são ofuscados antes de serem enviados de volta ao servidor. O analista que captura o tráfego vê fluxos de bytes sem estrutura óbvia ou tráfego de protocolo aparentemente válido mas com conteúdo não-padrão em campos esperados. A análise requer engenharia reversa do implante para entender o esquema de ofuscação. **Exemplo:** ```bash # Artefato de detecção: tráfego HTTP com User-Agent incomum # e corpo de requisição com alta entropia (Shannon entropy > 7.0) # Ferramenta de análise: tshark com cálculo de entropia por fluxo # tshark -r captura.pcap -T fields -e http.user_agent -e http.request.uri # Buscar: User-Agents que não correspondem a navegadores conhecidos # + URIs com padrão aleatório (ex: /api/v2/a3f9c1b8d2e7) # + Periodicidade de beaconing (intervalo regular de requisições) ``` ## Detecção **Fontes de dados:** Análise de tráfego de rede (PCAP, NetFlow), proxy logs com inspeção de payload, EDR com análise de chamadas de sistema de rede, SIEM com detecção de beaconing por análise de frequência, ferramentas de análise de entropia de tráfego ```yaml title: Tráfego HTTP com Alta Entropia no Corpo da Requisição id: 9c4e2f71-3a8d-4b15-9e02-7f1c5d8b3a60 status: experimental description: Detecta requisições HTTP com campos de User-Agent incomuns combinados com alta entropia no payload - padrão de C2 com ofuscação customizada logsource: category: proxy product: squid detection: selection: c-useragent|not|contains: - 'Mozilla' - 'Chrome' - 'Safari' - 'curl' - 'python-requests' cs-bytes|gt: 100 filter_known_services: r-dns|endswith: - '.microsoft.com' - '.google.com' - '.apple.com' condition: selection and not filter_known_services falsepositives: - Ferramentas de monitoramento com User-Agent customizado - APIs de aplicações internas - Dispositivos IoT com User-Agent próprio level: medium tags: - attack.command_and_control - attack.t1001 ``` ## Mitigação | Mitigação | Recomendação Prática | |-----------|---------------------| | [[m1031-network-intrusion-prevention\|M1031 - Network Intrusion Prevention]] | Implementar análise de entropia de tráfego de rede para identificar payloads altamente aleatórios em protocolos que deveriam ter conteúdo estruturado; usar IDS com capacidade de detecção de anomalia de protocolo (não apenas assinatura); inspecionar TLS com proxy MITM corporativo para visibilidade de payloads criptografados | ## Sub-técnicas - [[t1001-001-junk-data|T1001.001 - Junk Data]] - [[t1001-002-steganography|T1001.002 - Steganography]] - [[t1001-003-protocol-or-service-impersonation|T1001.003 - Protocol or Service Impersonation]] ## Threat Actors que Usam - [[g0047-gamaredon|Gamaredon Group]] ## Software Associado - [[darkgaté|DarkGaté]] (malware) - [[flawedammyy|FlawedAmmyy]] (malware) - [[s0495-rdat|RDAT]] (malware) - [[s1183-strelastealer|StrelaStealer]] (malware) - [[s0439-okrum|Okrum]] (malware) - [[slothfulmedia|SLOTHFULMEDIA]] (malware) - [[ninjá|Ninjá]] (malware) - [[s0682-trailblazer|TrailBlazer]] (malware) - [[s1044-funnydream|FunnyDream]] (malware) - [[s1120-framesting|FRAMESTING]] (malware) ## Técnicas Relacionadas - [[t1071-application-layer-protocol|T1071 - Application Layer Protocol]] - protocolo de camada de aplicação frequentemente combinado com ofuscação - [[t1132-data-encoding|T1132 - Data Encoding]] - codificação de dados como forma de ofuscação - [[t1102-web-service|T1102 - Web Service]] - uso de serviços legítimos como canal C2, frequentemente combinado com ofuscação - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - ofuscação aplicada a arquivos e código, técnica correlata --- *Fonte: [MITRE ATT&CK - T1001](https://attack.mitre.org/techniques/T1001)*