# T1008 - Fallback Channels ## Descrição Canais de fallback (canais de retorno) são um mecanismo pelo qual adversários mantêm comunicação com sistemas comprometidos mesmo quando o canal de comando e controle principal é bloqueado, detectado ou se torna inacessível. A técnica consiste em configurar previamente múltiplos canais de comunicação alternativos - podendo ser domínios diferentes, protocolos distintos (HTTP, DNS, HTTPS), serviços legítimos de nuvem ou até redes P2P - de forma que o implante malicioso alterne automaticamente entre eles conforme necessário. O comportamento de fallback é frequentemente implementado diretamente no malware por meio de listas de servidores C2 codificadas, algoritmos de geração de domínio (DGA) ou consultas a serviços de terceiros que funcionam como dead-drops. Quando o canal primário falha - sejá por bloqueio de firewall, sinkhole de domínio ou takedown de infraestrutura - o malware percorre sua lista de alternativas até restabelecer conexão. Esse padrão de resiliência é especialmente comum em famílias de malware sofisticadas como [[s0266-trickbot|TrickBot]], [[s0476-valak|Valak]] e [[s0376-hoplight|HOPLIGHT]]. **Contexto Brasil/LATAM:** No Brasil e na América Latina, grupos como [[g0032-lazarus-group|Lazarus Group]] e [[g0096-apt41|APT41]] utilizam canais de fallback com frequência em operações de longa duração contra alvos do setor financeiro e de governo. A técnica é particularmente eficaz no contexto regional dado que controles de egress filtering ainda são pouco maduros em muitas organizações brasileiras de médio porte. Operações do [[g0049-oilrig|OilRig]] documentadas contra alvos latino-americanos usaram DNS como canal de fallback quando comúnicações HTTP foram bloqueadas por firewalls corporativos. **Event IDs relevantes (Windows):** | Event ID | Fonte | Descrição | |----------|-------|-----------| | 3 | Sysmon | Network connection - monitorar processos não-browser abrindo conexões externas | | 22 | Sysmon | DNS query - múltiplas queries para domínios diferentes em curto intervalo | | 5156 | Windows Security | Filtro de plataforma de filtragem permitiu conexão | | 4688 | Windows Security | Criação de processo - identificar processos filhos de navegadores ou documentos | **Sigma Rule:** ```yaml title: Fallback C2 Channel - Multiple Outbound Destinations id: a3f1c2d4-5b6e-7f8a-9c0d-1e2f3a4b5c6d status: experimental description: > Detecta comportamento de fallback C2 - processo único tentando múltiplas conexões de rede externas a destinos distintos em jánela curta de tempo, especialmente após falhas de conexão anteriores. references: - [[t1008-fallback-channels]] author: RunkIntel daté: 2026-03-24 tags: - attack.command_and_control - attack.t1008 logsource: category: network_connection product: windows detection: selection: EventID: 3 Initiated: 'true' filter_legit: Image|contains: - 'chrome.exe' - 'firefox.exe' - 'msedge.exe' - 'svchost.exe' timeframe: 5m condition: selection and not filter_legit | count(DestinationIp) by Image > 5 falsepositives: - Aplicações legítimas com múltiplos endpoints (CDNs, atualizadores) - Clientes de email corporativo level: medium ``` ## Attack Flow ```mermaid graph TB A[Comprometimento Inicial] --> B[Implante Instalado com Lista C2] B --> C[Conexão ao Canal Primário] C --> D{Canal Disponível?} D -->|Sim| E[C2 Ativo - Operação Normal] D -->|Não| F["T1008 - Fallback Channel Ativado" ]:::técnica F --> G[Canal Alternativo Estabelecido] classDef técnica fill:#e74c3c,color:#fff ``` ## Como Funciona **1. Preparação** O adversário configura múltiplos servidores de comando e controle e embute no implante uma lista priorizada de endpoints alternativos. Essa lista pode conter domínios gerados por DGA, endereços IP hardcoded, perfis em redes sociais (usados como dead-drops de configuração), ou serviços legítimos como Pastebin, GitHub e OneDrive. O [[s0260-invisimole|InvisiMole]], por exemplo, suporta até três canais simultâneos com lógica de failover automático. **2. Execução** Quando o canal C2 principal torna-se inacessível, o implante detecta a falha (timeout, erro de conexão, resposta inesperada) e itera sobre a lista de fallback. Cada alternativa é tentada em sequência ou em paralelo, dependendo da implementação. Protocolos como DNS (via registros TXT ou subdomain tunneling) são preferidos como fallback por sua dificuldade de bloqueio sem impacto em operações legítimas. O [[s0377-ebury|Ebury]] e o [[chopstick|CHOPSTICK]] utilizam esse padrão documentado em campanhas contra servidores Linux. **3. Pós-execução** Uma vez restabelecida a comunicação via canal alternativo, o operador pode atualizar a configuração do implante com novos C2 primários, mudar protocolos ou exfiltrar dados acumulados em buffer durante o período offline. A alternância silenciosa dificulta a correlação de alertas em SIEM, pois endereços IP e domínios diferentes aparecem em timeframes distintos sem padrão óbvio. ## Detecção > [!warning] Indicadores de Detecção > Foque em comportamento de múltiplas conexões de rede saindo do mesmo processo para destinos não relacionados, especialmente após falhas de conexão anteriores. ## Mitigação | Controle | Mitigação | Recomendação para Organizações Brasileiras | |----------|-----------|---------------------------------------------| | [[m1031-network-intrusion-prevention\|M1031 - Network Intrusion Prevention]] | IDS/IPS com inspeção de payload | Implementar NGFW com SSL inspection e regras de C2 para bloquear DGA e destinos conhecidos; muitos SPs brasileiros oferecem serviços gerenciados com feeds de reputação atualizados | | Egress Filtering | Restringir conexões de saída por processo/usuário | Allowlist de destinos permitidos por workstation - essencial em ambientes de fábrica e OT, comuns no parque industrial do interior de SP e RS | | DNS Security | Monitorar e filtrar queries DNS suspeitas | Implementar DNS over HTTPS corporativo com logging e bloquear resolvedores externos não autorizados; CERT.br mantém feeds de domínios maliciosos nacionais | | Network Segmentation | Microsegmentação de rede | Isolar workstations de servidores críticos para limitar movimento lateral após fallback ser estabelecido | ## Threat Actors - [[g0049-oilrig|OilRig]] - Grupo iraniano que usa [[s0044-jhuhugit|JHUHUGIT]] com múltiplos canais DNS e HTTP como fallback em campanhas contra governo e energia; documentado em operações na região do Golfo com TTPs similares às observadas em alvos latino-americanos - [[g0096-apt41|APT41]] - Grupo chinês com dupla motivação (espionagem + crime) que utiliza canais de fallback via serviços legítimos de nuvem para manter persistência em redes corporativas comprometidas no Brasil e México - [[g0032-lazarus-group|Lazarus Group]] - APT norte-coreano que emprega canais de fallback em operações financeiras contra bancos, tendo como alvo histórico o sistema SWIFT e exchanges de criptomoeda na América Latina - [[g0046-fin7|FIN7]] - Grupo de crime financeiro que utiliza fallback channels em campanhas de longa duração contra o setor de varejo e hospitalidade; ativo em operações no Brasil com foco em PoS systems - [[g1048-unc3886|UNC3886]] - Cluster de ameaça com foco em hypervisors ESXi que usa canais de fallback para manter acesso em ambientes virtualizados de grandes data centers ## Software Associado - [[s0044-jhuhugit|JHUHUGIT]] - Implante usado pelo [[g0049-oilrig|OilRig]] com suporte a múltiplos canais C2 alternáveis em runtime - [[s0211-linfo|Linfo]] - Malware Linux com capacidade de fallback para canais secundários quando o primário é bloqueado - [[chopstick|CHOPSTICK]] - Backdoor do APT28 com implementação sofisticada de fallback entre HTTP e DNS - [[s0376-hoplight|HOPLIGHT]] - Ferramenta do [[g0032-lazarus-group|Lazarus Group]] com lista de servidores C2 hardcoded e lógica de failover - [[s0260-invisimole|InvisiMole]] - Malware espião com suporte a até três canais C2 simultâneos e fallback automático entre eles - [[s0058-sslmm|SslMM]] - Backdoor que alterna entre canais cifrados quando conexões sem TLS são bloqueadas - [[s0377-ebury|Ebury]] - Malware Linux/SSH que usa fallback para canais customizados após bloqueio do canal primário - [[s0017-biscuit|BISCUIT]] - Implante com múltiplos transportes suportados para comunicação C2 - [[s0266-trickbot|TrickBot]] - Banking trojan com lista extensa de C2 fallback e módulos de atualização de configuração remota - [[s0476-valak|Valak]] - Malware modular que usa repositórios GitHub e outros serviços legítimos como canais de fallback --- *Fonte: [MITRE ATT&CK - T1008](https://attack.mitre.org/techniques/T1008)*