t1071-002-file-transfer-protocols

# T1071.002 - Protocolos de Transferência de Arquivos ## Técnica Pai Esta é uma sub-técnica de [[t1071-application-layer-protocol|T1071 - T1071 - Application Layer Protocol]]. ## Descrição Esta sub-técnica de [[t1071-application-layer-protocol|T1071]] cobre o uso de protocolos de transferência de arquivos - FTP, FTPS, TFTP e SMB - como canal de comando e controle. A escolha por esses protocolos é estratégica: em ambientes corporativos, FTP e SMB são comuns o suficiente para que seu tráfego raramente levante suspeitas, especialmente em redes industriais, ambientes de manufatura ou infraestruturas legadas onde esses protocolos são parte do fluxo operacional normal. Os adversários exploram a riqueza estrutural desses protocolos - campos de cabeçalho, metadados de arquivo, nomes de diretório, até o conteúdo dos arquivos transferidos - para esconder comandos e exfiltrar dados. Um arquivo texto transferido via FTP pode conter instruccões codificadas; uma listagem de diretório SMB pode ser usada como canal de sinalização. O protocolo SMB é especialmente valioso para movimento lateral dentro de redes Windows, pois é nativo do ambiente e raramente inspecionado entre hosts internos. Grupos como [[g0096-apt41|APT41]] e [[g0094-kimsuky|Kimsuky]] usam essa técnica de forma complementar a canais HTTP - FTP/SMB servem especialmente para exfiltração de grandes volumes de dados e entrega de payloads secundários, enquanto o C2 primário opera via web. O grupo [[g0083-silverterrier|SilverTerrier]], voltado a fraudes de BEC com foco em empresas africanas e latino-americanas, também utiliza FTP para hospedagem e distribuição de implantes. **Contexto Brasil/LATAM:** Ambientes de manufatura e varejo no Brasil frequentemente mantêm servidores FTP legados para integração entre sistemas ERP e parceiros comerciais - uma superfície de ataque relevante, pois esses servidores raramente têm monitoramento adequado. O protocolo SMB, amplamente presente em redes Windows corporativas brasileiras, foi o vetor de propagação do NotPetya e WannaCry, que causaram impacto significativo em empresas nacionais. Atores como [[g0035-dragonfly|Dragonfly]], focados em infraestrutura crítica e energia, utilizam SMB e FTP para se mover lateralmente em redes OT/ICS - um risco direto para o setor elétrico brasileiro. ## Attack Flow ```mermaid graph TB A[Acesso Inicial] --> B[Implantação C2] B --> C[**T1071.002 - File Transfer Protocols**] C --> D[Exfiltração de Dados] D --> E[Movimento Lateral via SMB] ``` ## Como Funciona 1. **Configuração da infraestrutura:** O adversário prepara um servidor FTP/SFTP de C2, frequentemente hospedado em VPS com IP limpo ou em infraestrutura comprometida de terceiros. Em casos de uso de SMB, o servidor pode ser um host já comprometido dentro da rede-alvo. 2. **Implante com cliente FTP/SMB embutido:** O malware implantado no host-alvo (ex: [[s0428-poetrat|PoetRAT]], [[g0095-machete|Machete]], [[s0265-kazuarv2|Kazuar]]) possui capacidade nativa de FTP ou SMB. O cliente se conecta ao servidor C2 em intervalos configuráveis. 3. **Troca de comandos via arquivos:** O padrão comum é "drop-and-pickup" - o servidor C2 deposita um arquivo de tarefa num diretório monitorado; o implante lê e executa; deposita resultado num diretório de resposta. Tudo parece transferência de arquivo normal. 4. **Camuflagem no payload:** Dados podem ser escondidos dentro de arquivos com aparência legítima - documentos PDF, imagens, arquivos de configuração - que são transferidos via FTP mas contêm comandos ou dados exfiltrados em metadados ou camadas de esteganografia. 5. **Exfiltração em volume:** Para exfiltração de grandes volumes (dumps de banco de dados, documentos, capturas de tela), FTP/FTPS oferece transferência eficiente com menor risco de detecção por volume anômalo comparado a HTTPS em ambientes onde FTP é esperado. **Exemplo:** ```bash # Artefato de detecção: conexão FTP saindo da rede interna para IP externo incomum # Em logs de firewall (formato CEF/syslog): # Mar 25 14:22:10 fw01 CEF:0|Cisco|ASA|9.16|106023|Deny tcp| # src=192.168.10.55 dst=185.220.101.42 dpt=21 proto=TCP # # Detecção de transferência anômala via SMB (Event ID 5145 - Windows Security): # Get-WinEvent -FilterHashtable @{LogName='Security'; Id=5145} | # Where-Object {$_.Message -match 'IPC\ -and $_.Message -notmatch 'NETLOGON'} # # Zeek: identificar FTP para destinos externos raros # cat ftp.log | zeek-cut id.orig_h id.resp_h command arg | grep -v "^192.168" ``` ## Detecção **Fontes de dados:** Logs de firewall (bloqueios/permissões FTP porta 21/990), Event ID 5145 (Windows - acesso a compartilhamento SMB), logs de Zeek (ftp.log, smb_files.log, smb_mapping.log), NetFlow com análise de porta destino, EDR com telemetria de rede por processo, capturas de tráfego interno (East-West). ```yaml title: Suspicious FTP Connection to External Host id: 9c4e2a7f-6b1d-4f3e-8a0c-5e2b9d1f7c3a status: experimental description: Detects outbound FTP connections from workstations or servers to external IP ranges, which may indicaté C2 commúnication or data exfiltration via file transfer protocols logsource: category: firewall product: generic detection: selection: dst_port: - 21 - 990 - 69 direction: outbound filter_known_ftp: dst_ip|cidr: - '10.0.0.0/8' - '172.16.0.0/12' - '192.168.0.0/16' filter_known_servers: src_ip|cidr: - '10.1.5.0/24' condition: selection and not filter_known_ftp and not filter_known_servers falsepositives: - Servidores FTP corporativos legítimos para parceiros e fornecedores - Sistemas de backup que usam FTP para destinos externos aprovados - Transferências automatizadas de EDI com fornecedores level: medium tags: - attack.command_and_control - attack.t1071.002 ``` ## Mitigação | Mitigação | Recomendação Prática | |-----------|---------------------| | [[m1037-filter-network-traffic\|M1037 - Filter Network Traffic]] | Bloquear FTP (porta 21) e TFTP (porta 69) de saída em todos os hosts que não tenham necessidade operacional documentada; para SMB, aplicar segmentação de rede e bloquear portas 445/139 entre segmentos que não necessitam comunicação; usar allowlist de destinos FTP aprovados | | [[m1031-network-intrusion-prevention\|M1031 - Network Intrusion Prevention]] | Configurar assinaturas de IDS/IPS para detectar comandos FTP anômalos (ex: upload de executáveis), grandes transferências SMB entre hosts incomuns, e TFTP não autorizado; integrar feeds de threat intel para bloquear IPs de C2 FTP conhecidos | ## Threat Actors que Usam - [[g0096-apt41|APT41]] - [[g0035-dragonfly|Dragonfly]] - [[g0083-silverterrier|SilverTerrier]] - [[g0094-kimsuky|Kimsuky]] ## Software Associado - [[s0428-poetrat|PoetRAT]] (malware) - [[s0699-mythic|Mythic]] (ferramenta) - [[s0465-carrotball|CARROTBALL]] (ferramenta) - [[s0019-regin|Regin]] (malware) - [[s1228-pubload|PUBLOAD]] (malware) - [[g0095-machete|Machete]] (malware) - [[s0161-xagentosx|XAgentOSX]] (malware) - [[jpin|JPIN]] (malware) - [[s0265-kazuarv2|Kazuar]] (malware) - [[s0438-attor|Attor]] (malware) --- *Fonte: [MITRE ATT&CK - T1071.002](https://attack.mitre.org/techniques/T1071/002)*