# T1071.003 - Protocolos de E-mail como C2 ## Técnica Pai Esta é uma sub-técnica de [[t1071-application-layer-protocol|T1071 - T1071 - Application Layer Protocol]]. ## Descrição Protocolos de e-mail - SMTP, IMAP e POP3, com e sem variantes criptografadas (SMTPS, IMAPS, POP3S) - são explorados por adversários como canal encoberto de comando e controle (C2). A lógica por trás dessa técnica é simples: e-mail é onipresente em ambientes corporativos, e seu tráfego raramente é inspecionado com profundidade pelas equipes de segurança. Bloquear totalmente esses protocolos causaria impacto operacional imediato, o que os torna um vetor de difícil mitigação. O adversário incorpora comandos e respostas dentro do conteúdo das mensagens de e-mail - no assunto, corpo, cabeçalhos ou anexos - ou utiliza a estrutura do protocolo em si para transmitir dados. O implant na máquina comprometida age como cliente de e-mail: conecta-se periodicamente a um servidor de correio controlado pelo atacante, verifica por novos comandos em uma caixa de entrada específica e envia os resultados como respostas ou novos e-mails. Grupos de espionagem de alto nível usam essa abordagem com sofisticação considerável. O [[g0010-turla|Turla]] é um dos casos mais documentados: o [[s0126-comrat|ComRAT]] e o [[s0395-lightneuron|LightNeuron]] utilizam SMTP/IMAP como canal C2 principal, com o [[s0395-lightneuron|LightNeuron]] chegando ao ponto de atuar como um Mail Transfer Agent (MTA) proxy para interceptar e manipular e-mails em servidores Exchange comprometidos. O [[g0007-apt28|APT28]] emprega [[s0137-coreshell|CORESHELL]] e [[chopstick|CHOPSTICK]] com capacidade de comunicação via e-mail. [[g0094-kimsuky|Kimsuky]] usa o [[s0247-navrat|NavRAT]] que opera via conta de e-mail em serviço legítimo como Naver Mail. **Contexto Brasil/LATAM:** O [[g0083-silverterrier|SilverTerrier]], grupo de ameaça nigeriano com histórico de campanhas extensas de Business Email Compromise (BEC) contra empresas brasileiras e latino-americanas, utiliza técnicas de C2 via e-mail em combinação com RATs como [[s0385-njrat|njRAT]] e ferramentas derivadas. Organizações financeiras e do setor de manufatura no Brasil são alvos frequentes. A prevalência de Microsoft Exchange e servidores de e-mail legados sem inspeção de conteúdo adequada aumenta a exposição dessas organizações a essa técnica. ## Attack Flow ```mermaid graph TB A[Acesso Inicial] --> B[Implant Instalado] B --> C[Conexão SMTP/IMAP] C --> D[C2 via E-mail] D --> E[Exfiltração/Persistência] ``` ## Como Funciona **1. Preparação** O adversário configura uma conta de e-mail em um serviço legítimo (Gmail, Outlook, Naver, Yahoo) ou em um servidor SMTP próprio. O implant é programado com as credenciais dessa conta e o endereço do servidor de e-mail. A comunicação pode usar os protocolos nativos (SMTP para envio, IMAP/POP3 para leitura) ou APIs de e-mail (como Gmail API) para maior furtividade. **2. Execução** Após comprometer um alvo, o implant estabelece comunicação periódica com a caixa de e-mail C2. Para receber comandos, conecta-se via IMAP ou POP3 e lê mensagens de uma pasta específica ou com um assunto-padrão como marcador. Para enviar resultados ou dados exfiltrados, compõe e-mails via SMTP com o payload embutido no corpo ou em anexos, frequentemente codificados (Base64, XOR) para dificultar detecção. **3. Pós-execução** O operador monitora a caixa de e-mail C2 para receber resultados e envia novos comandos. E-mails processados são deletados para limpar rastros. Como o tráfego transita sobre porta 443 (SMTPS/IMAPS) ou 587, aparenta ser tráfego de e-mail legítimo. Organizações que não inspecionam conteúdo de e-mail saindo de hosts internos raramente detectam esse padrão. **Exemplo:** ```bash # Artefato de detecção - conexão IMAP incomum originando de processo não-relacionado a e-mail # EventID 3 (Sysmon) mostrando conexão na porta 993 (IMAPS) por processo como cmd.exe ou powershell.exe # Exemplo de log suspeito: # ProcessName: powershell.exe | DestinationPort: 993 | DestinationIp: 74.125.x.x # ProcessName: svchost.exe | DestinationPort: 587 | DestinationIp: 40.101.x.x (Outlook SMTP) ``` ## Detecção **Fontes de dados:** Sysmon (EventID 3 - Network Connection), firewall logs (portas 25, 465, 587, 110, 995, 143, 993), proxy logs, EDR telemetria (process → network connection), Exchange transport logs ```yaml title: Suspicious Process Initiating Mail Protocol Connection id: 9c4d7f3a-2b51-4e8c-a7f0-bc3194d05678 status: experimental description: Detecta processos não relacionados a clientes de e-mail estabelecendo conexões nas portas de protocolos de e-mail (SMTP, IMAP, POP3), indicativo de C2 via mail protocols logsource: category: network_connection product: windows service: sysmon detection: selection: EventID: 3 DestinationPort: - 25 - 465 - 587 - 110 - 143 - 993 - 995 filter_legitimate: Image|endswith: - '\outlook.exe' - '\thunderbird.exe' - '\mailbird.exe' - '\msedge.exe' - '\chrome.exe' condition: selection and not filter_legitimate falsepositives: - Aplicações de negócios com envio de e-mail embutido (ERP, CRM) - Servidores de relay de e-mail internos - Ferramentas de monitoramento e alertas por e-mail level: high tags: - attack.command_and_control - attack.t1071.003 ``` ## Mitigação | Mitigação | Recomendação Prática | |-----------|---------------------| | [[m1037-filter-network-traffic\|M1037 - Filter Network Traffic]] | Bloquear no firewall conexões diretas de estações de trabalho para servidores SMTP externos (porta 25/465/587); forçar todo tráfego de e-mail pelo relay corporativo; inspecionar conteúdo de e-mails saindo da rede | | [[m1031-network-intrusion-prevention\|M1031 - Network Intrusion Prevention]] | Configurar IDS/IPS para alertar em conexões IMAP/POP3 (porta 993/995) originando de processos que não são clientes de e-mail conhecidos; usar EDR para correlacionar processos com conexões de rede suspeitas | ## Referências *Fonte: [MITRE ATT&CK - T1071.003](https://attack.mitre.org/techniques/T1071/003)*