t1071-application-layer-protocol

# T1071 - Protocolo de Camada de Aplicação ## Descrição Adversários utilizam protocolos da camada de aplicação do modelo OSI para estabelecer canais de comando e controle (C2) de forma dissimulada. A estratégia central dessa técnica é fazer com que o tráfego malicioso se confunda com comúnicações legítimas da rede - HTTP, HTTPS, FTP, DNS, SMTP - tornando a detecção mais difícil para firewalls e sistemas de inspeção de pacotes. Os comandos enviados ao sistema comprometido, bem como as respostas e dados exfiltrados, são encapsulados dentro do tráfego de protocolo entre o cliente infectado e o servidor de C2 do atacante. Por ser tráfego que normalmente atravéssa qualquer firewall corporativo, o canal raramente é bloqueado por controles de rede padrão. Internamente - por exemplo, entre um nó pivô e outros sistemas comprometidos dentro da rede - os adversários costumam abusar de protocolos como SMB, SSH ou RDP, todos amplamente aceitos em ambientes corporativos. As sub-técnicas cobrem variações específicas: [[t1071-001-web-protocols|T1071.001]] usa HTTP/HTTPS, [[t1071-002-file-transfer-protocols|T1071.002]] abusa de FTP/SMB/TFTP, [[t1071-003-mail-protocols|T1071.003]] explora SMTP/IMAP e [[t1071-004-dns|T1071.004]] usa DNS como canal encoberto. **Contexto Brasil/LATAM:** No Brasil, essa técnica é amplamente utilizada por grupos de ransomware e cybercrime financeiro que operam na região. Grupos como [[g0139-teamtnt|TeamTNT]] e [[g0106-rocke|Rocke]] foram observados usando HTTP/HTTPS para C2 em campanhas direcionadas a infraestruturas cloud e servidores Linux expostos, setores muito presentes no ecossistema de TI brasileiro. Campanhas de fraude bancária e campanhas de BEC (Business Email Compromise) contra empresas brasileiras frequentemente alavancam protocolos de e-mail (SMTP/IMAP) para C2 e exfiltração de credenciais, aproveitando-se da baixa inspeção de tráfego TLS em organizações de médio porte. ## Attack Flow ```mermaid graph TB A[Acesso Inicial] --> B[Estabelecimento de C2] B --> C[**T1071 - App Layer Protocol**] C --> D[Exfiltração / Execução Remota] D --> E[Movimento Lateral] ``` ## Como Funciona 1. **Preparação:** O adversário configura infraestrutura de C2 - servidores que simulam serviços legítimos (servidor web, servidor FTP, domínio DNS) ou abusam de plataformas reais como Google Drive, Dropbox ou Pastebin. 2. **Implantação do implante:** Após comprometer o host via [[t1566-phishing|T1566 - Phishing]] ou exploração de vulnerabilidade, o adversário instala um agente/beacon (ex: [[s0154-cobalt-strike|Cobalt Strike]], [[s0633-sliver|Sliver]]) que se comúnica via protocolo configurado. 3. **Comúnicação C2:** O implante realiza check-ins periódicos ao servidor C2 usando o protocolo escolhido. Os dados são frequentemente codificados (Base64, XOR) ou criptografados dentro do payload do protocolo. 4. **Recebimento de comandos:** O servidor responde com instruções encapsuladas no protocolo - por exemplo, cabeçalhos HTTP, respostas DNS TXT, ou arquivos transferidos via FTP. 5. **Pós-execução:** Resultados de comandos e dados exfiltrados retornam pelo mesmo canal, imitando tráfego legítimo de upload. **Exemplo:** ```bash # Artefato de detecção: beacon HTTP com User-Agent suspeito e intervalos regulares # Exemplo de como isso aparece nos logs do proxy corporativo: # 2026-03-25 14:02:31 CONNECT malicious-domain.com:443 "Mozilla/5.0 (compatible)" 200 # 2026-03-25 14:12:31 CONNECT malicious-domain.com:443 "Mozilla/5.0 (compatible)" 200 # Intervalo exato de 10 minutos = padrão de beacon típico # Detecção via Zeek/Suricata: conexões com jitter mínimo ao mesmo destino # Investigar com: zeek-cut id.orig_h id.resp_h duration < conn.log | sort -k3 ``` ## Detecção **Fontes de dados:** Logs de proxy HTTP/HTTPS, capturas de tráfego de rede (PCAP), logs DNS, NetFlow/IPFIX, EDR (telemetria de processo e rede), logs de firewall de próxima geração (NGFW). ```yaml title: Suspicious C2 Beacon via Application Layer Protocol id: 7e3a1f2b-4c8d-4e9a-b1f5-2d6e7a8c9b0d status: experimental description: Detects regular periodic outbound connections indicative of C2 beaconing over application layer protocols logsource: category: proxy product: windows detection: selection: c-uri-query|contains: - '%3D%3D' - 'cmd=' - 'data=' cs-bytes|gt: 0 sc-bytes|lt: 500 filter_legitimate: r-dns|endswith: - '.microsoft.com' - '.windows.com' - '.google.com' condition: selection and not filter_legitimate falsepositives: - Aplicações legítimas com check-in periódico (updaté agents, monitoramento) - Ferramentas de RMM corporativas (TeamViewer, AnyDesk) level: medium tags: - attack.command_and_control - attack.t1071 ``` ## Mitigação | Mitigação | Recomendação Prática | |-----------|---------------------| | [[m1031-network-intrusion-prevention\|M1031 - Network Intrusion Prevention]] | Implantar IDS/IPS com assinaturas atualizadas para detectar padrões de beacon (Suricata, Snort ET rules); inspecionar tráfego TLS via proxy SSL/TLS com inspeção profunda | | [[m1037-filter-network-traffic\|M1037 - Filter Network Traffic]] | Aplicar política de proxy explícito - bloquear conexões HTTP/HTTPS diretas (não via proxy); implementar DNS RPZ para bloquear domínios maliciosos conhecidos; restringir FTP/TFTP de saída | ## Sub-técnicas - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1071-002-file-transfer-protocols|T1071.002 - File Transfer Protocols]] - [[t1071-003-mail-protocols|T1071.003 - Mail Protocols]] - [[t1071-004-dns|T1071.004 - DNS]] - [[Subscribe Protocols]] ## Threat Actors que Usam - [[g0059-magic-hound|Magic Hound]] - [[g0106-rocke|Rocke]] - [[g1032-inc-ransom|INC Ransom]] - [[g1047-velvet-ant|Velvet Ant]] - [[g0139-teamtnt|TeamTNT]] ## Software Associado - [[s0601-hildegard|Hildegard]] (malware) - [[s0034-neteagle|NETEAGLE]] (malware) - [[s0623-siloscape|Siloscape]] (malware) - [[s1084-quietexit|QUIETEXIT]] (malware) - [[s0038-duqu|Duqu]] (malware) - [[s0660-clambling|Clambling]] (malware) - [[s0633-sliver|Sliver]] (ferramenta) - [[s0532-lucifer|Lucifer]] (malware) - [[s1130-raspberry-robin|Raspberry Robin]] (malware) - [[s1147-nightdoor|Nightdoor]] (malware) --- *Fonte: [MITRE ATT&CK - T1071](https://attack.mitre.org/techniques/T1071)*