t1090-001-internal-proxy

# T1090.001 - Internal Proxy ## Descrição O uso de proxy interno é uma subtécnica sofisticada de Command and Control pela qual um adversário, após comprometer múltiplos sistemas dentro de uma rede corporativa, encadeia as máquinas infectadas em uma estrutura de retransmissão. Em vez de cada host comprometido se comúnicar diretamente com a infraestrutura C2 externa - o que multiplicaria conexões suspeitas saindo da rede - apenas um nó intermediário realiza essa comunicação. Os demais sistemas infectados se comúnicam internamente com esse nó relay usando protocolos como SMB, que é esperado em ambientes Windows corporativos. Essa arquitetura resolve um problema fundamental do atacante: manter C2 confiável em redes com controles de saída rígidos. Se apenas um servidor - idealmente um servidor de alta confiança, como um servidor de arquivos ou uma máquina de jump - precisa fazer conexão externa, a superfície de detecção cai drasticamente. Ferramentas como HTRAN, ZXProxy, ZXPortMap e o próprio [[s0154-cobalt-strike|Cobalt Strike]] (com seu recurso de encadeamento de beacons) são usadas para implementar esses caminhos de relay. Grupos de espionagem de alto nível fazem uso intenso dessa técnica. O [[g1017-volt-typhoon|Volt Typhoon]], grupo chinês associado a operações de pré-posicionamento em infraestrutura crítica americana, é documentado usando proxies internos via ferramentas nativas (living-off-the-land) para ocultar tráfego C2. O [[g0032-lazarus-group|Lazarus Group]] usou estruturas similares em campanhas contra o setor financeiro, e o [[g0010-turla|Turla]] implementou proxies internos complexos em redes governamentais por anos antes de ser detectado. O [[g1016-fin13|FIN13]], que opera predominantemente contra o México e teve presença confirmada no Brasil, usa essa técnica para manter acesso persistente em redes de varejo e hospitalidade. **Contexto Brasil/LATAM:** Para organizações brasileiras - especialmente no setor financeiro, energia e governo - essa técnica representa um risco elevado porque contorna efetivamente perímetros de firewall bem configurados. O [[g1016-fin13|FIN13]], que opera na América Latina com foco em fraude financeira de longo prazo, é o grupo mais relevante regionalmente que usa proxy interno para manter operações silenciosas por meses ou anos. Ambientes OT/ICS, como os do setor elétrico e petróleo, são alvos de alta prioridade onde essa técnica é usada para atravéssar segmentação de rede. Times de SOC devem monitorar tráfego SMB lateral anômalo e conexões de proxy em servidores que não deveriam exercer essa função. ## Attack Flow ```mermaid graph TB A[Comprometimento Inicial] --> B[Lateral Movement] B --> C[**Proxy Interno Estabelecido**] C --> D[C2 Externo via Nó Relay] D --> E[Persistência Longa Duração] ``` ## Como Funciona **1. Preparação** O adversário compromete múltiplos hosts na rede interna via lateral movement (ex: pass-the-hash, exploração de serviços internos). Seleciona um host como relay - preferêncialmente um servidor com acesso legítimo à internet e baixa visibilidade de monitoramento (servidores de impressão, servidores de backup, dispositivos de rede). **2. Execução** No host relay, instala um agente de proxy (pode ser HTRAN, um beacon do Cobalt Strike em modo SMB listener, ou uma ferramenta nativa como netsh com redirecionamento de porta). Reconfigura os demais implantes para se conectar ao relay interno em vez de saírem diretamente para a internet. O relay então encaminha o tráfego para o C2 externo, opcionalmente com tunelamento adicional. **3. Pós-execução** Do ponto de vista da rede, apenas o host relay aparece comúnicando-se externamente. O tráfego entre os implantes e o relay parece ser comunicação interna legítima (SMB, RPC, HTTP interno). A detecção requer correlação de logs de múltiplos hosts e análise de padrões de tráfego este-oeste, não apenas tráfego norte-sul. **Exemplo:** ```bash # Artefato de detecção: netsh portproxy configurado no host relay # Evento: Sysmon EventID 1 (Process Creation) - netsh.exe com argumentos "portproxy" # Ou: conexão SMB de um host de workstation para servidor que não é DC/fileserver # Sysmon EventID 3: SourceIp=workstation, DestinationIp=servidor_relay, DestPort=445 # Seguido de: servidor_relay abrindo conexão externa para IP de C2 # Correlação temporal entre esses eventos é o indicador chave ``` ## Detecção **Fontes de dados:** Sysmon EventID 3 (Network Connection), Windows Security EventID 4648 (Logon with explicit credentials), NetFlow/IPFIX para análise este-oeste, EDR com visibilidade de conexões de processo, logs de firewall interno (NGFW com inspeção de segmento interno) ```yaml title: Configuração de Proxy Interno via netsh portproxy id: 2a8f5c19-7e3b-4d90-a126-8c4f2b9e0d71 status: experimental description: Detecta uso do netsh para configurar redirecionamento de porta, padrão de implantação de proxy interno para relay de C2 logsource: category: process_creation product: windows detection: selection: Image|endswith: '\netsh.exe' CommandLine|contains|all: - 'portproxy' - 'add' condition: selection falsepositives: - Administradores configurando redirecionamento de porta para fins legítimos - Ambientes de desenvolvimento e teste level: high tags: - attack.command_and_control - attack.t1090.001 ``` ## Mitigação | Mitigação | Recomendação Prática | |-----------|---------------------| | [[m1031-network-intrusion-prevention\|M1031 - Network Intrusion Prevention]] | Implementar microssegmentação de rede e monitorar tráfego este-oeste (host-a-host) em busca de padrões anômalos; bloquear SMB saindo de workstations para servidores não autorizados; auditar regras de portproxy via Group Policy | ## Técnica Pai - [[t1090-proxy|T1090 - Proxy]] - técnica pai desta subtécnica ## Threat Actors que Usam - [[g1017-volt-typhoon|Volt Typhoon]] - [[g0032-lazarus-group|Lazarus Group]] - [[g0010-turla|Turla]] - [[g1016-fin13|FIN13]] - [[g0087-apt39|APT39]] - [[g1047-velvet-ant|Velvet Ant]] - [[g0030-raspberry-typhoon|Lotus Blossom]] - [[g0041-strider|Strider]] - [[g0126-higaisa|Higaisa]] ## Software Associado - [[s0154-cobalt-strike|Cobalt Strike]] (ferramenta - SMB beacon listener) - [[s0556-pay2key|Pay2Key]] (malware) - [[s0038-duqu|Duqu]] (malware) - [[chopstick|CHOPSTICK]] (malware) - [[drovorub|Drovorub]] (malware) - [[s1060-mafalda|Mafalda]] (malware) - [[s0699-mythic|Mythic]] (ferramenta) - [[s0141-winnti-for-windows|Winnti for Windows]] (malware) - [[s0051-miniduke|MiniDuke]] (malware) - [[s0512-fatduke|FatDuke]] (malware) ## Técnicas Relacionadas - [[t1090-proxy|T1090 - Proxy]] - técnica pai - [[t1090-002-external-proxy|T1090.002 - External Proxy]] - variante com proxy externo - [[t1021-remote-services|T1021 - Remote Services]] - movimentação lateral que precede a configuração do proxy - [[t1572-protocol-tunneling|T1572 - Protocol Tunneling]] - técnica complementar de encapsulamento de tráfego C2 --- *Fonte: [MITRE ATT&CK - T1090.001](https://attack.mitre.org/techniques/T1090/001)*