t1090-003-multi-hop-proxy

# T1090.003 - Multi-hop Proxy ## Técnica Pai Esta é uma sub-técnica de [[t1090-proxy|T1090 - T1090 - Proxy]]. ## Descrição O Multi-hop Proxy é uma técnica de comando e controle na qual o adversário encadeia múltiplos nós intermediários entre sua infraestrutura real e a vítima, tornando extremamente difícil rastrear a origem do tráfego malicioso. O princípio é simples: cada salto vê apenas o nó anterior e o próximo na cadeia, nunca a origem real. Um defensor que consiga identificar o último proxy antes de sua rede - geralmente o único nó visível - ainda terá pela frente uma cadeia potencialmente longa de servidores comprometidos, VPSs anônimos ou nós Tor para percorrer até chegar ao operador real. Essa característica a torna a técnica preferida de grupos de estado-nação que precisam de atribuição dificultada. As implementações variam amplamente. A mais conhecida é o uso da rede [[s0183-tor|Tor]], que utiliza roteamento em cebola (onion routing) com múltiplas camadas de criptografia para anonimizar o tráfego. Grupos mais sofisticados constroem redes ORB (Operational Relay Box) compostas de VPS comprometidos, dispositivos IoT e roteadores domésticos com vulnerabilidades conhecidas para criar infraestrutura de retransmissão descartável. O grupo [[g1017-volt-typhoon|Volt Typhoon]], por exemplo, ficou notório por usar roteadores SOHO (small office/home office) comprometidos como nós de retransmissão, criando cadeias que passam por infraestrutura legítima de provedores de internet. A técnica se enquadra sob [[t1090-*|T1090]] - Proxy - e frequentemente é combinada com [[t1584-008-network-devices|Network Devices]] e [[t1599-network-boundary-bridging|Network Boundary Bridging]]. **Contexto Brasil/LATAM:** O Brasil é geograficamente estratégico para redes de proxy multi-hop: sua infraestrutura de internet é robusta, a penetração de roteadores domésticos com firmware desatualizado é alta, e a capacidade de investigação e atribuição de crimes cibernéticos ainda está em desenvolvimento. Grupos como [[g0007-apt28|APT28]] e [[g0016-apt29|APT29]] historicamente utilizaram nós brasileiros como parte de suas cadeias de proxy para operações direcionadas a outros países, aproveitando a jurisdição como escudo legal. O [[g1051-medusa-ransomware|Medusa Group]], ativo em ataques de ransomware na região, usa infraestrutura de proxy para dificultar o bloqueio de seu C2 por equipes de resposta a incidentes latino-americanas. ## Attack Flow ```mermaid graph TB A([Operador C2]) --> B([VPS / Nó ORB 1]) B --> C([Roteador Comprometido]) C --> D([T1090.003 - Nó Multi-hop Final]):::highlight D --> E([Vítima Comprometida]) classDef highlight fill:#e74c3c,color:#fff ``` ## Como Funciona **1. Preparação** O adversário monta sua infraestrutura de retransmissão antes de iniciar o ataque. Isso pode envolver o comprometimento de múltiplos servidores em países diferentes (usando exploits de vulnerabilidades públicas ou credenciais compradas), a criação de VPS anônimos pagos com criptomoedas, ou o abuso da rede [[s0183-tor|Tor]] como camada de anonimização já existente. Grupos com recursos de estado-nação como [[g0016-apt29|APT29]] e [[g1017-volt-typhoon|Volt Typhoon]] preferem comprometer dispositivos de rede legítimos - roteadores SOHO, câmeras IP, NAS domésticos - que geram menos suspeita do que servidores VPS de provedores conhecidos de hospedagem anônima. A cadeia é testada e válidada antes do início das operações. **2. Execução** O tráfego de C2 é encaminhado sequencialmente pela cadeia de proxies. Cada nó intermediário recebe o tráfego do nó anterior, desencripta uma camada (no caso de onion routing) e o repassa ao próximo nó. O implante na vítima - sejá [[s0022-uroburos|Uroburos]], [[s0438-attor|Attor]] ou [[ninjá|Ninjá]] - se comúnica apenas com o último nó da cadeia, que é o único endereço IP que aparece nos logs da vítima. Protocolos como HTTPS, DNS-over-HTTPS e até ICMP são usados para transportar o tráfego C2 de forma que pareça tráfego legítimo. Malwares como [[s1107-nkabuse|NKAbuse]] utilizam a blockchain como canal C2 descentralizado, eliminando a necessidade de infraestrutura centralizada e tornando o bloqueio práticamente impossível. **3. Pós-execução** A infraestrutura de multi-hop permite que o operador mantenha C2 ativo mesmo quando nós individuais são identificados e bloqueados - basta substituir o nó comprometido por outro da lista de reserva. Em operações de espionagem de longa duração como as conduzidas pelo [[g0100-inception-framework|Inception]] e [[g0065-leviathan|Leviathan]], a cadeia de proxies é rotacionada periodicamente para evitar que padrões de tráfego sejam identificados. Os nós comprometidos são frequentemente limpos e abandonados após o uso, eliminando evidências forenses. A rastreabilidade é ainda mais dificultada quando a cadeia cruza múltiplas jurisdições legais. ## Detecção **Event IDs e fontes de dados relevantes:** | Fonte | Event / Indicador | Descrição | |-------|-------------------|-----------| | Firewall / NGFW | Logs de fluxo de rede | Conexões de saída para nós Tor conhecidos (`*.onion`), IPs de saída Tor (lista pública) | | NetFlow / IPFIX | Padrões de tráfego | Volume de dados para IPs de VPS em países incomuns em horários atípicos | | DNS | Consultas DNS | Resolução de domínios gerados algoritmicamente (DGA) ou domínios com TTL muito baixo | | Sysmon (ID 3) | NetworkConnect | Processos estabelecendo conexões com IPs que aparecem em feeds de proxy/Tor | | Proxy corporativo | Logs de acesso | Tentativas de bypass do proxy via protocolos não-HTTP ou conexões diretas à internet | **Sigma Rule:** ```yaml title: Tor Exit Node Connection Attempt id: c3d5e7f9-2b4a-6c8e-0d2f-4a6b8c0e2d4f status: experimental description: Detecta tentativas de conexão a nós de saída conhecidos da rede Tor ou uso de portas Tor padrão references: - https://attack.mitre.org/techniques/T1090/003/ logsource: product: windows category: network_connection detection: selection_tor_ports: DestinationPort: - 9001 - 9030 - 9050 - 9051 - 9150 selection_suspicious_processes: Image|endswith: - '\tor.exe' - '\meek-client.exe' - '\obfs4proxy.exe' selection_unexpected_initiators: Image|contains: - '\powershell.exe' - '\cmd.exe' - '\wscript.exe' - '\mshta.exe' DestinationPort: - 443 - 80 Initiated: 'true' condition: selection_tor_ports or selection_suspicious_processes or selection_unexpected_initiators falsepositives: - Uso corporativo legítimo de Tor para pesquisa de segurança ou acesso a .onion - VPN corporativas que usam portas similares level: medium tags: - attack.command_and_control - attack.t1090.003 ``` ## Mitigação | Controle | Implementação Prática | Prioridade | |----------|-----------------------|------------| | Bloqueio de nós Tor | Manter lista atualizada de IPs de saída e retransmissão do Tor e bloquear no firewall perimetral - listas públicas são atualizadas diariamente | Alta | | Filtragem de tráfego de saída (M1037) | Implementar [[m1037-filter-network-traffic\|M1037 - Filter Network Traffic]] - bloquear conexões diretas à internet de servidores e workstations que não necessitem de acesso externo | Alta | | Proxy obrigatório | Forçar todo tráfego web através de proxy corporativo com autenticação - impede que implantes estabeleçam conexões diretas sem passar pelo proxy | Alta | | Inspeção de DNS | Monitorar e filtrar consultas DNS para domínios suspeitos; bloquear DNS-over-HTTPS não autorizado para evitar bypass de monitoramento DNS | Média | | Segmentação e controle de saída | Segmentar a rede para que servidores críticos (AD, banco de dados, servidores de arquivos) não tenham acesso direto à internet, mesmo via proxy | Média | | Feeds de threat intel de infraestrutura | Assinar feeds de IPs de infraestrutura maliciosa (VPS abusados, nós ORB conhecidos) e aplicar no NGFW automaticamente | Média | ## Threat Actors que Usam - [[g1003-ember-bear|Ember Bear]] - grupo russo que usa cadeias de proxy para ofuscar operações de espionagem e sabotagem contra alvos europeus e da OTAN - [[g0007-apt28|APT28]] - grupo de inteligência militar russo (GRU) que usa extensivamente multi-hop proxy para conduzir operações de espionagem com alta capacidade de atribuição negada - [[g0100-inception-framework|Inception]] - grupo de espionagem que utiliza infraestrutura de proxy complexa para mascarar comúnicações C2 em campanhas de longa duração - [[g0065-leviathan|Leviathan]] - APT chinês (APT40) que usa redes de proxy para operações de espionagem marítima e de defesa, com alvos em múltiplos continentes - [[g0085-fin4|FIN4]] - grupo financeiro que usa proxies para ofuscar operações de insider trading via espionagem corporativa - [[g0016-apt29|APT29]] - grupo de inteligência russo (SVR) com uso sofisticado de infraestrutura multi-hop em operações como o comprometimento da SolarWinds - [[g1051-medusa-ransomware|Medusa Group]] - grupo de ransomware com operações na América Latina que usa multi-hop proxy para dificultar bloqueio de C2 e investigação forense - [[g0030-raspberry-typhoon|Lotus Blossom]] - APT chinês que usa proxy chains para operar em redes de governos e militares do Sudeste Asiático - [[g0128-zirconium|ZIRCONIUM]] - grupo chinês (APT31) que usa infraestrutura de retransmissão para campanhas de espionagem contra políticos e jornalistas - [[g1017-volt-typhoon|Volt Typhoon]] - APT chinês notório por usar roteadores SOHO comprometidos como nós ORB, criando cadeias de proxy sobre infraestrutura legítima de provedores de internet ## Software Associado - [[keydnap|Keydnap]] - backdoor macOS que usa infraestrutura Tor para comunicação C2, tornando difícil o bloqueio baseado em IP - [[s0282-macspy|MacSpy]] - malware macOS que roteia tráfego C2 pela rede Tor para anonimizar comúnicações - [[greyenergy|GreyEnergy]] - malware de ICS/SCADA com módulo de proxy que usa [[s0183-tor|Tor]] para ofuscar comúnicações C2 em ambientes industriais - [[s0386-ursnif|Ursnif]] - trojan bancário que usa infraestrutura de proxy para rotear tráfego de exfiltração de credenciais bancárias - [[s0438-attor|Attor]] - implante sofisticado de espionagem com plugin específico de anonimização que roteia comúnicações via [[s0183-tor|Tor]] - [[s0022-uroburos|Uroburos]] - rootkit altamente sofisticado atribuído a grupo russo que usa roteamento P2P e multi-hop para C2 em redes air-gapped - [[s0623-siloscape|Siloscape]] - malware de container Windows que usa [[s0183-tor|Tor]] para comunicação C2 anonimizada com servidor remoto - [[ninjá|Ninjá]] - ferramenta de acesso remoto do grupo [[g0128-zirconium|ZIRCONIUM]] com suporte nativo a comunicação via proxy chains - [[s0183-tor|Tor]] - rede de anonimização de código aberto abusada como infraestrutura de C2 por inúmeros grupos de ameaça - [[s1107-nkabuse|NKAbuse]] - malware multi-plataforma que usa a blockchain NKN como canal de C2 descentralizado, eliminando a necessidade de infraestrutura centralizada e tornando o bloqueio práticamente impossível --- *Fonte: [MITRE ATT&CK - T1090.003](https://attack.mitre.org/techniques/T1090/003)*