# T1090 - Proxy ## Descrição Adversários utilizam infraestrutura de proxy para redirecionar o tráfego de comando e controle (C2) entre sistemas comprometidos e sua infraestrutura real, evitando conexões diretas que poderiam ser rastreadas e bloqueadas. Ferramentas como HTRAN, ZXProxy e ZXPortMap permitem o redirecionamento transparente de tráfego, tornando o servidor C2 real práticamente invisível para as equipes de defesa que analisam logs de rede do alvo. Proxies também conferem resiliência operacional: se um nó intermediário for derrubado, o adversário pode redirecionar o tráfego para outro ponto sem perder o acesso ao ambiente comprometido. A técnica se manifesta em quatro variantes principais - proxy interno ([[t1090-001-internal-proxy|T1090.001]]), proxy externo ([[t1090-002-external-proxy|T1090.002]]), multi-hop proxy ([[t1090-003-multi-hop-proxy|T1090.003]]) e domain fronting ([[t1090-004-domain-fronting|T1090.004]]) - cada uma com características de evasão distintas. Em ataques sofisticados, adversários encadeiam múltiplos proxies, tornando a atribuição extremamente difícil: o tráfego aparece como originado de um provedor legítimo de CDN ou de um host comprometido em um terceiro país. **Contexto Brasil/LATAM:** O uso de proxy é uma constante em campanhas direcionadas à América Latina. O grupo [[g1004-lapsus|LAPSUS$]], com presença significativa no Brasil, usou proxies residenciais e VPNs para mascarar sua origem durante ataques a empresas de telecomúnicações e tecnologia brasileiras em 2022. Grupos de espionagem como [[g1017-volt-typhoon|Volt Typhoon]] e [[g0010-turla|Turla]] preferem encadear proxies em países com regulação de dados mais permissiva como pontos de salto antes de atingir alvos em órgãos governamentais e infraestrutura crítica na região. A proliferação de dispositivos IoT comprometidos como nós de proxy - prática documentada pelo Volt Typhoon - cria desafios específicos para provedores e operadores de infraestrutura brasileiros. ## Attack Flow ```mermaid graph TB A[Acesso Inicial] --> B[Persistência & C2] B --> C["T1090 - Proxy<br/>Infraestrutura C2 Encadeada"]:::highlight C --> D[Evasão de Detecção] D --> E[Ações sobre Objetivos] classDef highlight fill:#e74c3c,color:#fff ``` ## Como Funciona ### 1. Preparação O adversário configura a infraestrutura de proxy antes ou durante a fase de acesso inicial. Em ataques de nation-state, servidores comprometidos de terceiros - geralmente em países distintos do atacante e do alvo - são transformados em nós de retransmissão. Em ataques criminosos, serviços de proxy residencial pago são contratados para fornecer endereços IP de aparência legítima. O [[s0040-htran|HTRAN]] e o [[s1144-frp|FRP]] são instalados nesses nós para redirecionar portas e protocolos de forma transparente. ### 2. Execução O implante no sistema comprometido se conecta ao proxy intermediário, nunca diretamente ao servidor C2 real. Toda comunicação de C2 - comandos, respostas, dados exfiltrados - passa por este intermediário. Em configurações multi-hop, o tráfego percorre dois ou mais nós antes de chegar ao destino final. Em domain fronting, o tráfego usa domínios de CDNs legítimos (ex: Cloudflare, Fastly) como fachada, tornando o bloqueio práticamente impossível sem afetar serviços legítimos. Ferramentas como [[s1229-havoc|Havoc]] e [[s1210-sagerunex|Sagerunex]] têm suporte nativo a comunicação via proxy. ### 3. Pós-execução O adversário monitora e gerencia os nós proxy para garantir disponibilidade. Quando um proxy é detectado e bloqueado, ele é substituído rapidamente - muitas vezes de forma automatizada. Em operações longas, a rotação de proxies é programada para dificultar a criação de assinaturas estáticas baseadas em IP. Logs de acesso nos nós proxy intermediários raramente são preservados, eliminando evidências forenses do caminho completo de comunicação. ## Detecção **Event IDs e fontes relevantes:** | Event ID / Fonte | Plataforma | Descrição | |------------------|-----------|-----------| | Sysmon Event 3 | Windows | Network Connection - conexões de processos incomuns para IPs externos em portas não padrão | | NetFlow / IPFIX | Rede | Padrões de tráfego bidirecional simétrico entre hosts internos e externos suspeitos | | Firewall Logs | Rede | Conexões persistentes de longa duração em portas 443/80 para destinos sem histórico | | DNS Logs | Rede | Resolução de domínios de CDN para IPs em blocos não usuais (domain fronting) | | 4688 | Windows Security | Processo `htran.exe`, `frp.exe`, `chisel.exe` ou equivalentes sendo executados | **Sigma Rule:** ```yaml title: Detecção de Ferramenta de Proxy/Port Forwarding (T1090) id: 7c2a4e8f-1b3d-4f9a-8e7c-2d5a1b4f9e3c status: experimental description: Detecta execução de ferramentas conhecidas de proxy e port forwarding frequentemente abusadas por adversários para C2 encadeado. references: - T1090 logsource: category: process_creation product: windows detection: selection_tools: Image|endswith: - '\htran.exe' - '\frp.exe' - '\frpc.exe' - '\chisel.exe' - '\ligolo.exe' - '\iodine.exe' selection_flags: CommandLine|contains: - '-proxy' - '-listen' - '-forward' - 'socks5' - 'socks4' condition: 1 of selection_* falsepositives: - Ferramentas legítimas de tunneling usadas por times de infraestrutura (documentar e excluir) - VPN corporativas baseadas em port forwarding level: high tags: - attack.command_and_control - attack.t1090 ``` ## Mitigação | Controle | Mitigação | Recomendação Prática para Organizações Brasileiras | |----------|-----------|-----------------------------------------------------| | [[m1037-filter-network-traffic\|M1037 - Filter Network Traffic]] | Filtrar tráfego de rede | Implementar listas de permissão de destinos de rede (allowlist) para hosts que não precisam de acesso irrestrito à internet. No Brasil, organizações financeiras reguladas pelo BACEN devem aplicar este controle como parte da Resolução CMN 4.893. | | [[m1031-network-intrusion-prevention\|M1031 - Network Intrusion Prevention]] | Prevenção de intrusão de rede | IDS/IPS com assinaturas para protocolos de proxy conhecidos (SOCKS4/5, HTRAN) e comportamentos de port forwarding. Integrar feeds de IoCs de IPs de proxy residencial e nós Tor. | | [[TLS Inspection]] | Inspeção SSL/TLS | Inspecionar tráfego TLS para identificar domain fronting - padrão em que o SNI difere do Host HTTP. Soluções como Palo Alto NGFW e Fortinet suportam esta detecção nativamente. | | Segmentação de rede | Arquitetura zero-trust | Microsegmentar a rede para que hosts de usuário final não possam estabelecer conexões diretas com a internet em portas não padrão. Exigir proxy HTTP/S corporativo explícito para todo o tráfego web. | | Threat Intel | Blocklist de IPs | Subscrever feeds de IPs de proxy residencial, nós Tor e infraestrutura de C2 conhecida. O CERT.br mantém listas de bloqueio relevantes para o contexto brasileiro. | ## Sub-técnicas - [[t1090-001-internal-proxy|T1090.001 - Internal Proxy]] - [[t1090-002-external-proxy|T1090.002 - External Proxy]] - [[t1090-003-multi-hop-proxy|T1090.003 - Multi-hop Proxy]] - [[t1090-004-domain-fronting|T1090.004 - Domain Fronting]] ## Threat Actors - [[g1017-volt-typhoon|Volt Typhoon]] - grupo chinês que constrói redes de proxy usando dispositivos SOHO comprometidos (roteadores, câmeras IP) para criar infraestrutura C2 que aparenta tráfego residencial legítimo; alta relevância para provedores de telecomúnicações brasileiros - [[g0034-sandworm|Sandworm Team]] - grupo russo (GRU) que usa proxies em múltiplos países como intermediários em ataques a infraestrutura crítica; usa [[s1210-sagerunex|Sagerunex]] com capacidades de proxy integradas - [[g0010-turla|Turla]] - grupo FSB especializado em proxy encadeado de longa duração; opera nós de retransmissão em redes universitárias e governamentais comprometidas como pontos de salto para alvos de alto valor - [[g0052-copykittens|CopyKittens]] - usa proxies externos para mascarar a origem iraniana do tráfego C2 em campanhas de espionagem - [[g1004-lapsus|LAPSUS$]] - grupo com membros brasileiros confirmados que usou proxies residenciais e VPNs para acessar sistemas corporativos sem revelar sua localização real - [[g0108-blue-mockingbird|Blue Mockingbird]] - configura proxies SOCKS internos em hosts comprometidos para expandir o alcance dentro de redes segmentadas - [[g1021-cinnamon-tempest|Cinnamon Tempest]] - usa domain fronting via CDNs para C2 em campanhas de ransomware na Ásia e outras regiões - [[g1019-moustachedbouncer|MoustachedBouncer]] - grupo que opera proxy a nível de ISP em Belarus, interceptando tráfego antes de chegar ao destino; métodologia de relevância para análise de ameaças a operadoras brasileiras - [[g0124-windigo|Windigo]] - operação que criou rede de proxy a partir de servidores Linux comprometidos para redirecionar spam e tráfego C2 - [[g1005-polonium|POLONIUM]] - grupo libanês que usa proxies de nuvem para mascarar comúnicações C2 em operações de espionagem ## Software Associado - [[s1210-sagerunex|Sagerunex]] - backdoor do grupo Sandworm com proxy SOCKS5 integrado, usado para criar pontes entre segmentos de rede isolados - [[s0198-netwire|NETWIRE]] - RAT com suporte nativo a comunicação via proxy SOCKS4/5, amplamente usado em campanhas de phishing no Brasil - [[s1114-zipline|ZIPLINE]] - implante passivo do Volt Typhoon que funciona como proxy para outros implantes na rede comprometida - [[s1212-ransomhub|RansomHub]] - ransomware-as-a-service com afiliados que usam proxies para exfiltração e negociação; ativo no Brasil em 2025 - [[koctopus|KOCTOPUS]] - loader que estabelece proxy reverso para facilitar acesso persistente pós-comprometimento - [[s0461-sdbbot|SDBbot]] - RAT do TA505 com capacidades de proxy para comunicação C2 através de firewalls corporativos - [[s0615-sombrat|SombRAT]] - backdoor modular com plugin de proxy para criação de túneis dentro de redes segmentadas - [[s0040-htran|HTRAN]] - ferramenta open-source de port forwarding amplamente abusada por grupos chineses para criar proxies em hosts comprometidos; detectável por assinaturas de rede - [[s1144-frp|FRP]] - Fast Reverse Proxy, ferramenta legítima frequentemente abusada para criar túneis de acesso reverso em ambientes corporativos - [[s1229-havoc|Havoc]] - framework C2 open-source com suporte a comunicação via proxy e domain fronting, adotado por múltiplos grupos criminosos --- *Fonte: [MITRE ATT&CK - T1090](https://attack.mitre.org/techniques/T1090)*