# T1102.001 - Dead Drop Resolver ## Técnica Pai Esta é uma sub-técnica de [[t1102-web-service|T1102 - T1102 - Web Service]]. ## Descrição Dead Drop Resolver é uma subtécnica de Command and Control em que adversários utilizam serviços web legítimos - redes sociais, plataformas de compartilhamento de texto ou repositórios públicos - para hospedar ponteiros cifrados ou ofuscados para a infraestrutura real de C2. A vítima infectada consulta esse "ponto morto" (dead drop) para descobrir o endereço do servidor de controle, sem jámais contatar diretamente a infraestrutura maliciosa nos primeiros estágios da comunicação. A elegância operacional da técnica está no fato de que o tráfego gerado é práticamente indistinguível do uso legítimo. Uma máquina corporativa que acessa o GitHub, o Pastebin, o Twitter ou o Google Docs não levanta suspeita imediata nos firewalls nem nas soluções de proxy. Além disso, os serviços mais populares utilizam TLS/HTTPS, o que dificulta ainda mais a inspeção do conteúdo trafegado. O endereço do C2 real pode ser trocado a qualquer momento - basta atualizar o post ou documento hospedado - garantindo resiliência operacional mesmo após queima parcial da infraestrutura. **Contexto Brasil/LATAM:** No Brasil e na América Latina, essa técnica é amplamente usada por famílias de malware bancário. O [[s0531-grandoreiro|Grandoreiro]] e o [[s0455-metamorfo|Metamorfo]] - ambos com enorme impacto no setor financeiro brasileiro - utilizam dead drop resolvers hospedados em serviços de nuvem pública para recuperar endereços de C2 atualizados. O grupo [[g0048-rtm|RTM]], que historicamente ataca clientes de sistemas de pagamento na Rússia e Leste Europeu, também lança mão dessa estratégia. Para equipes de SOC brasileiras, a presença de requisições frequentes a Pastebin, GitHub Gist ou serviços similares geradas por processos incomuns deve ser tratada como indicador de alerta. ## Attack Flow ```mermaid graph TB A[Infecção Inicial] --> B[Consulta ao Dead Drop] B --> C{Resolve Endereço C2}:::highlight C --> D[Comúnicação C2 Real] D --> E[Execução de Comandos] classDef highlight fill:#e74c3c,color:#fff ``` ## Como Funciona **Preparação** O adversário pública um post, arquivo ou comentário em um serviço web legítimo - como Pastebin, GitHub Gist, Blogspot ou Twitter - contendo o endereço IP ou domínio do servidor C2 real, geralmente ofuscado por Base64, XOR ou simples substituição de caracteres. O malware é compilado com a URL do dead drop codificada internamente, não com o endereço do C2 diretamente. **Execução** Após comprometer o alvo, o implante faz uma requisição HTTP/S ao serviço legítimo (ex.: `https://pastebin.com/raw/XXXXXXXX`), extrai e decodifica o endereço C2 do conteúdo retornado, e então estabelece o canal de comando e controle com a infraestrutura real. Para ferramentas de rede e proxies corporativos, todo esse fluxo parece uso legítimo do serviço. **Pós-execução** Com o canal C2 estabelecido, o adversário pode atualizar o dead drop a qualquer momento - inclusive em resposta a uma queima de infraestrutura - e os implantes já instalados passarão automaticamente a usar o novo endereço na próxima checagem. Isso torna a remoção da infraestrutura de C2 consideravelmente mais difícil, pois bloquear o servidor atual não elimina a capacidade do adversário de restaurar o controle. ## Detecção **Event IDs relevantes (Windows)** | Event ID | Fonte | O que indica | |----------|-------|--------------| | 3 | Sysmon (Network Connection) | Processo inesperado conectando a domínios de paste/social | | 4688 | Security | Criação de processo filho de browser ou Office fazendo chamadas de rede | | 7045 | System | Instalação de serviço novo - possível implante persistente | | 5156 | Security (Windows Filtering Platform) | Conexão de rede de processo suspeito para hosts externos | **Regra Sigma - Dead Drop via Pastebin/GitHub Gist** ```yaml title: Suspicious Dead Drop Resolver Access id: d7f3a4e2-8c1b-4f9a-b6e2-3a5d7c8e9f01 status: experimental description: Detecta processos não-browser acessando serviços tipicamente usados como dead drop resolvers author: RunkIntel daté: 2026-03-24 logsource: category: network_connection product: windows service: sysmon detection: selection: EventID: 3 DestinationHostname|contains: - 'pastebin.com' - 'gist.github.com' - 'raw.githubusercontent.com' - 'paste.ee' - 'hastebin.com' - 'ghostbin.com' filter_browsers: Image|contains: - 'chrome.exe' - 'firefox.exe' - 'msedge.exe' - 'iexplore.exe' - 'brave.exe' - 'opera.exe' condition: selection and not filter_browsers falsepositives: - Ferramentas de desenvolvimento legítimas (curl, wget em CI/CD) - Scripts de automação internos level: medium tags: - attack.command_and_control - attack.t1102.001 ``` ## Mitigação | ID | Mitigação | Recomendação Prática para Organizações Brasileiras | |----|-----------|---------------------------------------------------| | M1021 | [[m1021-restrict-web-based-content\|M1021 - Restrict Web-Based Content]] | Implante proxy web com inspeção TLS e categorize serviços de paste/compartilhamento de texto como bloqueados para estações de trabalho corporativas. Permita apenas para desenvolvedores via política de grupo específica. | | M1031 | [[m1031-network-intrusion-prevention\|M1031 - Network Intrusion Prevention]] | Configure IDS/IPS com regras para detectar beaconing periódico a domínios de paste e GitHub Gist. Priorize alertas quando o processo de origem não for um browser reconhecido. | ## Threat Actors que Usam - [[g0106-rocke|Rocke]] - grupo de cryptojacking que usa Pastebin como dead drop para distribuir endereços de pool de mineração e atualizar payloads em ambientes Linux comprometidos - [[g0096-apt41|APT41]] - ator de espionagem e crime financeiro com nexo chinês; usa dead drops em plataformas de compartilhamento de código para manter resiliência de C2 em campanhas de longa duração - [[g0048-rtm|RTM]] - grupo especializado em fraude financeira contra sistemas de pagamento; utiliza blogs e serviços de paste para resolver endereços de C2 dinâmicamente - [[g0060-bronze-butler|BRONZE BUTLER]] - APT de espionagem industrial com foco em alvos jáponeses; usa dead drops para separar a infraestrutura de entrega da infraestrutura de controle - [[g0094-kimsuky|Kimsuky]] - ator norte-coreano focado em espionagem geopolítica; documenta uso de Google Docs e Blogspot como dead drop resolvers em campanhas contra think tanks - [[g0040-patchwork|Patchwork]] - APT de origem indiana que usa Pastebin e fóruns públicos para armazenar configurações de C2 ofuscadas ## Software Associado - [[s0373-astaroth|Astaroth]] - malware brasileiro que usa YouTube, Facebook e serviços de CDN legítimos como dead drops para recuperar componentes e configurações de C2 - [[s0531-grandoreiro|Grandoreiro]] - trojan bancário amplamente ativo no Brasil e América Latina; usa dead drops em serviços de nuvem para endereçamento dinâmico de C2 - [[s0455-metamorfo|Metamorfo]] - banker focado em instituições financeiras brasileiras e mexicanas; emprega técnica de dead drop via serviços de hospedagem legítimos - [[s1051-keyplug|KEYPLUG]] - backdoor usado pelo APT41 com comunicação C2 resolvida via serviços web externos antes de contactar infraestrutura real - [[s0051-miniduke|MiniDuke]] - implante usado em campanhas de espionagem que utiliza comentários em posts do Twitter como dead drop resolver - [[s0013-plugx|PlugX]] - RAT amplamente adotado por APTs chineses; variantes conhecidas utilizam dead drops para flexibilidade de C2 - [[s0069-blackcoffee|BLACKCOFFEE]] - malware que usa comentários ofuscados em páginas legítimas de fóruns para armazenar endereços de C2 - [[s0128-badnews|BADNEWS]] - RAT usado pelo Patchwork; recupera configurações de C2 a partir de feeds RSS e plataformas de compartilhamento legítimas - [[s0674-charmpower|CharmPower]] - módulo de C2 usado pelo APT35 que consulta serviços web legítimos para obter endereços de servidor - [[s1201-translatext|TRANSLATEXT]] - malware focado em extensões de browser que usa dead drops para receber instruções de C2 sem comunicação direta --- *Fonte: [MITRE ATT&CK - T1102.001](https://attack.mitre.org/techniques/T1102/001)*