t1102-003-one-way-communication

# T1102.003 - Comúnicação Unidirecional via Serviço Web ## Técnica Pai Esta é uma sub-técnica de [[t1102-web-service|T1102 - T1102 - Web Service]]. ## Descrição Na subtécnica T1102.003, o adversário utiliza um serviço web legítimo e já estabelecido - como redes sociais, plataformas de hospedagem de código ou serviços de armazenamento em nuvem - exclusivamente para enviar comandos a sistemas comprometidos, sem receber qualquer resposta pelo mesmo canal. O fluxo de dados é deliberadamente assimétrico: instruções chegam ao implante pela plataforma pública, mas o resultado da execução retorna por um canal completamente separado ou simplesmente não retorna, dependendo dos objetivos do atacante. Esse padrão difere da comunicação bidirecional clássica (T1102) porque o servidor de C2 nunca precisa "ouvir" respostas na mesma conexão. Isso torna a detecção por análise de padrão de tráfego muito mais difícil: do ponto de vista da rede, o host comprometido aparece apenas como mais um cliente lendo posts de um blog, verificando feeds RSS ou consultando um repositório público. Plataformas como GitHub Gist, Pastebin, Twitter, Telegram e Google Drive já foram documentadas como canais C2 unidirecionais por grupos como [[g0065-leviathan|Leviathan]] e [[g0047-gamaredon|Gamaredon Group]]. Malwares como [[s0037-hammertoss|HAMMERTOSS]] e [[s1210-sagerunex|Sagerunex]] implementam essa abordagem de forma sofisticada, lendo tweets ou posts para decodificar instruções embutidas em conteúdo aparentemente inofensivo. A criptografia TLS/HTTPS nativa dessas plataformas adiciona uma camada de proteção passiva para o atacante: o tráfego já é cifrado por padrão, sem que o implante precise implementar qualquer mecanismo próprio de ofuscação. **Contexto Brasil/LATAM:** No Brasil e na América Latina, essa técnica é particularmente relevante porque a inspeção de tráfego HTTPS é menos comum em empresas de médio porte, e o acesso a redes sociais e serviços de nuvem raramente é bloqueado em ambientes corporativos. Grupos que operam na região, como o [[s0455-metamorfo|Metamorfo]] - bancário brasileiro com histórico de uso de serviços legítimos para C2 - demonstram que atores locais também adotam essa abordagem. Setores financeiro e governo são os mais expostos, dado o perfil de alvos dos grupos documentados. ## Attack Flow ```mermaid graph TB A[Acesso Inicial] --> B[Implante Instalado] B --> C[**T1102.003 - C2 Unidirecional**] C --> D[Execução de Comandos] D --> E[Exfiltração por Canal Separado] ``` ## Como Funciona 1. **Preparação** - O atacante cria ou compromete uma conta em um serviço web legítimo (GitHub, Pastebin, Twitter, Telegram). Publica nesse canal as instruções codificadas para o implante, geralmente embutidas em conteúdo que parece normal (descrição de repositório, bio de perfil, post público). 2. **Execução** - O implante instalado na vítima acessa periodicamente o serviço web usando APIs ou scraping simples, recupera o conteúdo e decodifica as instruções (frequentemente em Base64, XOR ou esquemas customizados como em [[s0037-hammertoss|HAMMERTOSS]]). O tráfego gerado é indistinguível de um usuário legítimo acessando a plataforma. 3. **Pós-execução** - Os resultados dos comandos são enviados por um canal completamente diferente (DNS over HTTPS, e-mail, outro serviço web) ou descartados completamente quando o objetivo é apenas acionar uma ação no host (ex: iniciar exfiltração, destruir dados, instalar componente adicional). O canal unidirecional nunca carrega dados de volta, tornando correlação muito mais difícil. **Exemplo:** ```bash # Artefato detectável: processo consultando domínio legítimo em loop regular # Análise de proxy/NGFW revelaria padrões como: # GET https://api.github.com/gists/[id_publico] a cada 300s # User-Agent: Mozilla/5.0 (sem autenticação, sem POST) # Resposta JSON contendo campo "description" com conteúdo Base64 incomum ``` ## Detecção **Fontes de dados:** Logs de proxy web, NetFlow/IPFIX, DNS logs, EDR (network connections por processo), SIEM com detecção de beaconing. ```yaml title: One-Way C2 via Legitimaté Web Service (Beaconing Pattern) id: 7f3a1e2c-9b84-4d56-ae12-3c8f0b1d6e79 status: experimental description: Detects regular interval polling of legitimate external services that may indicaté one-way C2 commúnication logsource: category: proxy product: windows detection: selection: cs-host|contains: - 'api.github.com' - 'pastebin.com' - 'api.telegram.org' - 'paste.ee' cs-method: 'GET' timeframe: 10m condition: selection | count() by c-ip > 5 falsepositives: - Administrative activity - Developer tools polling GitHub APIs - Legitimaté Telegram bot usage level: medium tags: - attack.command_and_control - attack.t1102.003 ``` ## Mitigação | Mitigação | Recomendação Prática | |-----------|---------------------| | [[m1021-restrict-web-based-content\|M1021 - Restrict Web-Based Content]] | Restringir acesso a APIs de plataformas de hospedagem de código (api.github.com, pastebin.com) em estações de trabalho que não sejam de desenvolvimento. Usar proxy com inspeção TLS. | | [[m1031-network-intrusion-prevention\|M1031 - Network Intrusion Prevention]] | Configurar regras de IPS para detectar padrões de beaconing: requisições GET repetidas a intervalos regulares para o mesmo domínio externo, especialmente sem variação de User-Agent. | ## Referências *Fonte: [MITRE ATT&CK - T1102.003](https://attack.mitre.org/techniques/T1102/003)*