t1102-web-service - RunkIntel

# T1102 - Web Service ## Descrição Adversários utilizam serviços web legítimos e amplamente conhecidos como canal de comunicação para comando e controle (C2), aproveitando a confiança que organizações depositam nesses endereços. Plataformas como Google Drive, OneDrive, GitHub, Pastebin, Telegram, Discord e Twitter já fazem parte do tráfego normal de qualquer rede corporativa - o que torna esse tipo de comunicação C2 extremamente difícil de distinguir de atividade legítima. O tráfego é criptografado pelo próprio protocolo HTTPS do serviço, dispensando a necessidade de túneis personalizados. A técnica é valorizada pelos atacantes justamente porque elimina a necessidade de manter infraestrutura C2 própria. Em vez de um servidor dedicado - que pode ser derrubado por sinkholing ou bloqueado por reputação de IP - o adversário usa um serviço que nunca será bloqueado em produção. Além disso, o malware pode ser atualizado dinâmicamente: o atacante simplesmente modifica o conteúdo hospedado no serviço legítimo e a implantação recebe novas instruções sem nenhuma conexão direta. Grupos como [[g0010-turla|Turla]] já usaram comentários em públicações do Instagram e do YouTube como canal de drop de resolução de C2 - uma variante conhecida como dead-drop resolver. Outros grupos como [[g1044-apt42|APT42]] e [[g0061-fin8|FIN8]] abusam de serviços de armazenamento em nuvem para exfiltrar dados e receber comandos. O [[g0106-rocke|Rocke]], focado em mineração de criptomoedas em ambientes cloud, usa repositórios GitHub para hospedar scripts maliciosos baixados pelas implantações. **Contexto Brasil/LATAM:** No Brasil, essa técnica é especialmente relevante dado o alto uso corporativo de plataformas Google Workspace e Microsoft 365. Grupos financeiramente motivados que atacam o setor financeiro e varejo brasileiro - como [[g0037-fin6|FIN6]] - exploram serviços de nuvem para evitar detecção em ambientes onde firewalls raramente inspecionam tráfego HTTPS para domínios Google ou Microsoft. O [[g0140-lazyscripter|LazyScripter]], que historicamente mira rotas de aviação e imigrantes, também usou serviços como GitHub e Pastebin para hospedar payloads de segunda fase. Times de SOC no Brasil precisam priorizar inspeção TLS e análise comportamental de uploads/downloads em serviços de nuvem legítimos, especialmente fora do horário comercial. ## Attack Flow ```mermaid graph TB A[Acesso Inicial] --> B[Implantação de Malware] B --> C[**C2 via Web Service**] C --> D[Exfiltração / Lateral Movement] D --> E[Objetivos Finais] ``` ## Como Funciona **1. Preparação** O adversário cria ou compromete uma conta em um serviço web legítimo (Google Drive, GitHub, Pastebin, Telegram). Nesse repositório, armazena instruções codificadas, payloads criptografados ou simplesmente um endereço de C2 real (dead-drop resolver). O conteúdo pode ser atualizado a qualquer momento remotamente. **2. Execução** O malware implantado na vítima realiza requisições HTTP/HTTPS periódicas ao serviço legítimo. Ele faz o parse do conteúdo retornado (pode ser um post público, um arquivo, um comentário) para extrair instruções. A comunicação pode ser unidirecional (o implante apenas lê ordens) ou bidirecional (envia resultados de volta ao mesmo serviço via upload ou atualização de arquivo). **3. Pós-execução** As instruções decodificadas são executadas localmente. Resultados e dados coletados são enviados de volta ao serviço na mesma sessão HTTPS. O analista de rede vê apenas tráfego normal para `drive.google.com`, `api.github.com` ou `t.me`, sem indicadores de comprometimento óbvios no nível da rede. **Exemplo:** ```bash # Artefato de detecção: processo não-navegador realizando requisição # periódica a pastebin.com ou api.github.com com User-Agent incomum # Evento correspondente: Sysmon EventID 3 (Network Connection) # Image: C:\Users\<user>\AppData\Roaming\svchost32.exe # DestinationHostname: pastebin.com # DestinationPort: 443 # Iniciado por processo sem jánela visível - padrão de beaconing ``` ## Detecção **Fontes de dados:** Sysmon EventID 3 (Network Connection), DNS query logs, proxy/firewall logs com inspeção TLS, EDR telemetria de processos realizando conexões de rede, análise de User-Agent strings ```yaml title: Beaconing para Web Services Legítimos por Processo Suspeito id: 7f3a1d82-4c9e-4b21-8f05-3e2d9a7c1b04 status: experimental description: Detecta processos fora do perfil esperado realizando conexões periódicas a serviços web de alta reputação - padrão típico de C2 via Web Service logsource: category: network_connection product: windows detection: selection: EventID: 3 DestinationHostname|contains: - 'pastebin.com' - 'api.github.com' - 'drive.google.com' - 'api.telegram.org' - 'discord.com/api' filter_browsers: Image|contains: - 'chrome.exe' - 'firefox.exe' - 'msedge.exe' - 'iexplore.exe' condition: selection and not filter_browsers falsepositives: - Ferramentas de backup e sync legítimas - Scripts de automação DevOps - Bots corporativos autorizados level: medium tags: - attack.command_and_control - attack.t1102 ``` ## Mitigação | Mitigação | Recomendação Prática | |-----------|---------------------| | [[m1031-network-intrusion-prevention\|M1031 - Network Intrusion Prevention]] | Implementar inspeção TLS no proxy corporativo para inspecionar tráfego HTTPS mesmo para domínios de alta reputação; criar baselines de volume e frequência por processo | | [[m1021-restrict-web-based-content\|M1021 - Restrict Web-Based Content]] | Bloquear ou monitorar por categoria destinos como Pastebin, serviços de paste anônimos e repositórios GitHub em máquinas que não deveriam necessitar desse acesso (servidores, workstations de OT) | ## Sub-técnicas - [[t1102-001-dead-drop-resolver|T1102.001 - Dead Drop Resolver]] - [[t1102-002-bidirectional-communication|T1102.002 - Bidirectional Commúnication]] - [[t1102-003-one-way-communication|T1102.003 - One-Way Commúnication]] ## Threat Actors que Usam - [[g0010-turla|Turla]] - [[g1044-apt42|APT42]] - [[g0037-fin6|FIN6]] - [[g0061-fin8|FIN8]] - [[g0106-rocke|Rocke]] - [[g0140-lazyscripter|LazyScripter]] - [[g0100-inception-framework|Inception]] - [[g1011-exotic-lily|EXOTIC LILY]] - [[g0117-fox-kitten|Fox Kitten]] - [[g1039-redcurl|RedCurl]] ## Software Associado - [[s1147-nightdoor|Nightdoor]] (malware) - [[s1160-latrodectus|Latrodectus]] (malware) - [[s1086-snip3|Snip3]] (malware) - [[s1130-raspberry-robin|Raspberry Robin]] (malware) - [[s0335-carbon|Carbon]] (malware) - [[s0635-boombox|BoomBox]] (malware) - [[s0546-sharpstage|SharpStage]] (malware) - [[s0649-smokedham|SMOKEDHAM]] (malware) - [[s0547-dropbook|DropBook]] (malware) - [[s1039-bumblebee|Bumblebee]] (malware) ## Técnicas Relacionadas - [[t1071-application-layer-protocol|T1071 - Application Layer Protocol]] - protocolo de camada de aplicação para C2 - [[t1132-data-encoding|T1132 - Data Encoding]] - codificação de dados na comunicação C2 - [[t1001-data-obfuscation|T1001 - Data Obfuscation]] - ofuscação adicional do tráfego C2 - [[t1090-proxy|T1090 - Proxy]] - uso de proxy para rotear tráfego C2 --- *Fonte: [MITRE ATT&CK - T1102](https://attack.mitre.org/techniques/T1102)*