# T1132.001 - Standard Encoding ## Técnica Pai Esta é uma sub-técnica de [[t1132-data-encoding|T1132 - T1132 - Data Encoding]]. ## Descrição Adversários utilizam esquemas de codificação padrão - como Base64, hexadecimal, ASCII e MIME - para disfarçar o tráfego de comando e controle (C2) e dificultar sua detecção por ferramentas de segurança. A ideia central é simples: em vez de transmitir dados maliciosos em texto puro, o agente de ameaça transforma o payload em um formato que parece legítimo à primeira vista, especialmente quando o tráfego passa por inspeções superficiais de rede. A técnica é subtécnica de [[t1132-data-encoding|T1132 - Data Encoding]] e se diferencia das variantes mais sofisticadas por não depender de criptografia proprietária - qualquer analista com as ferramentas certas consegue decodificar o conteúdo, o que na prática não é o objetivo do atacante. O que o adversário busca é bypassar assinaturas de IDS/IPS que procuram por padrões de texto puro em protocolos como HTTP, DNS e SMTP. Base64, por exemplo, é amplamente aceito por servidores web e proxies, tornando o tráfego codificado práticamente invisível para filtros ingênuos. Em alguns casos, a codificação resulta também em compressão (como gzip), oferecendo uma vantagem operacional adicional. Na prática, o malware codifica o resultado de comandos executados na máquina da vítima antes de enviá-los ao servidor C2, e recebe novos comandos já codificados. Esse padrão de "encode no cliente, decode no servidor" é extremamente comum em implantes leves e backdoors desenvolvidos por grupos APT. Ferramentas como [[s0603-stuxnet|Stuxnet]], [[s0053-seaduke|SeaDuke]] e [[s1160-latrodectus|Latrodectus]] fazem uso direto desta técnica para manter canais de comunicação persistentes sem disparar alertas óbvios. **Contexto Brasil/LATAM:** O uso de codificação padrão em comúnicações C2 é amplamente documentado em campanhas direcionadas ao setor financeiro e governamental brasileiro. Grupos como [[g0032-lazarus-group|Lazarus Group]] e [[g0064-apt33|APT33]] já operaram infraestruturas C2 com tráfego Base64 sobre HTTP/HTTPS contra alvos em São Paulo e Brasília. A facilidade de implementação torna esta técnica especialmente popular entre grupos de crime organizado cibernético com menor sofisticação técnica que também operam no Brasil - como distribuidores de banking trojans que usam Base64 para ofuscar strings de configuração e endereços de C2 nos próprios binários. ## Attack Flow ```mermaid graph TB A[Acesso Inicial] --> B[Implantação do Malware] B --> C{{"T1132.001<br/>Codificação C2"}} C --> D[Exfiltração de Dados] D --> E[Execução de Comandos Remotos] style C fill:#e74c3c,color:#fff ``` ## Como Funciona 1. **Preparação:** O malware é configurado com o endereço do servidor C2 e a chave de codificação (schema - Base64, hex, MIME). O implante pode ter o schema hardcoded ou recebê-lo dinâmicamente no primeiro check-in. 2. **Execução:** Ao executar um comando na vítima, o resultado é capturado, serializado e codificado (ex: `base64_encode(resultado)`) antes de ser enviado via HTTP POST ou DNS TXT query ao servidor C2. O servidor decodifica e processa a resposta. Novos comandos são enviados também codificados. 3. **Pós-execução:** O analista de defesa que capturar o tráfego verá strings Base64 em campos de formulário HTTP ou em subdomínios DNS - aparentemente legítimas. Sem contexto comportamental, a detecção é difícil. A operação continua até que o implante sejá removido ou o canal C2 bloqueado. ## Detecção **Fontes de dados:** - **Sysmon Event ID 3** (Network Connection) - conexões de processos não-browser fazendo POST frequente para IPs externos - **Sysmon Event ID 22** (DNS Query) - queries DNS com subdomínios longos e aparentemente aleatórios (sinal de DNS tunneling com Base64) - **Windows Event ID 4688** - criação de processos invocando `certutil -decode` ou `powershell -enc` - **Proxy/Firewall logs** - payloads HTTP com ratio Base64 elevado em campos body ou User-Agent - **Zeek/Suricata** - análise de entropia em sessões HTTP para detectar conteúdo codificado fora do padrão **Sigma Rule:** ```yaml title: Suspicious Base64 Encoded C2 Traffic via PowerShell id: a3b1c2d4-e5f6-7890-abcd-ef1234567890 status: experimental description: > Detecta execução de comandos PowerShell com payload Base64, padrão comum em canais C2 usando T1132.001 Standard Encoding. logsource: category: process_creation product: windows detection: selection: Image|endswith: - '\powershell.exe' - '\pwsh.exe' CommandLine|contains: - ' -enc ' - ' -EncodedCommand ' - 'FromBase64String' - 'ToBase64String' filter_legit: CommandLine|contains: - 'WindowsDefender' - 'Updaté-Help' condition: selection and not filter_legit falsepositives: - Scripts legítimos de administração que usam encoding - Ferramentas de deployment (SCCM, Ansible) level: medium tags: - attack.command_and_control - attack.t1132.001 ``` ## Mitigação | Mitigação | Recomendação Prática | |-----------|---------------------| | [[m1031-network-intrusion-prevention\|M1031 - Network Intrusion Prevention]] | Configurar IDS/IPS (Suricata, Snort) com regras específicas para detectar payloads Base64 em métodos HTTP POST para destinos não categorizados. Implementar inspeção SSL/TLS para não perder tráfego criptografado. Para organizações brasileiras usando proxies corporativos, ativar análise de conteúdo com decodificação automática de Base64 em fluxos HTTP. | ## Threat Actors - [[g0034-sandworm|Sandworm Team]] - grupo russo (GRU) que usa codificação Base64 em implantes como Industroyer para manter C2 em ambientes de infraestrutura crítica - [[g0040-patchwork|Patchwork]] - APT de origem indiana que utiliza encoding MIME e Base64 em campanhas de espionagem contra governos do sul da Ásia e Oriente Médio - [[g1044-apt42|APT42]] - grupo iraniano (IRGC) que emprega Base64 em spearphishing e comúnicações C2 em campanhas de vigilância contra dissidentes - [[g0060-bronze-butler|BRONZE BUTLER]] - grupo chinês especializado em espionagem industrial, usa hex encoding em comúnicações C2 de longa duração - [[g0127-ta551|TA551]] - distribuidor de malware que usa Base64 para ofuscar macros Office e payloads iniciais em campanhas de spam massivo - [[g0032-lazarus-group|Lazarus Group]] - grupo norte-coreano com histórico de campanhas financeiras no Brasil; utiliza Base64 e encoding customizado em implantes como [[s1196-troll-stealer|Troll Stealer]] - [[g0081-tropic-trooper|Tropic Trooper]] - APT taiwanês/chinês que usa MIME encoding em C2 de campañas contra governo e transporte - [[g0069-mango-sandstorm|MuddyWater]] - grupo iraniano (MOIS) que usa Base64 extensivamente em implantes PowerShell e scripts de C2 - [[g0073-apt19|APT19]] - grupo chinês com foco em setores jurídico e financeiro; usa Base64 em comúnicações HTTP C2 - [[g0064-apt33|APT33]] - grupo iraniano com histórico de ataques a infraestrutura energética; usa MIME encoding em campanhas de phishing e C2 ## Software Associado - [[s0610-sidetwist|SideTwist]] - backdoor iraniano que usa Base64 para codificar comúnicações C2 via HTTP - [[s0410-fysbis|Fysbis]] - implante Linux do [[g0034-sandworm|Sandworm Team]] que usa encoding para ofuscar tráfego de rede - [[s1021-dnssystem|DnsSystem]] - malware que usa Base64 em subdomínios DNS para criar canal C2 encoberto - [[s0045-advstoreshell|ADVSTORESHELL]] - backdoor que codifica dados em Base64 antes de exfiltrar via HTTP - [[s0696-flagpro|Flagpro]] - trojan jáponês-targeting que usa encoding para comúnicações C2 persistentes - [[s0603-stuxnet|Stuxnet]] - worm histórico que usou encoding para proteger comúnicações e código de análise forense - [[s0053-seaduke|SeaDuke]] - malware do APT29 que emprega Base64 em comúnicações C2 para evadir detecção - [[s1160-latrodectus|Latrodectus]] - loader moderno que usa Base64 para codificar payloads de segundo estágio - [[s1196-troll-stealer|Troll Stealer]] - stealer do [[g0032-lazarus-group|Lazarus Group]] com encoding de C2 customizado sobre Base64 - [[sysupdate|SysUpdaté]] - malware chinês que usa encoding de múltiplas camadas (Base64 + XOR) em C2 --- *Fonte: [MITRE ATT&CK - T1132.001](https://attack.mitre.org/techniques/T1132/001)*