t1219-003-remote-access-hardware

# T1219.003 - Acesso Remoto por Hardware ## Descrição Esta sub-técnica descreve o uso de dispositivos físicos de acesso remoto - como KVMs baseados em IP (TinyPilot, PiKVM) - para estabelecer um canal de controle interativo com sistemas comprometidos. Diferentemente das ferramentas de acesso remoto por software, esses dispositivos operam em nível de hardware, interceptando e retransmitindo sinais de teclado, vídeo e mouse (KVM) via rede IP. A instalação física do dispositivo geralmente ocorre após o comprometimento inicial de um alvo de alto valor, como um data center, sala de servidores corporativa ou infraestrutura crítica. Uma vez conectado à máquina-alvo via USB ou HDMI, o dispositivo passa a ser acessível remotamente pelo adversário através de uma interface web ou cliente dedicado, contornando completamente as soluções de segurança instaladas no sistema operacional - antivírus, EDR, firewall de host - porque a comunicação ocorre antes do sistema operacional processar qualquer entrada. A técnica é particularmente insidiosa porque esses dispositivos são ferramentas legítimas usadas por administradores de TI e equipes de datacenter para gerenciamento remoto de servidores sem sistema operacional carregado (bare-metal). Políticas de controle de periféricos focadas apenas em armazenamento USB frequentemente ignoram dispositivos KVM por USB, deixando uma lacuna significativa de controle. **Contexto Brasil/LATAM:** No Brasil, ataques físicos a infraestruturas de TI de organizações financeiras e de telecomúnicações são uma preocupação crescente, especialmente em cenários de insider threat e espionagem corporativa. A combinação desta técnica com [[t1092-communication-through-removable-media|T1092 - Comúnicação por Mídia Removível]] representa um vetor sofisticado para ambientes com alta segurança lógica mas controles físicos insuficientes. Setores como bancário, governo e utilities com salas de servidores de acesso restrito são os mais expostos. ## Attack Flow ```mermaid graph TB A[Acesso Físico ao Alvo] --> B[Instalação do Dispositivo KVM] B --> C[**Canal C2 por Hardware**] C --> D[Controle Interativo Remoto] D --> E[Movimentação Lateral] ``` ## Como Funciona 1. **Preparação:** O adversário obtém um dispositivo KVM IP (ex: TinyPilot ou PiKVM - hardware de baixo custo, open-source, amplamente disponível) e o pré-configura com credenciais de acesso e endpoint C2. O dispositivo pode ser camuflado fisicamente para parecer um adaptador ou hub USB legítimo. 2. **Execução:** Durante um período de acesso físico ao alvo (ataque insider, manutenção terceirizada, acesso a datacenter), o dispositivo é conectado à máquina-alvo via USB (para teclado/mouse) e HDMI ou VGA (para vídeo). O KVM IP obtém endereço de rede via DHCP ou configuração estática e começa a transmitir o sinal de vídeo e aceitar entrada de teclado/mouse via interface web. 3. **Pós-execução:** O adversário acessa o painel web do dispositivo remotamente, obtendo controle total da máquina como se estivesse fisicamente presente - incluindo acesso à BIOS/UEFI, boot de sistemas alternativos e operações que exigem intervenção física. Todo o tráfego de C2 usa protocolos de rede padrão (HTTPS, VNC sobre TLS), dificultando a distinção de tráfego administrativo legítimo. **Exemplo:** ```bash # Detecção: monitorar novos dispositivos USB conectados a servidores críticos # Evento Windows - DeviceSetupManager ou kernel PnP # Log de exemplo que indicaria conexão de dispositivo KVM suspeito: Get-WinEvent -LogName System | Where-Object { $_.Id -eq 20001 -and $_.Message -like "*USB*" } ``` ## Detecção **Fontes de dados:** Logs de inventário de hardware (SCCM/Intune), eventos de plug-and-play do sistema operacional (Event ID 20001, 20003 no Windows), logs de tráfego de rede (conexões VNC/HTTP para IPs internos inesperados), monitoramento físico por CFTV e controle de acesso a salas de servidores. ```yaml title: New USB KVM Device Connected to Server id: b2e1d093-7f4a-4c11-a823-5d9f0c3e8b17 status: experimental description: Detects connection of new USB devices to monitored servers that may indicaté KVM hardware implant logsource: category: driver_load product: windows detection: selection: EventID: - 20001 - 20003 ServiceName|contains: - 'USB' - 'HID' filter_known: DeviceDescription|contains: - 'Mouse' - 'Keyboard' condition: selection and not filter_known falsepositives: - Instalação legítima de periféricos por equipe de TI - Manutenção programada de hardware level: high tags: - attack.command_and_control - attack.t1219.003 ``` ## Mitigação | Mitigação | Recomendação Prática | |-----------|---------------------| | [[m1034-limit-hardware-installation\|M1034 - Limit Hardware Installation]] | Implementar políticas de controle de dispositivos USB via Group Policy ou solução de EDR para bloquear conexão de dispositivos não autorizados em servidores críticos; manter inventário atualizado de hardware autorizado e alertar para qualquer novo dispositivo detectado em máquinas de alta criticidade | ## Referências Cruzadas - Técnica pai: [[t1219-remote-access-tools|T1219 - Remote Access Software]] - Técnica relacionada: [[t1092-communication-through-removable-media|T1092 - Comúnicação por Mídia Removível]] - Técnica relacionada: [[t1200-hardware-additions|T1200 - Hardware Additions]] --- *Fonte: [MITRE ATT&CK - T1219.003](https://attack.mitre.org/techniques/T1219/003)* ## Notas Relacionadas - [[_defenses|Hub de Defesas]] - controles preventivos e detecções - [[t1219-remote-access-tools|T1219 - Remote Access Software]] - técnica pai