# T1219 - Ferramentas de Acesso Remoto ## Descrição Ferramentas de acesso remoto (RATs comerciais e legítimos) são amplamente utilizadas por administradores de TI para suporte técnico, manutenção e gerenciamento de infraestrutura. O problema é que adversários exploram exatamente esse contexto legítimo para estabelecer canais de comando e controle dentro das redes das vítimas sem levantar suspeitas. Ao instalar um software como AnyDesk, TeamViewer ou ConnectWise ScreenConnect em um endpoint comprometido, o atacante consegue uma sessão gráfica interativa que, do ponto de vista do firewall, parece tráfego corporativo normal. A grande vantagem dessa técnica para o atacante é a redundância de acesso. Mesmo que o vetor de comprometimento original sejá detectado e removido, a ferramenta de acesso remoto persiste como canal secundário. Muitos agentes de ameaça a utilizam durante operações de ransomware, espionagem corporativa e movimentação lateral - o atacante opera como se fosse um técnico remoto legítimo, com acesso à interface gráfica completa da máquina. Além dos softwares de desktop remoto, a técnica abrange ferramentas de gerenciamento via linha de comando, tunelamento via ambientes de desenvolvimento (IDE tunneling), e até soluções de acesso físico remoto por hardware (KVM over IP). Em alguns casos, recursos de acesso remoto embutidos em soluções EDR e ferramentas defensivas também são abusados, o que torna a detecção ainda mais desafiadora. **Contexto Brasil/LATAM:** O Brasil figura entre os países com maior incidência de ataques envolvendo ferramentas de acesso remoto abusadas, especialmente no setor financeiro e de saúde. Grupos como [[g0008-carbanak|Carbanak]] e [[g0046-fin7|FIN7]] têm histórico de uso intensivo de RATs comerciais em campanhas contra bancos e varejistas. O crescimento do trabalho remoto pós-pandemia normalizou o uso de AnyDesk e TeamViewer em ambientes corporativos brasileiros, tornando detecção baseada apenas em presença do software práticamente inviável. Campanhas de BEC (Business Email Compromise) direcionadas a empresas brasileiras frequentemente utilizam essas ferramentas como etapa de consolidação pós-phishing. ## Attack Flow ```mermaid graph TB A[Acesso Inicial<br/>T1566 Phishing] --> B[Execução<br/>T1059] B --> C[**T1219<br/>Ferr. Acesso Remoto**] C --> D[Movimentação Lateral<br/>T1021] D --> E[Exfiltração / Impacto<br/>T1486] ``` ## Como Funciona **1. Preparação** O adversário seleciona uma ferramenta de acesso remoto legítima - de preferência uma já presente ou tolerada no ambiente alvo. Ferramentas como AnyDesk, TeamViewer, ScreenConnect (ConnectWise) e Zoho Assist são comuns. A ferramenta pode ser baixada diretamente do site oficial ou implantada como parte de um payload de segundo estágio por malware como [[s0266-trickbot|TrickBot]] ou [[s0384-dridex|Dridex]]. **2. Execução** A ferramenta é instalada silenciosamente via linha de comando, muitas vezes como serviço do Windows para garantir persistência automática com o sistema. Configurações de instalação desatendida (flags `--silent`, `--install`) evitam diálogos de UI que alertariam o usuário. A instalação cria um [[t1543-003-windows-service|serviço Windows]] e uma entrada de inicialização automática. **3. Pós-execução** Com a sessão estabelecida, o adversário tem acesso gráfico ou de linha de comando ao sistema. A partir daí, pode realizar movimentação lateral via [[t1021-001-remote-desktop-protocol|RDP]], exfiltrar arquivos, implantar ransomware como o utilizado por [[g1032-inc-ransom|INC Ransom]] e [[g1051-medusa-ransomware|Medusa Group]], ou simplesmente manter acesso persistente por semanas sem ser detectado. **Exemplo:** ```bash # Artefato de detecção: instalação silenciosa do AnyDesk via linha de comando # Este padrão de execução é indicador de comprometimento quando iniciado por processo não-interativo AnyDesk.exe --install "C:\ProgramData\AnyDesk" --start-with-win --silent # Fonte de dados: Process creation logs (Sysmon Event ID 1 / Windows Event 4688) ``` ## Detecção **Fontes de dados:** Sysmon Event ID 1 (criação de processo), Windows Event 4688, logs de firewall de saída, EDR telemetry (comportamento de processo), inventário de software instalado, DNS queries para domínios conhecidos de RATs. ```yaml title: Remote Access Tool Silent Installation id: 7f3a1c2d-8e4b-4f9a-bc12-3d5e6f7a8b9c status: experimental description: Detects silent installation of commercial remote access tools often abused by threat actors logsource: category: process_creation product: windows detection: selection: Image|endswith: - '\AnyDesk.exe' - '\TeamViewer.exe' - '\ScreenConnect.ClientService.exe' - '\ZohoAssist.exe' CommandLine|contains: - '--silent' - '--install' - '--nostart' condition: selection falsepositives: - Administrative deployment via software management tools (SCCM, Intune) - IT helpdesk legitimate installations level: medium tags: - attack.command_and_control - attack.t1219 ``` ## Mitigação | Mitigação | Recomendação Prática | |-----------|---------------------| | [[m1042-disable-or-remove-feature-or-program\|M1042 - Disable or Remove Feature or Program]] | Remover ou bloquear RATs comerciais não autorizados via GPO e allowlisting de aplicações | | [[m1038-execution-prevention\|M1038 - Execution Prevention]] | Implementar allowlisting (ex: Windows Defender Application Control) para bloquear instalação de binários não aprovados | | [[m1037-filter-network-traffic\|M1037 - Filter Network Traffic]] | Bloquear no firewall os domínios e IPs de relay dos principais RATs comerciais (anydesk.com relay servers, TeamViewer relay IPs) | | [[m1031-network-intrusion-prevention\|M1031 - Network Intrusion Prevention]] | Configurar IPS/NDR para detectar fingerprints de protocolo de RATs comerciais no tráfego de rede | | [[m1034-limit-hardware-installation\|M1034 - Limit Hardware Installation]] | Restringir instalação de dispositivos KVM over IP e hardware de acesso remoto não autorizado | ## Sub-técnicas - [[t1219-001-ide-tunneling|T1219.001 - IDE Tunneling]] - [[t1219-002-remote-desktop-software|T1219.002 - Remote Desktop Software]] - [[t1219-003-remote-access-hardware|T1219.003 - Remote Access Hardware]] ## Software Relacionado - [[s0384-dridex|Dridex]] - dropper de RATs em campanhas financeiras - [[s0266-trickbot|TrickBot]] - frequentemente implanta ferramentas de acesso remoto como segundo estágio - [[g0008-carbanak|Carbanak]] - usa RATs para controle persistente em redes bancárias - [[s0554-egregor|Egregor]] - ransomware que abusa de ferramentas legítimas pré-implantação de payload --- *Fonte: [MITRE ATT&CK - T1219](https://attack.mitre.org/techniques/T1219)*