# T1571 - Non-Standard Port ## Descrição Adversários utilizam combinações incomuns de protocolo e porta para estabelecer canais de Comando e Controle (C2) que escapam de filtros de rede tradicionais. A lógica é simples: firewalls e proxies corporativos são tipicamente configurados para inspecionar tráfego em portas padrão - HTTPS na 443, HTTP na 80, DNS na 53 - mas permitem passagem de tráfego em portas menos monitoradas. Ao operar HTTPS na porta 8080, 8443 ou 4444, ou usar protocolos legítimos em portas arbitrárias, o atacante cria um canal de comunicação que se camufla no ruído de tráfego corporativo. A técnica também pode envolver a modificação de configurações no sistema da vítima para que serviços legítimos passem a responder em portas não convencionais - usando chaves de registro no Windows ou arquivos de configuração em Linux - tornando a detecção ainda mais complexa. Malwares como [[s0367-emotet|Emotet]] e [[s1130-raspberry-robin|Raspberry Robin]] utilizam portas dinâmicas e rotação de C2 como mecanismo de resiliência, dificultando bloqueios baseados em listas estáticas de IOCs. **Contexto Brasil/LATAM:** No cenário brasileiro, o uso de portas não padronizadas é especialmente eficaz em ambientes com firewalls mal configurados ou regras permissivas herdadas de gestões anteriores - realidade comum em médias empresas e no setor público. Grupos como [[g0091-silence|Silence]], que historicamente visaram instituições financeiras brasileiras, utilizam portas alternativas para manter C2 em redes bancárias que bloqueiam categorias de destino mas não inspecionam profundamente todas as portas. [[g0032-lazarus-group|Lazarus Group]], em campanhas financeiras contra exchanges de criptomoedas na região, usa portas como 443 em servidores não-HTTPS e 8443 para mascarar tráfego de exfiltração de dados de carteiras digitais. ## Attack Flow ```mermaid graph TB A[Implant Instalado<br/>na Vítima] --> B[Seleção de<br/>Porta Alternativa] B --> C{"T1571<br/>Non-Standard Port<br/>C2 Channel"}:::highlight C --> D[C2 via HTTPS:8443<br/>ou HTTP:8080] C --> E[Protocolo Customizado<br/>em Porta Arbitrária] D --> F[Exfiltração de Dados<br/>e Recepção de Tarefas] E --> F classDef highlight fill:#e74c3c,color:#fff ``` ## Como Funciona **Preparação:** O adversário configura a infraestrutura de C2 - servidores com IPs ou domínios de aparência legítima - para escutar em portas não convencionais. Frameworks como [[s1155-covenant|Covenant]] permitem configuração de listeners em qualquer porta, e a infraestrutura é frequentemente distribuída por múltiplos provedores de nuvem para dificultar takedowns. O implant plantado na vítima é compilado com as configurações de C2 embutidas ou recebe atualizações dinâmicas de portas via protocolo DGA (Domain Generation Algorithm). **Execução:** Após a instalação do implant, este estabelece conexão de saída para o servidor C2 usando a porta configurada. O tráfego pode ser tunelado sobre protocolos legítimos - [[s1031-pingpull|PingPull]] usa ICMP como transporte, [[s1211-hannotog|Hannotog]] usa HTTP em portas aleatórias - ou pode simplesmente usar TLS em portas não-443 para confundir inspeções baseadas em padrão. Malwares como [[s0493-goldenspy|GoldenSpy]] usam a porta 9005 para comunicação C2, enquanto [[s1049-sugarush|SUGARUSH]] opera em portas configuráveis dinâmicamente pelo operador. **Pós-execução:** Uma vez que o canal C2 está estabelecido, o operador transmite tarefas ao implant e recebe dados exfiltrados de forma contínua. A rotação de portas e servidores C2 - técnica comum de [[s0367-emotet|Emotet]] e [[s0515-wellmail|WellMail]] - garante resiliência contra bloqueios reativos. Em ambientes com monitoramento maduro, atacantes como [[g0034-sandworm|Sandworm Team]] utilizam a técnica em combinação com serviços legítimos de nuvem para tornar o tráfego ainda mais difícil de distinguir do legítimo. ## Detecção **Event IDs e fontes de dados relevantes:** | Fonte | Log / Evento | Indicador | |-------|-------------|-----------| | Firewall / NGFW | Flow logs | Tráfego TLS em portas != 443/8443 de destino externo | | Proxy corporativo | Access logs | Requisições HTTP/HTTPS em portas não padrão contornando proxy | | Sysmon (Windows) | Event ID 3 | Conexões de rede iniciadas por processos incomuns em portas >= 1024 | | Zeek / Suricata | conn.log / alerts | Handshakes TLS em portas não catalogadas como HTTPS | | DNS | Query logs | Resolução frequente de domínios jovens seguida de conexão em porta incomum | **Sigma Rule:** ```yaml title: Network Connection to Non-Standard Port by Common Process id: 9e4f2c1a-7b3d-4e5f-8a6c-0b1d2e3f4a5c status: experimental description: > Detecta conexões de saída em portas não padrão iniciadas por processos comuns - indicativo de C2 usando T1571 para evadir filtros de rede. logsource: product: windows category: network_connection detection: selection: Initiated: 'true' Image|endswith: - '\powershell.exe' - '\cmd.exe' - '\rundll32.exe' - '\regsvr32.exe' - '\mshta.exe' - '\wscript.exe' - '\cscript.exe' filter_standard_ports: DestinationPort: - 80 - 443 - 53 - 25 - 587 - 465 - 22 - 21 condition: selection and not filter_standard_ports falsepositives: - Aplicações legítimas que usam portas não padrão (ex: aplicações corporativas customizadas) - Ferramentas de desenvolvimento e teste level: medium tags: - attack.command_and_control - attack.t1571 ``` ## Mitigação | Controle | Mitigação | Recomendação para Organizações Brasileiras | |----------|-----------|---------------------------------------------| | M1030 | [[m1030-network-segmentation\|M1030 - Network Segmentation]] | Implementar política de deny-by-default em firewall de saída; permitir apenas portas explicitamente necessárias por aplicação | | M1031 | [[m1031-network-intrusion-prevention\|M1031 - Network Intrusion Prevention]] | Configurar IPS com assinaturas para detectar TLS em portas não padrão e protocolos C2 conhecidos | | Inspeção de tráfego TLS | SSL/TLS Inspection | Implementar SSL Inspection no proxy corporativo - captura C2 HTTPS em qualquer porta | | Política de egress rigorosa | Firewall / NGFW | Bloquear todo tráfego de saída exceto por proxy autenticado; eficaz contra a maioria dos implants C2 | | Baseline de tráfego | NDR / NTA | Estabelecer linha de base de tráfego por aplicação e alertar sobre desvios - portas novas usadas por processos conhecidos são indicativo forte | | Threat intelligence de portas C2 | SIEM | Integrar feeds de IOCs com portas C2 conhecidas (abuse.ch, CISA) para bloqueio reativo automatizado | ## Threat Actors que Usam - [[g0090-wirte|WIRTE]] - grupo pró-Palestina que usa portas alternativas em campanhas de espionagem contra governos do Oriente Médio para evadir firewalls governamentais - [[g0091-silence|Silence]] - grupo especializado em ataques a bancos; historicamente usou portas customizadas para manter C2 em redes financeiras brasileiras e do leste europeu - [[g1052-contagious-interview|Contagious Interview]] - campanha do [[g0032-lazarus-group|Lazarus Group]] que usa portas não padrão em C2 de malware distribuído via falsas entrevistas de emprego em plataformas de tecnologia - [[g1042-redecho|RedEcho]] - APT chinês que visou infraestrutura elétrica indiana usando portas alternativas para camuflar comúnicações C2 em tráfego de rede industrial (ICS/SCADA) - [[g1003-ember-bear|Ember Bear]] - grupo russo que usa portas não convencionais em implants implantados em infraestrutura crítica ucraniana como parte de operações de sabotagem - [[g0050-apt32|APT32]] - grupo vietnamita (OceanLotus) ativo na região LATAM; usa HTTPS em portas não padrão como mecanismo de C2 em campanhas contra empresas brasileiras de manufatura e energia - [[g1047-velvet-ant|Velvet Ant]] - APT chinês que configurou dispositivos de rede comprometidos para escutar em portas alternativas, criando infraestrutura C2 persistente dentro da rede da vítima - [[g0034-sandworm|Sandworm Team]] - grupo russo responsável por ataques destrutivos a infraestrutura crítica; usa portas não padrão para garantir resiliência de C2 mesmo após resposta a incidentes parcial - [[g0032-lazarus-group|Lazarus Group]] - grupo norte-coreano altamente sofisticado com histórico de ataques financeiros na LATAM; usa portas 8443 e customizadas em malware direcionado a exchanges de criptomoedas - [[g0046-fin7|FIN7]] - grupo criminoso de alto impacto com ataques documentados a varejo e hospitalidade no Brasil; usa portas alternativas em frameworks de C2 como [[s1155-covenant|Covenant]] para evadir detecção ## Software Associado - [[s1211-hannotog|Hannotog]] - backdoor com módulo de C2 configurável para operar em qualquer porta; implantado em campanhas de espionagem na Ásia e América Latina - [[s1031-pingpull|PingPull]] - RAT do grupo GALLIUM que tunela C2 via ICMP, HTTP ou TLS em portas alternativas para evadir inspeção de tráfego em alvos de telecomúnicações - [[s0367-emotet|Emotet]] - um dos malwares mais distribuídos globalmente; usa lista dinâmica de IPs e portas C2 não padrão para garantir resiliência contra bloqueios de IOC - [[s0491-strongpity|StrongPity]] - APT que distribui malware disfarçado de software legítimo; C2 opera em portas 443 e 80 em servidores incomuns para camuflar tráfego - [[s0428-poetrat|PoetRAT]] - RAT que usa porta 8080 para C2 HTTP em campanhas contra setor de energia no Azerbaijão e regiões adjacentes - [[s0493-goldenspy|GoldenSpy]] - malware descoberto em software de impostos chinês; usa porta 9005 TCP para C2 oculto em sistemas corporativos de empresas que operam na China - [[s1155-covenant|Covenant]] - framework C2 open-source frequentemente abusado por grupos criminosos; suporta listeners em qualquer porta, tornando-o popular em ataques a infraestrutura brasileira - [[s1049-sugarush|SUGARUSH]] - backdoor com porta C2 configurável dinâmicamente pelo operador via protocolo de atualização embutido - [[s1130-raspberry-robin|Raspberry Robin]] - worm distribuído via USB com C2 rotativo usando portas e domínios variáveis; crescente presença em incidentes brasileiros de manufatura - [[s0515-wellmail|WellMail]] - backdoor leve usado pelo APT29 que se comúnica via SMTP em porta não padrão para camuflar C2 como tráfego de e-mail corporativo --- *Fonte: [MITRE ATT&CK - T1571](https://attack.mitre.org/techniques/T1571)*