# T1572 - Protocol Tunneling ## Descrição Protocol Tunneling é a técnica pela qual adversários encapsulam comúnicações maliciosas dentro de protocolos legítimos para escapar de controles de segurança de rede - firewalls, proxies, sistemas de filtragem de pacotes e soluções de inspeção profunda (DPI). O tráfego C2 é literalmente embrulhado dentro de protocolos amplamente permitidos, como DNS, HTTPS, SSH ou ICMP, tornando-o indistinguível, à primeira vista, do tráfego legítimo que flui pelos mesmos canais. O protocolo externo atua como envelope, enquanto o protocolo interno - muitas vezes proprietário ou alterado - carrega os comandos e as respostas do implante. Variações comuns incluem SSH port forwarding (tunelamento de portas TCP arbitrárias sobre uma conexão SSH cifrada), DNS tunneling (encoding de payloads C2 dentro de queries e respostas DNS), e DNS over HTTPS (DoH), onde as consultas de resolução de infraestrutura C2 são encapsuladas em requisições HTTPS padrão, contornando filtros tradicionais de DNS. Adversários também combinam esta técnica com [[t1090-proxy|Proxy]] e [[t1001-003-protocol-or-service-impersonation|Protocol or Service Impersonation]] para criar camadas adicionais de ofuscação sobre as comúnicações C2, dificultando ainda mais a rastreabilidade da infraestrutura maliciosa. **Contexto Brasil/LATAM:** O [[g1016-fin13|FIN13]] - grupo de cibercrime financeiro com foco histórico no México e operações documentadas na América Latina - é um dos usuários mais prolíficos de protocol tunneling na região. Instituições financeiras brasileiras reguladas pelo BACEN são alvos prioritários, especialmente porque muitos ambientes corporativos permitem tráfego DNS irrestrito por não considerarem esse protocolo como vetor de ameaça. O [[g0080-cobalt-group|Cobalt Group]], responsável por ataques a ATMs e sistemas SWIFT na região, também utiliza tunelamento para manter persistência em redes bancárias brasileiras sem acionar alertas de tráfego anômalo. A crescente adoção de ambientes híbridos (on-prem + nuvem) no Brasil amplia a superfície exposta a essa técnica. ## Attack Flow ```mermaid graph TB A([Acesso Inicial]) --> B([Estabelecimento de Implante]) B --> C([Configuração de Túnel C2]):::highlight C --> D([Comúnicação Persistente C2]):::highlight D --> E([Movimentação Lateral / Exfiltração]) classDef highlight fill:#e74c3c,color:#fff ``` ## Como Funciona ### 1. Preparação O adversário configura a infraestrutura de C2 com suporte a um ou mais protocolos de tunelamento. Para DNS tunneling, um servidor DNS autoritativo controlado pelo atacante é configurado para resolver subdomínios que codificam dados (ex.: `aGVsbG8=.c2.malicioso.com`). Para SSH tunneling, o implante no host comprometido inicia a conexão SSH de saída - protocolo frequentemente permitido em redes corporativas - em direção a um servidor controlado. Para DoH, o implante redireciona consultas DNS para resolvers públicos (como o `8.8.8.8` do Google) via HTTPS, tornando o tráfego C2 visualmente idêntico a consultas DNS legítimas. ### 2. Execução Uma vez que o túnel está estabelecido, o implante encapsula comandos e respostas dentro do protocolo externo. Em DNS tunneling, cada query carrega dados encoded em Base32/Base64 no subdomínio consultado; a resposta do servidor C2 vem codificada nos registros TXT, CNAME ou MX. Em SSH tunneling com ferramentas como [[s1144-frp|FRP]] ou [[s1189-neo-regeorg|Neo-reGeorg]], portas internas da rede da vítima são expostas ao atacante através do túnel cifrado. Ferramentas como [[s1027-heyoka-backdoor|Heyoka Backdoor]] especializam-se em tunelamento DNS de alta performance para exfiltração de grandes volumes de dados. ### 3. Pós-execução O túnel permanece ativo enquanto o implante estiver em execução, fornecendo ao adversário acesso contínuo à rede da vítima independentemente de mudanças em regras de firewall que não contemplem inspeção de conteúdo de protocolos permitidos. O adversário usa o canal para baixar ferramentas adicionais, executar comandos laterais e exfiltrar dados - tudo disfarçado como tráfego DNS, HTTPS ou SSH legítimo. A detecção tardia é comum, pois os logs de rede registram apenas o protocolo externo. ## Detecção **Event IDs relevantes (Windows e Rede):** | Event ID / Log | Fonte | O que monitorar | |----------------|-------|-----------------| | 22 (Sysmon) | Microsoft-Windows-Sysmon | DNS queries com subdomínios longos ou com alto índice de entropia (indicativo de encoding Base64/Base32) | | 3 (Sysmon) | Microsoft-Windows-Sysmon | Conexões SSH de saída iniciadas por processos não esperados (não `ssh.exe` nativo) | | 5156 (WFP) | Security | Conexões de rede em portas incomuns ou conexões SSH oriundas de processos de usuário | | DNS Queries | DNS Server / Firewall | Volume anômalo de consultas DNS para um único domínio; comprimento médio de subdomínio > 30 caracteres | | NetFlow | SIEM / NDR | Sessões SSH longas com alto volume de bytes - indicativo de túnel ativo | **Sigma Rule:** ```yaml title: DNS Tunneling - High Entropy Subdomain Queries id: b7e4a1f3-9c2d-4e8a-a5f1-2d3c6e9b0f1a status: experimental description: > Detecta consultas DNS com subdomínios de alta entropia ou comprimento anormal - padrão típico de DNS tunneling para comúnicação C2 (T1572). references: - https://attack.mitre.org/techniques/T1572/ author: RunkIntel daté: 2026-03-24 tags: - attack.command_and_control - attack.t1572 logsource: product: windows category: dns_query detection: selection_long_subdomain: QueryName|re: '^[a-zA-Z0-9+/=]{30,}\.' selection_high_frequency: QueryName|contains: - '.tk' - '.ml' - '.ga' - '.cf' filter_legit_resolvers: QueryName|endswith: - '.microsoft.com' - '.windows.com' - '.office365.com' - '.azure.com' condition: (selection_long_subdomain or selection_high_frequency) and not filter_legit_resolvers falsepositives: - CDNs e serviços legítimos com subdomínios longos - Tokens de autenticação em URLs (SAML, OAuth) level: medium ``` ## Mitigação | Controle | Mitigação MITRE | Recomendação para Organizações Brasileiras | |----------|----------------|-------------------------------------------| | Filtragem de tráfego de rede | [[m1037-filter-network-traffic\|M1037 - Filter Network Traffic]] | Bloquear resolução DNS direta nas workstations - forçar uso de resolvers internos monitorados; aplicável a bancos regulados pelo BACEN | | Inspeção de DNS | [[m1037-filter-network-traffic\|M1037 - Filter Network Traffic]] | Implantar solução de DNS Security (ex.: Cisco Umbrella, Infoblox) com análise de entropia e frequência de queries | | Prevenção de intrusão de rede | [[m1031-network-intrusion-prevention\|M1031 - Network Intrusion Prevention]] | Configurar IPS com assinaturas para DNS tunneling e SSH não autenticado em portas não padrão | | Inspeção SSL/TLS (HTTPS) | [[m1031-network-intrusion-prevention\|M1031 - Network Intrusion Prevention]] | Realizar inspeção TLS em egress points para detectar DoH não autorizado; exigido por frameworks de segurança do setor financeiro | | Controle de saída SSH | [[m1037-filter-network-traffic\|M1037 - Filter Network Traffic]] | Restringir SSH de saída a jump servers específicos - bloquear SSH para IPs externos não autorizados via firewall perimetral | ## Threat Actors - [[g1016-fin13|FIN13]] - grupo de cibercrime financeiro com foco em LATAM que usa tunelamento de protocolo para manter canais C2 persistentes em redes bancárias mexicanas e latino-americanas. - [[g0059-magic-hound|Magic Hound]] - APT iraniano (Charming Kitten) que emprega DNS tunneling em campanhas de espionagem contra setores de governo e energia. - [[g0037-fin6|FIN6]] - grupo financeiro que usa tunelamento SSH e ferramentas de tunneling para movimentação lateral em redes de varejistas e processadoras de pagamento. - [[g1045-salt-typhoon|Salt Typhoon]] - APT chinês com operações de espionagem em telecomúnicações que usa tunelamento de protocolo para persistência em infraestrutura crítica. - [[g0046-fin7|FIN7]] - grupo de cibercrime sofisticado que utiliza tunelamento para C2 em campanhas contra o setor de hospitalidade e varejo. - [[g1003-ember-bear|Ember Bear]] - APT russo (UAC-0056) com uso de tunelamento em operações de sabotagem e espionagem na Europa e América Latina. - [[g0114-chimera|Chimera]] - grupo de espionagem industrial que usa tunelamento SSH e VPN para exfiltração de propriedade intelectual de empresas de semicondutores. - [[g0049-oilrig|OilRig]] - APT iraniano que usa DNS tunneling como mecanismo primário de C2 em campanhas de longa duração contra governo e energia. - [[g0117-fox-kitten|Fox Kitten]] - cluster iraniano especializado em exploração de VPNs e tunelamento para acesso persistente a infraestruturas críticas. - [[g0080-cobalt-group|Cobalt Group]] - grupo de cibercrime financeiro responsável por ataques a bancos e ATMs em LATAM que usa tunelamento para comunicação C2 furtiva. ## Software Associado - [[s1189-neo-regeorg|Neo-reGeorg]] - ferramenta de tunelamento HTTP/HTTPS baseada em webshell, frequentemente usada para criar túneis SOCKS através de servidores web comprometidos. - [[s1027-heyoka-backdoor|Heyoka Backdoor]] - implante especializado em DNS tunneling de alta velocidade, capaz de exfiltrar dados de forma assíncrona via queries DNS. - [[s1187-regeorg|reGeorg]] - predecessor do Neo-reGeorg, webshell de tunelamento HTTP amplamente usado para pivoting em redes comprometidas. - [[s1141-lunarweb|LunarWeb]] - backdoor sofisticado que usa HTTPS como canal de tunelamento C2, confundindo-se com tráfego web legítimo. - [[s0038-duqu|Duqu]] - malware de espionagem que usa protocolos de rede customizados encapsulados em HTTP para comunicação C2. - [[s1044-funnydream|FunnyDream]] - implante APT que implementa tunelamento de protocolo para comunicação C2 discreta em ambientes corporativos. - [[s1020-kevin|Kevin]] - ferramenta de tunelamento usada em campanhas de espionagem para encapsular tráfego C2 em protocolos permitidos. - [[s0604-industroyer|Industroyer]] - malware ICS/SCADA que usa múltiplos protocolos de comunicação industrial como canais de C2 alternativos. - [[s1144-frp|FRP]] - ferramenta legítima de reverse proxy abusada por adversários para criar túneis TCP/UDP persistentes através de firewalls. - [[brute-ratel-c4|Brute Ratel C4]] - framework C2 adversarial que implementa tunelamento de protocolo para evasão de EDR e soluções de NDR. --- *Fonte: [MITRE ATT&CK - T1572](https://attack.mitre.org/techniques/T1572)*