t1573-002-asymmetric-cryptography

# T1573.002 - Asymmetric Cryptography ## Técnica Pai Esta é uma sub-técnica de [[t1573-encrypted-channel|T1573 - T1573 - Encrypted Channel]]. ## Descrição Adversários empregam criptografia assimétrica para proteger o canal de comando e controle (C2), tornando o tráfego opaco à inspeção de segurança convencional. Na criptografia assimétrica - também chamada de criptografia de chave pública - cada parte possui um par de chaves: uma pública, distribuída livremente, e uma privada, mantida em segredo. O remetente cifra os dados com a chave pública do destinatário, e somente a chave privada correspondente permite a decifragem. Algoritmos amplamente utilizados nesse contexto incluem RSA (2048 ou 4096 bits), ElGamal e, cada vez mais, curvas elípticas (ECDH/ECDSA). O resultado prático é que mesmo que analistas capturem o tráfego de rede completo, sem a chave privada do servidor C2 o conteúdo permanece ilegível. Na prática, a maioria dos protocolos seguros - incluindo TLS/SSL, SSH e HTTPS - usa criptografia assimétrica apenas na fase de handshake para estabelecer ou trocar uma chave de sessão simétrica, e depois migra para criptografia simétrica (AES, ChaCha20) por questões de performance. Adversários sofisticados replicam esse padrão em seus implantes customizados: o malware embute a chave pública do servidor C2 em seu código, usa RSA ou ECDH para negociar uma chave de sessão AES no primeiro contato, e toda comunicação subsequente flui cifrada simetricamente. Esse modelo é funcionalmente indistinguível de tráfego HTTPS legítimo para soluções que não realizam inspeção SSL/TLS. **Contexto Brasil/LATAM:** O uso de criptografia assimétrica em canais C2 representa um desafio significativo para equipes de segurança no Brasil, onde a adoção de inspeção SSL/TLS em firewalls de próxima geração ainda não é universal - especialmente em empresas de médio porte. Grupos como [[g1039-redcurl|RedCurl]], documentados com operações contra empresas brasileiras, e o [[g0080-cobalt-group|Cobalt Group]], ativo no setor financeiro latino-americano, utilizam canais C2 com TLS customizado baseado em RSA para exfiltrar dados corporativos durante semanas sem detecção. O [[g1051-medusa-ransomware|Medusa Group]], operador do ransomware MedusaLocker com vítimas confirmadas no Brasil, usa comunicação C2 criptografada com RSA para receber chaves de decifragem e comandos de ransomware de forma protegida. ## Attack Flow ```mermaid graph TB A([Implante<br/>Instalado]) --> B([Geração de<br/>Chave de Sessão]) B --> C{T1573.002\nCriptografia\nAssimétrica}:::highlight C --> D([Canal C2<br/>Cifrado Ativo]) D --> E([Exfiltração /<br/>Comandos Recebidos]) classDef highlight fill:#e74c3c,color:#fff,stroke:#c0392b,stroke-width:2px ``` ## Como Funciona **1. Preparação** Durante o desenvolvimento do malware, o adversário gera um par de chaves RSA (tipicamente 2048 ou 4096 bits) ou um par de curvas elípticas. A chave pública é incorporada diretamente no binário do implante - muitas vezes ofuscada ou dividida em segmentos para dificultar extração por analistas de malware. A chave privada permanece exclusivamente no servidor C2 do adversário. Alguns implantes sofisticados como [[s0022-uroburos|Uroburos]] implementam esquemas de chave dupla, onde uma chave assimétrica protege a distribuição de chaves simétricas rotacionadas periodicamente, aumentando ainda mais a resiliência do canal. **2. Execução** Ao se instalar no sistema comprometido, o implante realiza o primeiro contato com o servidor C2. Nesse handshake inicial, o malware gera uma chave de sessão AES aleatória localmente, cifra-a com a chave pública RSA embarcada e envia ao servidor C2. O servidor descriptografa a chave de sessão com sua chave privada e confirma o estabelecimento do canal. A partir deste ponto, todos os comandos enviados pelo C2 e todos os dados exfiltrados pelo implante trafegam cifrados com AES - tráfego que, sem a chave RSA privada, não pode ser decriptado mesmo com captura completa do tráfego de rede. Implantes como [[s0615-sombrat|SombRAT]] e [[s0534-bazar|Bazar]] empregam variações desse protocolo, frequentemente sobre HTTPS com certificados autoassinados ou certificados válidos de serviços legítimos de nuvem para parecerem tráfego legítimo. **3. Pós-execução** Com o canal C2 estabelecido e protegido por criptografia assimétrica, o adversário opera com alto grau de confiança de que sua comunicação não será interceptada ou decodificada. Comandos são enviados em intervalos configuráveis (beaconing), permitindo controle remoto persistente. Dados exfiltrados - credenciais coletadas por [[t1555-003-credentials-from-web-browsers|T1555.003]], arquivos sensíveis, capturas de tela - são cifrados antes de sair da rede corporativa, frustrando soluções de DLP que não realizam inspeção SSL. Em campanhas de longo prazo de grupos como [[g0010-turla|Turla]] e [[g0049-oilrig|OilRig]], esse canal permanece ativo por meses ou anos sem detecção. ## Detecção **Event IDs e indicadores relevantes:** | Indicador | Fonte | Descrição | |-----------|-------|-----------| | JA3/JA3S fingerprint anômalo | Firewall / NDR | Fingerprint TLS de implantes customizados difere de clientes legítimos; correlacionar com bases de fingerprints conhecidos de malware | | Certificado autoassinado ou expirado | Proxy / Firewall NGFW | C2 customizado frequentemente usa certificados inválidos - alertar para conexões HTTPS com certificados não confiáveis para destinos não categorizados | | Beaconing regular (jitter baixo) | SIEM / NDR | Comúnicações C2 exibem intervalos regulares de beacon; detectar processos realizando conexões de saída em intervalos regulares para o mesmo IP/domínio | | Processo não-browser iniciando TLS | EDR | Processos como `svchost.exe`, `rundll32.exe` ou aplicativos de linha de negócio realizando handshake TLS direto sem passar por proxy corporativo | | Volume assimétrico de dados | NDR | Canais C2 tipicamente enviam pouco dado (comandos) e recebem muito (dados exfiltrados) - ou vice-versa, dependendo da fase - padrão diferente de tráfego web legítimo | **Sigma Rule:** ```yaml title: Suspicious TLS Connection from Non-Browser Process id: d8f1c342-7a29-4e6b-b183-5c9d2e8f1a74 status: experimental description: Detecta processos não-browser estabelecendo conexões TLS diretas, possível indicativo de canal C2 com criptografia assimétrica author: RunkIntel daté: 2026-03-24 logsource: product: windows category: network_connection detection: selection: Initiated: 'true' DestinationPort: - 443 - 8443 - 4443 filter_browsers: Image|endswith: - '\chrome.exe' - '\firefox.exe' - '\msedge.exe' - '\brave.exe' - '\iexplore.exe' - '\opera.exe' filter_system: Image|endswith: - '\svchost.exe' - '\lsass.exe' - '\services.exe' Image|startswith: - 'C:\Windows\System32\' filter_known_apps: Image|contains: - '\Microsoft\Teams\' - '\Zoom\bin\' - '\Slack\slack.exe' condition: selection and not 1 of filter_* falsepositives: - Aplicativos corporativos legítimos com comúnicação TLS direta - Agentes de EDR e antivírus com canais de atualização próprios level: medium tags: - attack.command_and_control - attack.t1573.002 ``` ## Mitigação | Controle | Mitigação MITRE | Recomendação para Organizações Brasileiras | |----------|-----------------|-------------------------------------------| | Inspeção SSL/TLS no perímetro | [[TLS Inspection]] | Implementar inspeção TLS em firewall de próxima geração para todo tráfego de saída; organizações brasileiras frequentemente pulam esse controle por preocupações de privacidade - definir política clara de categorias inspecionadas vs. excluídas (ex: banking) | | Prevenção de intrusão de rede | [[m1031-network-intrusion-prevention\|M1031 - Network Intrusion Prevention]] | Usar assinaturas IPS atualizadas para fingerprints de C2 conhecidos (JA3 hashes de Cobalt Strike, Metasploit, etc.); soluções NDR com ML podem identificar padrões de beaconing mesmo em tráfego cifrado | | Controle de aplicação | Política de rede | Implementar allowlist de processos autorizados a realizar conexões TLS diretas; bloquear conexões de saída de processos não catalogados via NGFW com inspeção de processo (IDFW) | | Proxy de saída obrigatório | Arquitetura de rede | Forçar todo tráfego web pelo proxy corporativo (negar saída direta na porta 443 para estações de trabalho); C2 que não suporta proxy frequentemente falha nesse ambiente | | Análise de certificados | Threat Hunting | Catalogar certificados TLS vistos na rede; alertar para certificados autoassinados, CNs genéricos ou certificados emitidos por CAs incomuns conectando a IPs externos não categorizados | ## Threat Actors - [[g1018-ta2541|TA2541]] - grupo de crime eletrônico que usa RATs com canal C2 TLS personalizado baseado em RSA contra alvos nos setores de aviação, defesa e governo; ativo com campanhas documentadas nas Américas - [[g1047-velvet-ant|Velvet Ant]] - APT chinês que implantou backdoors com comunicação C2 assimétrica em redes de fabricação por mais de três anos sem detecção, explorando dispositivos de rede como pivot - [[g0081-tropic-trooper|Tropic Trooper]] - grupo APT taiwanês/chinês que usa implantes com comunicação cifrada por RSA em campanhas de espionagem contra governo e setor de saúde na Ásia - [[g1039-redcurl|RedCurl]] - grupo de espionagem corporativa com operações documentadas contra empresas brasileiras; usa canais C2 HTTPS com certificados legítimos para exfiltrar propriedade intelectual por meses - [[g1051-medusa-ransomware|Medusa Group]] - operador de ransomware MedusaLocker com vítimas no Brasil que usa RSA-2048 para proteger a chave de criptografia do ransomware e o canal C2 de recepção de pagamentos - [[g1042-redecho|RedEcho]] - APT chinês vinculado a ataques à infraestrutura elétrica indiana que usa protocolo C2 customizado com criptografia assimétrica para comunicação com implantes em redes SCADA - [[g0049-oilrig|OilRig]] - APT iraniano (APT34) com décadas de operações que usa DNS-over-HTTPS e TLS customizado para C2, tornando a detecção extremamente difícil em redes sem inspeção SSL - [[g0080-cobalt-group|Cobalt Group]] - grupo de crime financeiro ativo no setor bancário latino-americano que usa Cobalt Strike com perfis de comunicação TLS customizados para simular tráfego legítimo - [[g1044-apt42|APT42]] - APT iraniano (IRGC) que usa protocolo C2 baseado em TLS com certificados de serviços legítimos (Google, Microsoft) para ocultar comunicação em tráfego corporativo normal - [[g0037-fin6|FIN6]] - grupo de crime financeiro especializado em roubo de dados de cartão de crédito que usa canais C2 criptografados por RSA para exfiltrar milhões de registros sem acionar alertas de DLP ## Software Associado - [[s0615-sombrat|SombRAT]] - backdoor modular associado ao [[g0080-cobalt-group|Cobalt Group]] que implementa protocolo C2 próprio com criptografia RSA para proteção do canal de comunicação; detectado em operações na América Latina - [[s0022-uroburos|Uroburos]] - rootkit altamente sofisticado do [[g0010-turla|Turla]] que usa criptografia assimétrica de curvas elípticas para proteger sua comunicação C2 peer-to-peer entre sistemas comprometidos - [[s0687-cyclops-blink|Cyclops Blink]] - botnet modular do [[g0034-sandworm|Sandworm Team]] que usa TLS com certificados válidos para comunicação C2 em dispositivos de rede WatchGuard e ASUS - [[s1219-reptile|REPTILE]] - rootkit Linux que usa canal C2 cifrado com criptografia assimétrica para persistência furtiva em servidores comprometidos - [[s1123-pitstop|PITSTOP]] - backdoor associado a operações do [[g0049-oilrig|OilRig]] que usa protocolo C2 customizado com RSA para comunicação em redes altamente monitoradas - [[s0455-metamorfo|Metamorfo]] - trojan bancário da família Tetrade, ativo no Brasil, que usa canal C2 cifrado para receber atualizações de configuração e enviar credenciais bancárias capturadas - [[s0018-sykipot|Sykipot]] - backdoor que usa SSL/TLS com certificados autoassinados para comunicação C2, detectado em campanhas de espionagem contra contratados de defesa - [[s0534-bazar|Bazar]] - backdoor do grupo TrickBot/Conti que usa comunicação C2 baseada em ECC (Elliptic Curve Cryptography) para alta resiliência e baixo footprint criptográfico - [[s0668-tinyturla|TinyTurla]] - backdoor minimalista do [[g0010-turla|Turla]] que usa HTTPS com certificados legítimos para comunicação C2, tornando-o difícil de detectar em ambientes com proxy de inspeção SSL parcial - [[s1141-lunarweb|LunarWeb]] - backdoor sofisticado do [[g0010-turla|Turla]] que usa protocolo C2 web-based com criptografia assimétrica, abusando de sites WordPress comprometidos como proxies de comunicação --- *Fonte: [MITRE ATT&CK - T1573.002](https://attack.mitre.org/techniques/T1573/002)*