t1573-encrypted-channel

# T1573 - Canal de Comúnicação Criptografado ## Descrição Adversários utilizam algoritmos de criptografia para ocultar o tráfego de comando e controle (C2), evitando que soluções de monitoramento de rede consigam inspecionar o conteúdo das comúnicações maliciosas. A técnica é distinta do uso de protocolos com criptografia nativa - aqui, o agente malicioso implementa sua própria camada de cifragem sobre um canal de comunicação, sejá ele HTTP, DNS, ICMP ou qualquer outro protocolo. Embora a criptografia em si sejá uma prática legítima e recomendada, adversários se aproveitam dessa normalidade para esconder comandos, exfiltrar dados e receber instruções sem acionar alertas em sistemas de detecção baseados em assinaturas. A chave criptográfica frequentemente está codificada no próprio binário do malware ou em arquivos de configuração - o que, paradoxalmente, torna o artefato vulnerável a engenharia reversa por analistas. As duas sub-técnicas principais são [[t1573-001-symmetric-cryptography|T1573.001 - Criptografia Simétrica]], onde a mesma chave cifra e decifra os dados (ex: AES, RC4, XOR customizado), e [[t1573-002-asymmetric-cryptography|T1573.002 - Criptografia Assimétrica]], que utiliza pares de chaves pública/privada (ex: RSA). Malwares sofisticados como aqueles usados pelo [[g0016-apt29|APT29]] combinam as duas abordagens: assimétrica para troca inicial de chaves e simétrica para o canal de dados subsequente. **Contexto Brasil/LATAM:** No Brasil, esta técnica é amplamente utilizada por famílias de malware com foco financeiro, como o [[s0631-chaes|Chaes]], um trojan bancário voltado ao mercado brasileiro que usa canais HTTPS customizados com camadas adicionais de criptografia para se comúnicar com infraestrutura de C2. Organizações do setor financeiro e de e-commerce são os alvos mais frequentes. A presença de canais TLS para domínios com certificados recém-emitidos ou com registros DNS incomuns é um indicador relevante para equipes de SOC brasileiras. ## Attack Flow ```mermaid graph TB A[Acesso Inicial] --> B[Execução de Payload] B --> C[**Canal C2 Criptografado**] C --> D[Exfiltração de Dados] D --> E[Persistência] ``` ## Como Funciona 1. **Preparação:** O adversário compila o malware com uma chave criptográfica embutida ou com lógica para gerar a chave em tempo de execução a partir de parâmetros do ambiente (ex: hostname, data). O servidor C2 é configurado com a chave correspondente. 2. **Execução:** Após a infecção inicial, o implante estabelece conexão com o C2 usando o protocolo de transporte escolhido (geralmente HTTPS na porta 443 para misturar-se ao tráfego legítimo). Todo o conteúdo da comunicação - comandos, respostas, arquivos - é criptografado antes de ser enviado. 3. **Pós-execução:** O canal criptografado é mantido ativo por meio de beacons periódicos (check-ins). Ferramentas como [[s0198-netwire|NETWIRE]] e [[gh0st-rat|gh0st RAT]] utilizam esse padrão para receber instruções do operador sem que o conteúdo sejá legível em capturas de tráfego de rede. **Exemplo:** ```bash # Artefato detectável: conexão TLS para domínio com certificado recém-emitido # Captura com tcpdump para análise de padrão de beacon tcpdump -i eth0 -w /tmp/capture.pcap 'port 443 and host <suspicious-ip>' # Verificar intervalo de conexões - beacons regulares a cada N segundos indicam C2 ``` ## Detecção **Fontes de dados:** Logs de proxy web/NGFW, capturas de tráfego de rede (NetFlow/PCAP), EDR (eventos de rede por processo), logs de DNS, inspeção TLS (SSL inspection). ```yaml title: Suspicious Encrypted C2 Beacon Pattern id: a7f3c821-4d19-4b2e-9f01-3c8e7d6a2b54 status: experimental description: Detects periodic encrypted outbound connections consistent with C2 beaconing behavior logsource: category: network_connection product: windows detection: selection: Initiated: 'true' DestinationPort: - 443 - 8443 - 4443 filter_legit: DestinationHostname|contains: - 'microsoft.com' - 'windows.com' - 'office.com' condition: selection and not filter_legit falsepositives: - Aplicações legítimas com check-in periódico - Serviços de telemetria corporativa level: medium tags: - attack.command_and_control - attack.t1573 ``` ## Mitigação | Mitigação | Recomendação Prática | |-----------|---------------------| | [[TLS Inspection]] | Implementar inspeção TLS no perímetro (NGFW/proxy) para inspecionar tráfego criptografado de saída, especialmente para destinos desconhecidos ou recém-registrados | | [[m1031-network-intrusion-prevention\|M1031 - Network Intrusion Prevention]] | Configurar IPS com regras para detectar padrões de beaconing - conexões periódicas de curta duração para o mesmo destino externo - mesmo que o conteúdo sejá criptografado | ## Sub-técnicas - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] - [[t1573-002-asymmetric-cryptography|T1573.002 - Asymmetric Cryptography]] ## Threat Actors que Usam - [[g0081-tropic-trooper|Tropic Trooper]] - [[g0059-magic-hound|Magic Hound]] - [[g1002-bitter|BITTER]] - [[g0016-apt29|APT29]] ## Software Associado - [[s0662-rcsession|RCSession]] (malware) - [[s0498-cryptoistic|Cryptoistic]] (malware) - [[s1198-gomir|Gomir]] (malware) - [[s0631-chaes|Chaes]] (malware) - [[s1046-powgoop|PowGoop]] (malware) - [[s1012-powerless|PowerLess]] (malware) - [[s0681-lizar|Lizar]] (malware) - [[gh0st-rat|gh0st RAT]] (malware) - [[s0198-netwire|NETWIRE]] (malware) - [[s1016-macma|MacMa]] (malware) --- *Fonte: [MITRE ATT&CK - T1573](https://attack.mitre.org/techniques/T1573)*