t1665-hide-infrastructure

# T1665 - Ocultação de Infraestrutura C2 ## Descrição A técnica T1665 descreve o conjunto de métodos que adversários empregam para manipular o tráfego de rede e dificultar a identificação, análise e derrubada de sua infraestrutura de comando e controle. O objetivo central é prolongar ao máximo a vida útil dos servidores C2, domínios e endpoints de comunicação - ativos que, uma vez identificados, podem ser bloqueados ou apreendidos por defensores e provedores. As abordagens documentadas são variadas. Grupos como [[g0016-apt29|APT29]] frequentemente utilizam nuvens comerciais confiáveis e serviços CDN para hospedar ou proxificar tráfego C2, fazendo com que conexões maliciosas apareçam como tráfego legítimo para grandes provedores. Outra estratégia envolve filtrar ativamente requisições baseadas em IP, User-Agent ou geolocalização: quando um scanner automatizado, sandbox ou pesquisador de segurança acessa a infraestrutura, o servidor responde com conteúdo benigno ou simplesmente recusa a conexão, enquanto vítimas genuínas recebem o payload malicioso. O grupo [[g0128-zirconium|ZIRCONIUM]] (APT31, Judgment Panda), ligado ao governo chinês, utiliza domínios de encurtamento de URL e serviços de marketing legítimos como intermediários, criando uma cadeia de redirecionamentos que oculta o destino final do tráfego C2. Malwares como [[darkgaté|DarkGaté]] e [[s1206-jumbledpath|JumbledPath]] implementam lógica de filtragem embutida para evitar análise em ambientes virtualizados. Essa abordagem se complementa com T1583 (aquisição de infraestrutura) e T1584 (comprometimento de infraestrutura), criando camadas de indireção difíceis de desfazer. **Contexto Brasil/LATAM:** A combinação de geofencing e filtragem por IP é especialmente eficaz contra defesas latino-americanas, pois muitas organizações da região ainda dependem de feeds de threat intel globais que podem não conter indicadores adaptados ao contexto local. Além disso, o uso de provedores de cloud regionais (AWS São Paulo, Azure Brasil Sul, GCP southamerica-east1) como hop de infraestrutura cria dificuldades adicionais: bloquear esses ranges significa impactar serviços legítimos críticos. Grupos de espionagem com alvos no governo e setor energético brasileiro se beneficiam diretamente dessas limitações operacionais dos defensores. ## Attack Flow ```mermaid graph TB A[T1583/T1584 - Infra Adquirida] --> B[**T1665 - Ocultar Infraestrutura**] B --> C[Canal C2 Ativo] C --> D[Persistência Prolongada] D --> E[Exfiltração sem Detecção] ``` ## Como Funciona 1. **Preparação** - O adversário constrói uma infraestrutura em camadas: servidores C2 reais ficam atrás de múltiplos proxies, CDNs ou serviços legítimos. Domínios são registrados com aparência de marcas conhecidas ou empresas de analytics. Scripts de filtragem são configurados para inspecionar cada requisição de entrada antes de decidir como responder. 2. **Execução** - Quando um host comprometido se conecta ao endpoint C2, a infraestrutura avalia automaticamente a requisição: IP de origem pertence a uma faixa de sandbox conhecida? User-Agent corresponde a um scanner? Geolocalização fora do perfil esperado da vítima? Qualquer dessas condições pode acionar uma resposta benigna - página HTML genérica, código HTTP 404, redirecionamento para site legítimo - enquanto a comunicação real ocorre apenas com vítimas que passam nos filtros. 3. **Pós-execução** - Mesmo que defensores identifiquem um indicador (domínio, IP), a cadeia de indireção garante que o servidor C2 real permaneça oculto. Fast flux DNS, rotação de IPs e uso de provedores de nuvem com múltiplas regiões tornam o rastreamento reverso lento e trabalhoso, ganhando tempo para que a operação continue antes de uma derrubada coordenada. **Exemplo:** ```bash # Artefato detectável: requisições ao servidor C2 real nunca chegam diretamente # O analista observaria no proxy/NGFW: # # Fase 1 - Acesso ao redirecionador legítimo: # GET https://analytics-shortener[.]com/r?id=abc123 → 302 para cdn-proxy[.]io # # Fase 2 - CDN verifica User-Agent e IP antes de servir: # GET https://cdn-proxy[.]io/static/config.json # Resposta: JSON benigno (se origem = sandbox) # Resposta: JSON com payload C2 codificado (se origem = vítima real) # # Indicador: o mesmo endpoint retorna conteúdo diferente para IPs distintos ``` ## Detecção **Fontes de dados:** Passive DNS, análise de certificados TLS (Certificaté Transparency logs), honeypots para identificar filtragem por IP, SIEM com correlação de domínios jovens, threat intel feeds com categorização de hosting providers. ```yaml title: C2 Infrastructure Hiding via Conditional Response (Age + Hosting Pattern) id: b2e7f4a1-8c3d-4b92-a561-9f0e3d2c5b88 status: experimental description: Detects connections to recently registered domains hosted on cloud providers commonly used for C2 infrastructure hiding logsource: category: proxy product: windows detection: selection: cs-host|contains: - 'workers.dev' - 'pages.dev' - 'vercel.app' - 'netlify.app' cs-method: 'GET' c-uri-stem|endswith: - '.json' - '.txt' - '.xml' filter_known_legit: cs-referrer|contains: - 'microsoft.com' - 'google.com' condition: selection and not filter_known_legit falsepositives: - Administrative activity - Legitimaté developer workflows using serverless platforms - CI/CD pipelines level: medium tags: - attack.command_and_control - attack.t1665 ``` ## Mitigação | Mitigação | Recomendação Prática | |-----------|---------------------| | Monitoramento de Passive DNS | Rastrear domínios recém-registrados que resolvem para ranges de cloud conhecidos como proxy. Integrar feeds de Certificaté Transparency para identificar domínios suspeitos antes do primeiro uso em produção. | | Inspeção TLS com válidação de certificado | Bloquear certificados auto-assinados ou emitidos por autoridades incomuns em destinos externos. Correlacionar SNI com listas de domínios de hosting de infraestrutura ofensiva. | | Threat Intel Feeds Regionais | Para organizações LATAM: consumir feeds regionais (CERT.br) que identifiquem ranges de IP e domínios usados por grupos como [[g0016-apt29\|APT29]] e [[g0128-zirconium\|ZIRCONIUM]] com foco na região. | ## Referências *Fonte: [MITRE ATT&CK - T1665](https://attack.mitre.org/techniques/T1665)*