# T1110 - Brute Force > [!abstract] Resumo Técnico > **Tática:** Credential Access | **Plataformas:** Windows, Linux, macOS, Cloud, Containers, Network Devices, SaaS, ESXi > Adversários tentam adivinhar credenciais de forma sistemática e repetitiva para obter acesso não autorizado a contas, sistemas e serviços. A técnica abrange desde ataques online contra serviços expostos até o craqueamento offline de hashes obtidos em vazamentos ou dumps de credenciais. ## Descrição **T1110 - Brute Force** é uma das técnicas mais antigas e ainda amplamente utilizadas em ataques cibernéticos. Consiste na tentativa sistemática de adivinhar credenciais (senhas, PINs, tokens) por meio de iteração repetitiva, sejá contra serviços online ou de forma offline contra hashes capturados. A técnica se divide em quatro modalidades principais, cada uma com perfil de risco e aplicabilidade distintos: - **[[t1110-001-password-guessing|T1110.001 - Password Guessing]]:** Tentativas online com senhas prováveis baseadas em padrões humanos (nomes, datas, variações de palavras comuns). Menos ruidoso que força bruta pura, mas mais lento. - **[[t1110-002-password-cracking|T1110.002 - Password Cracking]]:** Cracking offline de hashes capturados via NTLM, bcrypt, SHA, etc. Usa wordlists, regras de mutação e ataques de máscara. Não gera tráfego de rede ao alvo. - **[[t1110-003-password-spraying|T1110.003 - Password Spraying]]:** Uma ou poucas senhas testadas contra muitos usuários. Evita lockouts de conta ao distribuir tentativas. Altamente eficaz contra políticas de senha fracas. - **[[t1110-004-credential-stuffing|T1110.004 - Credential Stuffing]]:** Uso de pares usuário+senha vazados em outros breaches para tentar autenticação em novos serviços. Eficaz em ambientes com reutilização de senha. O ataque de força bruta pode ocorrer em diferentes momentos do ciclo de ataque: como vetor de Acesso Inicial contra serviços expostos (VPN, RDP, SSH, OWA), ou como técnica pós-comprometimento para escalada de privilégios usando credenciais obtidas via [[t1003-os-credential-dumping|OS Credential Dumping]] ou [[t1087-account-discovery|Account Discovery]]. Quando combinado com [[t1133-external-remote-services|External Remote Services]], o brute force se torna um vetor poderoso de acesso inicial a redes corporativas. Grupos como [[g0096-apt41|APT41]], [[g0082-apt38|APT38]], [[g0049-oilrig|OilRig]] e [[g0010-turla|Turla]] utilizam variantes desta técnica como componente padrão de suas operações, tanto para Acesso Inicial quanto para movimentação lateral. No contexto de crime financeiro, [[g0053-fin5|FIN5]] e [[g0105-darkvishnya|DarkVishnya]] documentaram uso extensivo de brute force contra serviços de acesso remoto corporativo. ## Como Funciona ### Brute Force Online (Serviços Expostos) O adversário realiza tentativas de autenticação diretamente contra serviços expostos na internet ou na rede interna. Os alvos mais comuns incluem: - **RDP (3389):** Protocolo de desktop remoto - alvo frequente em campanhas de ransomware e acesso inicial - **SSH (22):** Servidores Linux/Unix - alvo de botnet e APTs contra servidores cloud - **OWA/Exchange:** Webmail corporativo - usado em password spraying contra domínios corporativos - **VPN endpoints:** Pulse Secure, Fortinet SSL VPN, Cisco AnyConnect - alvo de Fox Kitten e grupos iraniano - **SMB (445):** Para autenticação NTLM em redes internas - **LDAP/Active Directory:** Para credential stuffing contra domínios corporativos - **APIs SaaS:** Okta, Microsoft 365, Salesforce - credential stuffing em larga escala ### Password Spraying - O Método Silencioso O password spraying é a variante preferida para ambientes com políticas de lockout. Em vez de tentar muitas senhas para um usuário, o adversário testa uma senha comum (ex: `Empresa@2025`, `Primavera2025`, `Senha123!`) contra todos os usuários do domínio, depois espera horas antes da próxima rodada - ficando abaixo do threshold de lockout. ### Cracking Offline - Alta Taxa de Sucesso Quando o adversário obtém hashes de senha (via dump do SAM, NTDS.dit, vazamento de banco de dados), o cracking ocorre localmente sem interação com o alvo. Ferramentas como Hashcat e John the Ripper utilizam aceleração GPU para testar bilhões de combinações por segundo. Hashes NTLM de senhas fracas (< 10 caracteres) podem ser quebrados em minutos com hardware moderno. ### Credential Stuffing em Escala Com bilhões de pares credenciais disponíveis em dumps públicos (Collections #1-#5, RockYou2021, etc.), o credential stuffing automatizado contra portais web é altamente eficaz dado que pesquisas indicam que ~65% dos usuários reutilizam senhas entre serviços. Ferramentas como OpenBullet e SentryMBA são amplamente utilizadas por grupos criminosos para automação em larga escala. ## Attack Flow ```mermaid graph TB A[Reconhecimento<br/>Enumeração de usuários e serviços] --> B{Modalidade de ataque} B -->|Credenciais em mãos| C[Password Cracking Offline<br/>Hashcat / John the Ripper] B -->|Serviço exposto online| D{Estrategia online} B -->|Credenciais de breach| E[Credential Stuffing<br/>Pares user+senha de vazamentos] D -->|Múltiplos usuários\num alvo cada| F[Password Spraying<br/>T1110.003] D -->|Um usuário\nmuitas senhas| G[Password Guessing<br/>T1110.001] C --> H[Hash quebrado<br/>Senha em texto claro obtida] E --> I[Testes de autenticação<br/>em múltiplos serviços] F --> J[Autenticação bem-sucedida<br/>Abaixo do threshold de lockout] G --> J H --> K[Autenticação com<br/>credencial válida] I --> J J --> L[Acesso à conta<br/>Valid Account obtido] K --> L L --> M{Tipo de conta} M -->|Usuário comum| N[Reconhecimento interno<br/>escalada de privilégio] M -->|Admin / Service| O[Controle imediato<br/>do sistema alvo] M -->|Cloud IAM| P[Acesso a recursos cloud<br/>escalada via políticas IAM] N --> Q[Movimentação lateral<br/>Ransomware / Exfiltração] O --> Q P --> Q ``` ## Exemplos de Uso ### Caso 1: Fox Kitten - Brute Force em VPN Corporativas O grupo iraniano [[g0117-fox-kitten|Fox Kitten]] (também vinculado a [[g0049-oilrig|OilRig]]) é documentado realizando brute force e password spraying contra endpoints VPN de empresas em setores de energia, defesa e telecomúnicações. Em campanhas de 2023-2025, o grupo combinou T1110 com exploração de vulnerabilidades conhecidas em Pulse Secure e Fortinet SSL VPN, usando brute force como método alternativo quando exploits não eram aplicáveis. ### Caso 2: APT38 - Acesso a Sistemas Financeiros O grupo [[g0082-apt38|APT38]] (Lazarus Group / DPRK) utiliza credential stuffing e password spraying sistematicamente contra sistemas financeiros SWIFT, portais de bancos centrais e exchanges de criptomoedas. Em múltiplos incidentes documentados em instituições financeiras da América Latina e Brasil, o grupo obteve acesso inicial via brute force em portais de administração expostos com controles de autenticação inadequados. ### Caso 3: DarkVishnya - Ataque Interno Presencial O grupo [[g0105-darkvishnya|DarkVishnya]] combina acesso físico (dispositivos plantados em rede) com brute force automatizado contra Active Directory. Após obter posição na rede interna, o grupo usa [[s0488-crackmapexec|CrackMapExec]] para password spraying em larga escala contra todos os hosts Windows da rede, buscando contas com senhas padrão ou fracas. ### Caso 4: QakBot - Brute Force em Pós-Exploração O malware [[s0650-qakbot|QakBot]] (ativo em campanhas no Brasil via spam e phishing) inclui módulos de brute force para expansão dentro da rede após o comprometimento inicial. Usando listas de senhas comuns e variações do domínio alvo, o QakBot tenta autenticar em compartilhamentos SMB e sistemas de administração para escalar privilégios e preparar o terreno para implantação de ransomware. ### Caso 5: Ransomware via RDP Exposto Grupos de ransomware como [[s0583-pysa|Pysa]] e os operadores de [[s0220-chaos|Chaos]] frequentemente iniciam compromissos via brute force em servidores RDP expostos. Servidores Windows com RDP acessível diretamente da internet (porta 3389) sem MFA são varridos automaticamente por scanners de internet, e credenciais padrão ou fracas são testadas em sequência. No Brasil, este vetor representa um dos principais caminhos de entrada de ransomware em pequenas e médias empresas. ### Ferramentas utilizadas | Ferramenta | Tipo | Finalidade | |---|---|---| | [[s0488-crackmapexec\|CrackMapExec]] | Ferramenta | Brute force SMB, WinRM, LDAP em redes internas | | [[s0378-poshc2\|PoshC2]] | Framework C2 | Módulos de password spraying pós-comprometimento | | [[s0650-qakbot\|QakBot]] | Malware | Brute force embutido para movimentação lateral | | [[s0599-kinsing\|Kinsing]] | Malware | Brute force SSH para comprometer servidores cloud | | [[s0220-chaos\|Chaos]] | Malware | Brute force SSH para recrutamento de botnet | | Hashcat | Ferramenta | GPU-accelerated password cracking offline | | Hydra / Medusa | Ferramenta | Brute force online contra múltiplos protocolos | | Spray | Ferramenta | Password spraying contra Office 365 / Azure AD | ## Detecção A detecção de ataques de brute force requer correlação de eventos de autenticação em múltiplos sistemas e fontes de log. A principal estratégia é a detecção de padrões anômalos (alta frequência de falhas, mesmo IP/usuário tentando múltiplos alvos, horários incomuns). **Indicadores-chave:** - Alto volume de falhas de autenticação (Event ID 4625 no Windows) em curto intervalo de tempo - Falhas distribuídas com baixa frequência por usuário mas alta frequência total (password spraying) - Autenticação bem-sucedida precedida por múltiplas falhas do mesmo IP/ASN - Login de IP em geolocalização impossível ou incomum (viagem impossível) - Pares usuário+senha de bancos de dados de breach conhecidos (correlação com feeds de threat intel) - Tentativas em horários fora do padrão de trabalho do usuário ```yaml title: Password Spraying - Múltiplas Falhas de Autenticação com Usuários Diferentes status: experimental logsource: product: windows service: security detection: selection: EventID: 4625 LogonType: - 3 - 10 timeframe: 10m condition: selection | count(TargetUserName) by IpAddress > 10 level: high tags: - attack.credential_access - attack.t1110.003 falsepositives: - Scanners de vulnerabilidade corporativos - Migração de sistemas com reconexão automática ``` ```yaml title: Brute Force RDP - Alto Volume de Falhas de Autenticação status: experimental logsource: product: windows service: security detection: selection: EventID: 4625 LogonType: 10 ProcessName: "C:\\Windows\\System32\\winlogon.exe" timeframe: 5m condition: selection | count() by IpAddress > 20 level: high tags: - attack.credential_access - attack.t1110.001 - attack.initial_access - attack.t1133 ``` ```yaml title: Credential Stuffing - Autenticação com Credenciais de Breach Conhecidas status: experimental logsource: category: authentication detection: selection: EventID: 4648 filter_known_breach: # Correlacionar com feed de credenciais comprometidas (HIBP, HudsonRock) TargetUserName|in: - "lista_de_usuarios_comprometidos" condition: selection and filter_known_breach level: critical tags: - attack.credential_access - attack.t1110.004 ``` **Fontes de dados recomendadas:** - Windows Security Event Log (Event IDs: 4625, 4648, 4771, 4776) - falhas e sucessos de autenticação - Active Directory audit logs - tentativas de autenticação no Domain Controller - Firewall/WAF logs - volume de requisições por IP/endpoint de autenticação - Azure AD Sign-in logs / Entra ID - autenticação MFA, login anômalo - SIEM com correlação temporal e baseline comportamental de usuários (UEBA) - Integração com feeds de threat intel de credenciais comprometidas (HIBP API) ## Mitigação | ID | Mitigação | Descrição | |---|-----------|-----------| | M1018 | [[m1018-user-account-management\|M1018 - User Account Management]] | Desabilitar contas inativas e de serviço não utilizadas. Implementar lockout progressivo após falhas repetidas. Auditar contas privilegiadas regularmente. | | M1036 | [[m1036-account-use-policies\|M1036 - Account Use Policies]] | Políticas de lockout de conta (ex: 5 tentativas → bloqueio 30 minutos). Restringir horários de login para contas de serviço. Alertas automáticos para logins fora do padrão. | | M1032 | [[m1032-multi-factor-authentication\|M1032 - Multi-factor Authentication]] | MFA é a mitigação mais eficaz contra brute force online - mesmo com a senha correta, o adversário não consegue autenticar sem o segundo fator. Priorizar MFA resistente a phishing (FIDO2/WebAuthn). | | M1027 | [[m1027-password-policies\|M1027 - Password Policies]] | Senhas longas (mínimo 14 caracteres), sem padrões previsíveis. Verificação contra wordlists de passwords comuns (ex: HIBP Passwords). Proibir senhas que contenham o nome da empresa ou datas óbvias. | **Controles adicionais recomendados:** - **CAPTCHA e raté limiting** em portais web de autenticação - bloqueia automação de credential stuffing - **Geo-blocking / impossible travel alerts** - bloquear ou alertar logins de geolocalizações inesperadas - **Senha única por serviço** - gestores de senha corporativos (1Password Business, Bitwarden Teams) eliminam o risco de credential stuffing - **Monitoramento de exposição de credenciais** - integração com API do HaveIBeenPwned para alertas proativos - **Canary accounts** - contas honeypot para detecção de password spraying interno - **EDR com detecção de tools** - bloquear execução de Hashcat, Hydra, CrackMapExec em estações corporativas ## Sub-técnicas - [[t1110-001-password-guessing|T1110.001 - Password Guessing]] - [[t1110-002-password-cracking|T1110.002 - Password Cracking]] - [[t1110-003-password-spraying|T1110.003 - Password Spraying]] - [[t1110-004-credential-stuffing|T1110.004 - Credential Stuffing]] ## Contexto Brasil/LATAM O Brasil é um dos países com maior volume de ataques de força bruta registrados na América Latina, reflexo da ampla superfície de ataque criada pela exposição de serviços de acesso remoto durante e após a pandemia de COVID-19. O setor [[_sectors|financeiro]], [[government|governo]] e de saúde são os principais alvos documentados. **Tendências LATAM específicas:** **RDP Exposto - Epidemia Brasileira:** O Brasil consistentemente aparece entre os países com maior número de servidores RDP expostos diretamente na internet sem MFA, segundo scans periódicos do Shodan e Censys. Pequenas e médias empresas que adotaram trabalho remoto sem planejamento de segurança deixaram servidores Windows acessíveis na porta 3389 - alvo prioritário de grupos de ransomware que operam na LATAM. **Credential Stuffing em Bancos e Fintechs:** O Brasil possui um dos maiores mercados de internet banking do mundo, com milhões de usuários acessando diariamente portais bancários. Grupos de crime cibernético locais (incluindo os operadores do [[s0373-astaroth|Astaroth]]) combinam bases de dados de vazamentos brasileiros (LGPD viola notificações documentam centenas de incidentes por ano) com credential stuffing automatizado para acesso a contas bancárias e plataformas de investimento. **Password Spraying em Órgãos Públicos:** Grupos com possível nexo espionagem têm utilizado password spraying contra portais de governo federal e estadual brasileiro, explorando a prevalência de senhas padrão (`Orgao@2024`, `Ministerio123!`) em ambientes onde políticas de senha não são rigidamente aplicadas ou monitoradas. **Ransomware via Brute Force:** Grupos como [[s0583-pysa|Pysa]], BlackSuit e outros que operam no Brasil utilizam brute force em RDP e VPN como principal vetor de acesso inicial. O CERT.br registra regularmente campanhas ativas de scanning e brute force contra endereços IP brasileiros. **APT38 e o Setor Financeiro LATAM:** O [[g0082-apt38|APT38]] tem histórico documentado de ataques a bancos da América Latina, incluindo o Brasil, usando brute force como parte do processo de Acesso Inicial combinado com exploração de sistemas SWIFT e plataformas de transferência interbancária. **Recomendação prioritária para o Brasil:** Implementação universal de MFA em todos os serviços de acesso remoto (especialmente RDP, VPN, OWA), remoção de RDP da internet pública, e integração com feeds de threat intel para correlação de credenciais comprometidas. ## Threat Actors que Usam - [[g0117-fox-kitten|Fox Kitten]] - [[g1001-hexane|HEXANE]] - [[g1003-ember-bear|Ember Bear]] - [[g0010-turla|Turla]] - [[g0105-darkvishnya|DarkVishnya]] - [[g0053-fin5|FIN5]] - [[g0096-apt41|APT41]] - [[g0082-apt38|APT38]] - [[g0049-oilrig|OilRig]] - [[g1030-agrius|Agrius]] ## Software Associado - [[s0220-chaos|Chaos]] (malware) - [[s0572-caterpillar-webshell|Caterpillar WebShell]] (malware) - [[s0599-kinsing|Kinsing]] (malware) - [[s0378-poshc2|PoshC2]] (ferramenta) - [[s0650-qakbot|QakBot]] (malware) - [[s0583-pysa|Pysa]] (malware) - [[s0488-crackmapexec|CrackMapExec]] (ferramenta) ## Referências - [MITRE ATT&CK - T1110 Brute Force](https://attack.mitre.org/techniques/T1110) - [CISA - Protecting Against Cyber Threats to Managed Service Providers and their Customers](https://www.cisa.gov/resources-tools/resources/protecting-against-cyber-threats-managed-service-providers-and-their-customers) - [Microsoft - Defend against brute force attacks](https://learn.microsoft.com/en-us/microsoft-365/admin/security-and-compliance/secure-your-business-data) - [CERT.br - Relatório Anual de Incidentes de Segurança](https://www.cert.br/stats/) - [HaveIBeenPwned API - Credential exposure monitoring](https://haveibeenpwned.com/API/v3) - [[t1078-valid-accounts|T1078 - Valid Accounts]] (objetivo final do brute force) - [[t1003-os-credential-dumping|T1003 - OS Credential Dumping]] (técnica que alimenta cracking offline) - [[t1133-external-remote-services|T1133 - External Remote Services]] (vetor combinado) - [[t1201-password-policy-discovery|T1201 - Password Policy Discovery]] (reconhecimento prévio) --- *Fonte: [MITRE ATT&CK - T1110](https://attack.mitre.org/techniques/T1110)*