t1557-004-evil-twin

# T1557.004 - Evil Twin > [!info] Técnica Pai > Esta é uma sub-técnica de [[t1557-adversary-in-the-middle|T1557 - Adversary-in-the-Middle]]. Tática: [[ta0006-credential-access|Credential Access]]. Usada por [[g0007-apt28|APT28]] em operações documentadas. ## Descrição Adversários podem hospedar pontos de acesso Wi-Fi aparentemente legítimos para enganar usuários a conectarem-se a redes maliciosas, como forma de apoiar comportamentos subsequentes como [[t1040-network-sniffing|Network Sniffing]], [[t1565-002-transmitted-data-manipulation|Transmitted Data Manipulation]] ou [[t1056-input-capture|Input Capture]]. Ao utilizar um SSID (Service Set Identifier) idêntico ao de uma rede Wi-Fi legítima, pontos de acesso Wi-Fi fraudulentos podem enganar dispositivos ou usuários para que se conectem a redes maliciosas. Os adversários podem fornecer um sinal de intensidade mais forte ou bloquear o acesso aos pontos de acesso Wi-Fi legítimos para coagir ou atrair dispositivos vítimas a conectarem-se às redes maliciosas. Uma **Wi-Fi Pineapple** - ferramenta de auditoria de segurança de rede e teste de penetração - pode ser implantada em ataques Evil Twin pela facilidade de uso e maior alcance de sinal. Certificados personalizados podem ser usados em tentativas de interceptar tráfego HTTPS. Da mesma forma, adversários também podem monitorar dispositivos clientes enviando **probe requests** para redes conhecidas ou previamente conectadas (Preferred Network Lists - PNLs). Quando um ponto de acesso malicioso recebe uma probe request, os adversários respondem com o mesmo SSID para imitar a rede confiável conhecida, e os dispositivos vítimas são induzidos a acreditar que o ponto de acesso respondente é da sua PNL e iniciam uma conexão com a rede fraudulenta. Ao fazer login no ponto de acesso Wi-Fi malicioso, um usuário pode ser direcionado a uma página de login falsa ou a um portal captivo para capturar as credenciais da vítima. Uma vez conectado à rede Wi-Fi fraudulenta, o adversário pode monitorar atividade de rede, manipular dados ou roubar credenciais adicionais. Locais com alta concentração de acesso Wi-Fi público - como aeroportos, cafeterias, bibliotecas e eventos corporativos - são alvos frequentes para que adversários instalem pontos de acesso Wi-Fi ilegítimos. > [!warning] Ameaça Física > Diferente da maioria das técnicas de Credential Access, o Evil Twin requer **presença física** do adversário nas proximidades do alvo - ou instalação prévia de hardware dedicado. Isso torna a técnica especialmente eficaz em ataques direcionados contra executivos, delegações governamentais e eventos de alto perfil. --- ## Como Funciona O ataque Evil Twin combina engenharia de sinal de rádio com engenharia social para criar uma experiência de conectividade aparentemente idêntica à legítima. **Mecanismos técnicos principais:** ### 1. Clonagem de SSID e BSSID O adversário configura um Access Point (AP) com o mesmo SSID da rede alvo. Para aumentar a eficácia, pode também clonar o BSSID (endereço MAC do AP legítimo), tornando a distinção práticamente impossível para usuários sem ferramentas especializadas. ### 2. Ataque de Desautenticação (Deauth Attack) Para forçar dispositivos a se reconectarem ao AP malicioso, o adversário envia frames de desautenticação (802.11 deauth) para desconectar clientes do AP legítimo. Os dispositivos, ao perderem a conexão, escaneiam automaticamente por redes disponíveis e, encontrando o SSID familiar com sinal mais forte, conectam-se ao AP malicioso. ```bash # Exemplo didático de ataque deauth (uso em pentest autorizado) # airplay-ng --deauth 100 -a [BSSID_AP_LEGITIMO] -c [MAC_CLIENTE] wlan0mon ``` ### 3. Probe Request Harvesting Dispositivos Wi-Fi enviando probe requests broadcast para redes da PNL são capturados pelo AP malicioso, que responde imediatamente com o SSID solicitado - induzindo conexão automática sem interação do usuário. ### 4. Portal Captivo Malicioso Após a conexão, o adversário pode interceptar todo o tráfego HTTP/HTTPS ou redirecionar o usuário para um portal captivo falso que imita a página de login da organização ou provedor de internet, capturando credenciais em texto claro. ### 5. SSL Stripping e Downgrade Em ataques mais sofisticados, o adversário realiza SSL stripping - interceptando conexões HTTPS e servindo-as como HTTP para o cliente, enquanto mantém a conexão HTTPS com o servidor legítimo. Isso permite captura de credenciais mesmo em sites que implementam HTTPS, caso o usuário não verifique o cadeado no navegador. --- ## Attack Flow ```mermaid graph TB A["Reconhecimento - Identificar Redes Wi-Fi Alvo"] --> B["Equipamento - Wi-Fi Pineapple ou AP Configurado"] B --> C{"Vetor de Ataque"} C --> D["Clonagem de SSID e BSSID"] C --> E["Probe Request Harvesting"] D --> F["Ataque de Desautenticação - Deauth"] E --> G["Resposta Automática com SSID Clonado"] F --> H["Dispositivo Vítima Desconectado do AP Legítimo"] G --> I["Conexão Automática ao AP Malicioso"] H --> I I --> J{"Técnica de Exploração Pós-Conexão"} J --> K["Portal Captivo Falso - Coleta de Credenciais"] J --> L["Network Sniffing - Captura de Tráfego"] J --> M["SSL Stripping - Downgrade HTTPS para HTTP"] K --> N["Credenciais Corporativas Comprometidas"] L --> O["Captura de Dados Sensíveis em Trânsito"] M --> N N --> P["Acesso Inicial à Rede Corporativa"] O --> P ``` --- ## Exemplos de Uso ### Cenário 1 - APT28 em Operação de Espionagem O grupo [[g0007-apt28|APT28]] (Fancy Bear / Sofacy), vinculado à inteligência militar russa (GRU), utilizou técnicas Evil Twin em operações físicas documentadas, incluindo a tentativa de comprometer a rede Wi-Fi da OPAQ (Organização para a Proibição de Armas Químicas) em Haia, em 2018. Operativos do GRU foram detidos com equipamento especializado - incluindo dispositivos Wi-Fi configurados para ataques de clone de rede - no estacionamento adjacente ao edifício alvo. ### Cenário 2 - Ataque em Aeroporto ou Hotel de Conferência Um adversário posicionado em um aeroporto internacional ou hotel que sedia uma conferência de segurança/governo configura um AP com o SSID da rede Wi-Fi do local (ex: "Airport_Free_WiFi" ou "ConferenceName_Guest"). Dispositivos de executivos, delegados governamentais ou pesquisadores conectam-se automaticamente - especialmente se o SSID corresponde à rede salva na PNL do dispositivo. Uma vez conectados, as credenciais de VPN corporativa, e-mail e aplicativos de mensagens podem ser capturadas via portal captivo ou sniffing de tráfego não criptografado. ### Cenário 3 - Ataque Direcionado com Hardware Pré-Posicionado Em operações de longo prazo, adversários podem pré-posicionar dispositivos físicos - como um Wi-Fi Pineapple disfarçado em carregador de tomada ou extensão USB - em escritórios, salas de reunião ou áreas de coworking visitadas frequentemente pelo alvo. O dispositivo opera de forma autônoma, registrando credenciais e tráfego de rede por dias ou semanas. --- ## Detecção A detecção de Evil Twin requer monitoramento ativo da camada de rádio (RF) - algo que a maioria das organizações não implementa. Abaixo estão as principais estrategias. ### Sigma Rule - Detecção de AP com SSID Duplicado ```yaml title: Duplicaté SSID Detected on Network - Potential Evil Twin status: experimental description: Detecta múltiplos Access Points transmitindo o mesmo SSID com BSSIDs diferentes logsource: category: network product: wireless_controller detection: selection: event_type: "duplicate_ssid" ssid: '%corporate_ssid%' filter_known_aps: bssid|contains: - '%known_ap_mac_1%' - '%known_ap_mac_2%' condition: selection and not filter_known_aps level: high tags: - attack.credential_access - attack.t1557.004 ``` ### Sigma Rule - Ataque de Desautenticação em Massa ```yaml title: Wi-Fi Deauthentication Attack Detected status: experimental description: Detecta volume anormal de frames de desautenticação 802.11 - indicador de deauth attack logsource: category: network product: wireless_ids detection: selection: frame_type: "deauth" count|gt: 50 timeframe: 60s condition: selection level: high tags: - attack.credential_access - attack.t1557.004 - attack.t1040 falsepositives: - Problemas legítimos de rádio frequência - Interferência de outros dispositivos ``` ### Métodos de Detecção por Camada | Camada | Método | Ferramenta | |--------|--------|------------| | RF Monitoring | Wireless IDS/IPS - detecta SSIDs duplicados e variações de BSSID | Cisco Adaptive wIPS, Aruba RFProtect | | Tráfego de Rede | Monitorar volume de deauth frames por canal | Kismet, Aircrack-ng (modo passivo) | | Cliente | Certificado SSL inválido ou mudança abrupta ao conectar via Wi-Fi | Alertas de SO / MDM | | Geolocalização | AP com SSID corporativo em localização geográfica não esperada | WLAN Controller logs | | Comportamental | Dispositivo corporativo conectado a SSID corporativo com IP não reconhecido | NAC / 802.1X logs | ### Indicadores de Comprometimento (Rede) - Presença de SSID corporativo com BSSID não cadastrado no inventário de APs - Aumento súbito de deauth frames em um canal específico - Dispositivos corporativos conectados sem autenticação 802.1X (certificaté-based) - Tráfego DNS com destino a servidores não corporativos após conexão Wi-Fi --- ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | M1031 | [[m1031-network-intrusion-prevention\|M1031 - Network Intrusion Prevention]] | Implementar Wireless Intrusion Detection/Prevention System (WIDS/WIPS) para detectar APs com SSIDs duplicados, ataques de desautenticação e outros indicadores de Evil Twin. Sistemas como Cisco Adaptive wIPS ou Aruba RFProtect realizam monitoramento contínuo do espectro de rádio. | | M1017 | [[m1017-user-training\|M1017 - User Training]] | Treinar usuários para verificar certificados SSL antes de inserir credenciais em portais captivos, especialmente em redes Wi-Fi públicas. Orientar sobre os riscos de conectar-se a redes Wi-Fi abertas em locais públicos e sobre o uso obrigatório de VPN. | ### Controles Adicionais de Alta Eficácia - **Autenticação 802.1X com certificados de cliente (EAP-TLS)**: Implementar autenticação mútua entre dispositivo e AP corporativo. APs falsos não terão o certificado válido do servidor RADIUS, e dispositivos corporativos não autenticarão automaticamente em APs não-802.1X - **Política MDM de Wi-Fi**: Configurar dispositivos gerenciados para conectar apenas a redes Wi-Fi específicas e autorizadas, com perfis de Wi-Fi gerenciados via MDM - **VPN always-on**: Forçar tráfego de dispositivos corporativos por VPN mesmo em redes Wi-Fi - limita a utilidade de interceptar tráfego mesmo que o dispositivo se conecte a um AP malicioso - **Inventário de APs e monitoramento de BSSID**: Manter cadastro atualizado de todos os BSSIDs corporativos autorizados e alertar para novos BSSIDs com SSIDs conhecidos - **Wi-Fi Protected Management Frames (PMF/802.11w)**: Habilitar PMF em todos os APs corporativos para proteger frames de gerenciamento (incluindo deauth) contra spoofing --- ## Contexto Brasil/LATAM O ataque Evil Twin é uma ameaça com relevância crescente no contexto brasileiro por razões geográficas, comportamentais e de uso tecnológico específicas da região. **Alta Densidade de Usuários em Wi-Fi Público**: O Brasil possui uma das maiores densidades de uso de Wi-Fi público da América Latina. Aeroportos como GRU, GIG e Congonhas, shoppings e redes de coworking em São Paulo, Rio de Janeiro e Brasília são ambientes de alto risco para ataques Evil Twin - especialmente direcionados a executivos e funcionários governamentais em trânsito. **Alvos de Alto Valor em Brasília**: A concentração de ministérios, embaixadas, órgãos reguladores (ANATEL, BACEN, ANS, ANATEL) e empresas estatais em Brasília cria um ambiente de alto valor para operações de espionagem que utilizam Evil Twin. Delegações estrangeiras e diplomatas com dispositivos contendo redes salvas em PNLs são alvos preferênciais. **Eventos Corporativos e de Segurança**: Eventos como o **Mind The Sec**, **H2HC** (Hackers to Hackers Conference) em São Paulo e **ROADSEC** em múltiplas cidades brasileiras concentram profissionais de segurança e executivos com acesso a informações sensíveis. Adversários sofisticados monitoram esse calendário para oportunidades táticas. **Infraestrutura de Telecom e LGPD**: Sob a [[lgpd|LGPD]], a captura não autorizada de credenciais e dados pessoais via Evil Twin constitui violação grave com obrigação de notificação à ANPD e aos titulares afetados. Empresas de telecomúnicações brasileiras têm obrigação adicional de notificar a [[anatel|ANATEL]] em casos de comprometimento de infraestrutura. **[[g0007-apt28|APT28]] e Interesses Russos no Brasil**: O grupo APT28, que tem uso documentado de Evil Twin em operações de espionagem na Europa, tem interesse geopolítico documentado em alvos brasileiros - especialmente relacionados à política externa, acordos de defesa e posições em fóruns internacionais como BRICS e G20. Delegações brasileiras em eventos internacionais são potencialmente alvos de técnicas similares. > [!example] Referência Regional > Durante grandes eventos internacionais sediados no Brasil - como os Jogos Olímpicos de 2016 e fóruns do G20 - diversas agências de inteligência relataram tentativas de espionagem via comprometimento de redes Wi-Fi em hotéis e locais de eventos, seguindo padrões consistentes com Evil Twin. --- ## Referências - [MITRE ATT&CK - T1557.004: Evil Twin](https://attack.mitre.org/techniques/T1557/004/) - [APT28 Haia - Operação contra OPAQ documentada pelo NCSC holandês (2018)](https://www.ncsc.nl/actueel/nieuws/2018/oktober/4/vier-russische-staatsburgers-verdacht-van-poging-tot-hack-opcw) - [Wi-Fi Security - IEEE 802.11w Protected Management Frames](https://www.wi-fi.org/discover-wi-fi/wi-fi-certified-protected-management-frames) - [Wireless Intrusion Prevention - Cisco Adaptive wIPS](https://www.cisco.com/c/en/us/td/docs/wireless/controller/9800/config-guide/b_wl_16_10_cg/wireless-intrusion-prevention.html) - [EAP-TLS e 802.1X para Wi-Fi Corporativo - NIST SP 800-97](https://csrc.nist.gov/publications/detail/sp/800-97/final) - [Hak5 Wi-Fi Pineapple - Documentação e uso em pentest](https://docs.hak5.org/wifi-pineapple/) **Técnicas Relacionadas:** [[t1557-adversary-in-the-middle|T1557]], [[t1040-network-sniffing|T1040]], [[t1056-input-capture|T1056]], [[t1565-002-transmitted-data-manipulation|T1565.002]], [[ta0006-credential-access|Credential Access]], [[g0007-apt28|APT28]] --- *Fonte: [MITRE ATT&CK - T1557.004](https://attack.mitre.org/techniques/T1557/004/)*