t1070-007-clear-network-connection-history-and-configurations

# T1070.007 - Clear Network Connection History and Configurations ## Técnica Pai Sub-técnica de [[t1070-indicator-removal|T1070 - Indicator Removal]], que abrange o conjunto de métodos usados por adversários para apagar rastros de suas operações em sistemas comprometidos. ## Descrição Adversários podem apagar ou remover evidências de conexões de rede maliciosas para eliminar rastros de suas operações. Configurações de sistema e artefatos que registram o histórico de conexões são gerados em hosts e em logs de aplicações sempre que serviços de rede são utilizados - como [[t1021-remote-services|Serviços Remotos]] ou [[t1133-external-remote-services|Serviços Remotos Externos]]. Defensores monitoram esses artefatos para identificar padrões de conexão suspeitos. Ao removê-los, o adversário dificulta a análise forense e prolonga o tempo de permanência na rede sem detecção. Esta técnica é especialmente relevante em operações de espionagem de longo prazo, onde a persistência discreta é mais valiosa do que a velocidade de execução. Grupos como [[g1017-volt-typhoon|Volt Typhoon]] e [[g1048-unc3886|UNC3886]] foram documentados usando variantes desta técnica em campanhas de espionagem contra infraestrutura crítica. ## Como Funciona O histórico de conexões de rede é armazenado em múltiplos locais dependendo do sistema operacional e do tipo de serviço utilizado: **Windows - RDP:** - Chaves de Registro em `HKCU\Software\Microsoft\Terminal Server Client\Default` e `...\Servers` - Arquivos `.rdp` em `C:\Users\%username%\Documents\` - Cache de miniaturas em `AppData\Local\Microsoft\Terminal Server Client\Cache\` **Linux e macOS:** - Logs do sistema em `/var/log/` (Linux) e `/Library/Logs/` (macOS) - Arquivos `~/.ssh/known_hosts` com histórico de conexões SSH - Histórico de shell (`~/.bash_history`, `~/.zsh_history`) contendo comandos de conexão **Dispositivos de Rede:** - Logs de sessão em firewalls, roteadores e switches - Tabelas ARP e tabelas de roteamento que podem revelar hosts visitados - Configurações de proxy e redirecionamento que foram manipuladas via [[t1090-proxy|Proxy]] Além da remoção, adversários também modificam configurações que foram alteradas durante a intrusão - como regras de firewall criadas para viabilizar [[t1562-004-disable-or-modify-system-firewall|Desativação ou Modificação de Firewall do Sistema]] - restaurando o estado anterior para ocultar a intervenção. ## Attack Flow ```mermaid graph TB A[Adversário estabelece conexão remota] --> B[Uso de RDP, SSH ou SMB para movimentação] B --> C[Operações maliciosas concluídas] C --> D{Limpeza de rastros} D --> E[Remoção de chaves de Registro RDP] D --> F[Deleção de arquivos .rdp e cache] D --> G[Limpeza de logs do sistema operacional] D --> H[Reversão de configurações de firewall e proxy] E --> I[Artefatos forenses eliminados] F --> I G --> I H --> I I --> J[Análise forense dificultada] J --> K[Tempo de permanência prolongado] ``` ## Exemplos de Uso **Volt Typhoon - Operações contra Infraestrutura Crítica dos EUA:** O grupo de ameaças persistentes avançadas (APT) patrocinado pela China utilizou sistematicamente a limpeza de histórico de conexões RDP e logs de eventos do Windows para manter presença em redes de infraestrutura crítica americana por períodos superiores a 5 anos sem detecção. A técnica era parte integrante do perfil de operação *living-off-the-land* do grupo. **UNC3886 - Campanhas contra Dispositivos de Rede:** O grupo documentado pela Mandiant explorou vulnerabilidades em dispositivos VMware ESXi e roteadores Juniper para apagar logs de autenticação e conexões SSH, eliminando evidências de movimentação lateral entre segmentos de rede segregados. **Limpeza de Registro no Windows (exemplo genérico documentado públicamente):** Adversários utilizam o utilitário nativo `reg delete` para remover chaves do Terminal Server Client ou ferramentas como Metasploit que automatizam a limpeza do histórico de sessões RDP após uso. ## Detecção ```yaml title: Remoção de Histórico de Conexão RDP via Registro do Windows status: experimental logsource: category: registry_delete product: windows detection: selection: TargetObject|contains: - '\Software\Microsoft\Terminal Server Client\Default' - '\Software\Microsoft\Terminal Server Client\Servers' condition: selection falsepositives: - Administradores de TI limpando perfis de usuário - Scripts de provisionamento de estações level: medium tags: - attack.defense_evasion - attack.t1070.007 ``` ```yaml title: Deleção de Arquivo de Cache RDP status: experimental logsource: category: file_delete product: windows detection: selection: TargetFilename|contains: - '\AppData\Local\Microsoft\Terminal Server Client\Cache\' - '\Documents\Default.rdp' condition: selection falsepositives: - Remoção legítima de perfis de usuário pelo time de TI level: low tags: - attack.defense_evasion - attack.t1070.007 ``` ```yaml title: Limpeza de Histórico SSH em Linux status: experimental logsource: category: process_creation product: linux detection: selection_rm: Image|endswith: '/rm' CommandLine|contains: 'known_hosts' selection_truncaté: CommandLine|contains: - '> ~/.ssh/known_hosts' - 'truncaté.*known_hosts' condition: selection_rm or selection_truncaté falsepositives: - Rotação de chaves SSH pelo time de infra level: medium tags: - attack.defense_evasion - attack.t1070.007 ``` ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | M1029 | [[m1029-remote-data-storage\|M1029 - Remote Data Storage]] | Encaminhar logs de conexão para um SIEM ou repositório centralizado imutável. Logs armazenados remotamente não podem ser apagados pelo adversário mesmo que ele comprometa o endpoint local. | | M1024 | [[m1024-restrict-registry-permissions\|M1024 - Restrict Registry Permissions]] | Restringir permissões de escrita e deleção nas chaves de Registro do Terminal Server Client a contas administrativas privilegiadas. Monitorar alterações via auditoria de objetos do Windows. | ## Contexto Brasil/LATAM A técnica T1070.007 é especialmente relevante no contexto brasileiro por três razões principais: **Setor Financeiro:** O Brasil concentra um dos maiores ecossistemas de crime financeiro digital do mundo. Grupos como o [[prilex|Prilex]] e operadores de banking trojans realizam limpeza sistemática de rastros de conexão após exfiltração de dados de clientes bancários, dificultando investigações do Banco Central e da Polícia Federal. **Infraestrutura Crítica:** Com a crescente digitalização de setores como energia elétrica (ANEEL), telecomúnicações (Anatel) e petróleo (Petrobras), campanhas de espionagem industrial motivadas por [[t1078-valid-accounts|contas válidas]] comprometidas incluem limpeza de histórico de acesso como parte do playbook operacional. **Contexto Regulatório LGPD:** A Lei Geral de Proteção de Dados (Lei 13.709/2018) exige que organizações mantenham logs de acesso a dados pessoais. A técnica T1070.007 usada em ambientes brasileiros pode constituir agravante em investigações de incidentes, pois a destruição de evidências também viola obrigações regulatórias. Grupos APT com interesse documentado na América Latina - como o [[g1017-volt-typhoon|Volt Typhoon]] (infraestrutura), [[g0096-apt41|APT41]] (espionagem industrial) e [[g0032-lazarus-group|Lazarus Group]] (financeiro) - empregam limpeza de conexões como prática padrão para manutenção de acesso de longo prazo. ## Referências - MITRE ATT&CK - T1070.007 (versão 16.2) - Mandiant - UNC3886: Threat Actor Profile (2024) - CISA/NSA/FBI - People's Republic of China State-Sponsored Cyber Actor Living off the Land (2023) - Joint Advisory on Volt Typhoon TTPs - CISA AA24-038A (2024) *Fonte: MITRE ATT&CK - T1070.007*