t1072-software-deployment-tools

# T1072 - Ferramentas de Implantação de Software ## Descrição Em ambientes corporativos modernos, ferramentas centralizadas de gerenciamento de configuração e implantação de software são parte indispensável da operação de TI. Soluções como Microsoft SCCM (Configuration Manager), Microsoft Intune, Azure Arc, Ansible, Puppet e AWS Systems Manager permitem que equipes de TI distribuam atualizações, configurem sistemas e executem scripts em centenas ou milhares de endpoints simultaneamente - com privilégios elevados e sem necessidade de interação do usuário. Quando um adversário compromete o servidor ou as credenciais que controlam essas ferramentas, ele herda o mesmo alcance massivo. O vetor de ataque segue um padrão consistente: o atacante obtém credenciais de conta administrativa da plataforma de gerenciamento - por phishing, movimento lateral a partir de um endpoint comprometido, ou exploração de vulnerabilidade no servidor da ferramenta - e em seguida cria ou modifica pacotes de implantação para incluir payloads maliciosos. Como a execução parte de uma fonte confiável e amplamente whitelistada, soluções de EDR e antivírus frequentemente não alertam, e o movimento lateral ocorre em escala industrial em questão de minutos. Ambientes de nuvem e SaaS introduziram um agravante adicional: serviços como Microsoft Intune permitem que administradores globais do Entra ID executem scripts PowerShell como SYSTEM em endpoints físicos ingressados no domínio, enquanto o AWS Systems Manager Run Command pode alcançar instâncias EC2 em múltiplas contas e regiões. O grupo [[g0034-sandworm|Sandworm Team]], responsável pelo ataque NotPetya, usou exatamente essa abordagem ao comprometer o MEDoc (software de contabilidade ucraniano) e transformar seu mecanismo de atualização em um vetor de distribuição de wiper em escala nacional. O malware [[s0041-wiper]] foi distribuído desta forma para dezenas de milhares de sistemas. **Contexto Brasil/LATAM:** Ferramentas como o SCCM e o Intune são amplamente adotadas por grandes empresas e órgãos públicos brasileiros. Grupos como o [[g0091-silence|Silence]], especializado em ataques a instituições financeiras da região, e o [[g1051-medusa-ransomware|Medusa Group]], ativo com ransomware no Brasil, já exploraram plataformas de gerenciamento corporativo para distribuição de payloads. A integração crescente de ambientes on-premises com nuvem Azure no setor público e financeiro brasileiro amplia significativamente a superfície de ataque dessa técnica. ## Attack Flow ```mermaid graph TB A[Credenciais Admin Comprometidas] --> B[Acesso à Ferramenta de Deploy] B --> C[Pacote Malicioso Criado] C --> D[Deploy em Massa nos Endpoints] D --> E[Execução como SYSTEM / Movimento Lateral] ``` ## Como Funciona **1. Preparação** O adversário obtém acesso administrativo à plataforma de gerenciamento. Os vetores mais comuns são: credential stuffing ou phishing de contas com permissão de administrador global; exploração de CVEs no servidor SCCM ou no portal do Intune; ou movimento lateral a partir de um Domain Controller comprometido, onde as credenciais de serviço dessas ferramentas frequentemente são armazenadas. **2. Execução** Com acesso à console de gerenciamento, o atacante cria um novo pacote de software, script de implantação ou política de conformidade contendo o payload malicioso. No SCCM, isso pode ser feito via "Application Deployment" apontando para um executável em um share SMB controlado pelo atacante. No Intune/Azure Arc, via scripts PowerShell com escopo "All Devices". No AWS SSM, via Run Command com documento customizado. A implantação é disparada para todos os alvos, que executam o código com privilégios de SYSTEM ou root. **3. Pós-execução** O payload executado pode estabelecer persistência, criar contas locais de administrador, desabilitar produtos de segurança, exfiltrar dados ou implantar ransomware. Por ter sido distribuído via canal legítimo, o rastreamento forense é mais difícil - os logs de execução se misturam com atividade normal de gerenciamento. Em incidentes com wiper (como NotPetya), o efeito é a destruição massiva e irreversível de dados em toda a organização. **Exemplo:** ```powershell # Artefato de detecção no SCCM/Intune - monitorar criação de scripts incomuns: # Event ID 4688 (Windows): criação de processo com ParentImage = CcmExec.exe (SCCM agent) # Event ID 4688: criação de processo com ParentImage = IntuneManagementExtension.exe # Alertar quando CommandLine contiver: -EncodedCommand, IEX, DownloadString, WebClient # No AWS CloudTrail, monitorar: # eventName = SendCommand com parâmetros não usuais # eventName = CreateDocument com conteúdo de script externo ``` ## Detecção **Fontes de dados:** Windows Event Log (IDs 4688, 4624, 4625, 7045), logs do servidor SCCM/MECM, logs de auditoria do Microsoft Intune (portal Entra ID), AWS CloudTrail (SSM eventos), logs de EDR com cadeia de processos. ```yaml title: Execução Suspeita via Agente SCCM ou Intune Management Extension id: c94a1f03-7e58-41bd-a209-5b8e6d0c27f1 status: experimental description: > Detecta a criação de processos com linha de comando suspeita originada pelo agente do SCCM (CcmExec.exe) ou pelo Intune Management Extension, indicando possível abuso de ferramenta de gerenciamento para execução de código malicioso em escala. logsource: category: process_creation product: windows detection: selection_parent: ParentImage|endswith: - '\CcmExec.exe' - '\IntuneManagementExtension.exe' - '\AgentService.exe' selection_suspicious: CommandLine|contains: - '-EncodedCommand' - 'DownloadString' - 'IEX(' - 'Invoke-Expression' - 'WebClient' - 'certutil -decode' condition: selection_parent and selection_suspicious falsepositives: - Scripts de gestão legítimos com encoding base64 aprovados pelo time de TI - Automações de patch management com download de instaladores level: high tags: - attack.execution - attack.t1072 - attack.lateral_movement ``` ## Mitigação | Mitigação | Recomendação Prática | |-----------|---------------------| | [[m1026-privileged-account-management\|M1026 - Privileged Account Management]] | Limitar o número de contas com permissão de criar/editar pacotes de implantação. Usar contas dedicadas para SCCM/Intune separadas das contas de administrador de domínio. Revisar permissões mensalmente. | | [[m1032-multi-factor-authentication\|M1032 - Multi-factor Authentication]] | Exigir MFA para login nas consoles de gerenciamento (SCCM, Intune portal, AWS SSM console). Bloquear acesso sem MFA mesmo de redes internas. | | [[m1018-user-account-management\|M1018 - User Account Management]] | Auditar regularmente contas com permissão de deploy. Remover acessos desnecessários e aplicar o princípio de menor privilégio. Alertar sobre adição de novas contas administrativas nessas plataformas. | | [[m1015-active-directory-configuration\|M1015 - Active Directory Configuration]] | Isolar contas de serviço das ferramentas de gerenciamento usando Managed Service Accounts (gMSA). Evitar que credenciais de SCCM/Intune tenham privilégios de Domain Admin. | | [[m1030-network-segmentation\|M1030 - Network Segmentation]] | Isolar servidores SCCM/MECM em segmento de rede restrito. Controlar quais hosts podem iniciar conexões com o servidor de gerenciamento. Bloquear acesso direto da internet ao portal de gerenciamento. | | [[m1017-user-training\|M1017 - User Training]] | Treinar administradores de TI sobre os riscos de phishing direcionado a contas com alto privilégio. Estabelecer processo formal de aprovação para criação de novos pacotes de implantação. | ## Referências *Fonte: [MITRE ATT&CK - T1072](https://attack.mitre.org/techniques/T1072)*