# T1496.001 - Compute Hijacking ## Descrição Adversários podem sequestrar os recursos de processamento de sistemas comprometidos para realizar tarefas computacionalmente intensivas, geralmente a mineração de criptomoedas. Esta sub-técnica de [[t1496-resource-hijacking|T1496 - Resource Hijacking]] representa a modalidade mais prevalente de uso não autorizado de recursos computacionais e é classificada dentro da tática de **Impacto** no framework [[mitre-attack|MITRE ATT&CK]]. **Compute Hijacking** - também chamado de **cryptojacking** na literatura de segurança - ocorre quando um agente de ameaça instala e executa software de mineração de criptomoedas nos sistemas da vítima sem seu conhecimento ou consentimento. O adversário essencialmente "aluga" gratuitamente o poder computacional da organização alvo, enquanto transfere os lucros gerados para suas próprias carteiras digitais. O impacto primário não é a destruição ou roubo de dados, mas sim a **degradação de performance e disponibilidade** dos sistemas afetados. Em ambientes de nuvem (IaaS) e contêineres, o impacto financeiro pode ser substancial, pois a vítima paga pelas instâncias de computação consumidas pelo minerador. Casos documentados mostram organizações recebendo cobranças de dezenas de milhares de dólares em serviços de nuvem por conta de cryptojacking não detectado. Além do impacto de disponibilidade, [[t1496-001-compute-hijacking|Compute Hijacking]] frequentemente serve como sinal de comprometimento mais amplo - se um adversário tem acesso suficiente para instalar mineradores, provavelmente também tem acesso para conduzir atividades mais sigilosas como exfiltração de dados, movimentação lateral ou instalação de backdoors. Criptomoedas voltadas para privacidade como **Monero (XMR)** são preferidas por adversários sobre Bitcoin, pois as transações Monero são ofuscadas por padrão, dificultando rastreamento de fluxo financeiro por autoridades. --- ## Como Funciona ### Vetor de Acesso Inicial Adversários obtêm acesso inicial por múltiplos vetores: 1. **Exploração de vulnerabilidades expostas**: APIs Docker sem autenticação, painéis Kubernetes expostos, vulnerabilidades em CMSs (WordPress, Drupal), Apache Struts, Log4Shell ([[cve-2021-44228|CVE-2021-44228]]) 2. **Credenciais comprometidas**: força bruta SSH, credential stuffing de contas cloud, chaves de acesso AWS/GCP/Azure vazadas em repositórios públicos 3. **Supply chain de containers**: imagens Docker maliciosas publicadas em repositórios públicos como Docker Hub com mineradores embutidos 4. **Malware dropper**: [[darkgaté|DarkGaté]] e outros loaders que incluem módulos de mineração como payload secundário ### Instalação e Persistência do Minerador Após o acesso inicial, o minerador é instalado e configurado para persistência: - **Linux/macOS**: cronjobs, systemd services, init scripts em `/etc/init.d/`, modificações de `.bashrc`/`.profile` - **Windows**: chaves de registro `HKCU\Software\Microsoft\Windows\CurrentVersion\Run`, serviços Windows, tarefas agendadas - **Containers**: modificação da imagem base, entrypoint hijacking, sidecar containers maliciosos em clusters Kubernetes ### Operação da Mineração O software de mineração (tipicamente XMRig, cgminer, ou variantes customizadas) conecta-se a **mining pools** - servidores que coordenam o trabalho distribuído entre múltiplos mineradores - e começa a resolver algoritmos de prova-de-trabalho (Proof of Work). Para Monero, o algoritmo RandomX é otimizado para CPU, tornando servidores convencionais tão eficientes quanto hardware especializado. ### Técnicas de Evasão Específicas - **Throttling por horário**: mineradores reduzem uso de CPU durante horário comercial e maximizam à noite para evitar detecção por monitoramento de performance - **Kill competitors**: malware como [[s0599-kinsing|Kinsing]] e [[g0106-rocke|Rocke]] varrem ativamente a memória em busca de outros mineradores e processos competidores, terminando-os para garantir uso exclusivo dos recursos - **Rootkit via kernel modules**: [[s0468-skidmap|Skidmap]] instala módulos de kernel maliciosos que manipulam as leituras de `/proc/stat` para ocultar o consumo real de CPU dos processos de monitoramento do sistema - **Processos com nomes legítimos**: mineradores se disfarçam como `syslogd`, `kworker`, `apache2`, `nginx` para se misturar ao ruído de processos legítimos --- --- ## Attack Flow ```mermaid graph TB A[Reconhecimento<br/>Scan de APIs expostas / Docker / K8s] --> B[Acesso Inicial<br/>Exploit API sem auth / Credential Stuffing] B --> C[Execução<br/>Deploy de container malicioso / RCE] C --> D[Persistência<br/>Cronjob / Systemd service / Registry Run] D --> E[Escalada de Privilégios<br/>Exploit local / sudo misconfiguration] E --> F[Defesa: Evasão<br/>Renomear processo / Rootkit /proc] F --> G[C2 - Mining Pool<br/>Conexão XMRig a pool.hashvault.pro] G --> H[Execução de Mineração<br/>RandomX CPU / GPU compute] H --> I[Kill Competitors<br/>Eliminar outros mineradores em memória] I --> J[Impacto<br/>CPU 90-100% / Custos cloud / Degradação] J --> K[Lucro Adversário<br/>XMR creditado em carteira ofuscada] ``` > **Técnica pai:** [[t1496-resource-hijacking|T1496 - Resource Hijacking]] > **Técnicas relacionadas:** [[t1496-002-bandwidth-hijacking|T1496.002 - Bandwidth Hijacking]], [[t1496-004-cloud-service-hijacking|T1496.004 - Cloud Service Hijacking]] ## Exemplos de Uso ### TeamTNT - Cryptojacking em Nuvem em Larga Escala O [[g0139-teamtnt|TeamTNT]] é o grupo mais prolífico em operações de cryptojacking direcionadas a ambientes cloud e contêineres. O grupo desenvolveu capacidades específicas para: - Escanear a internet por APIs Docker daemon expostas sem autenticação (porta 2375/2376) - Roubar credenciais de cloud providers (AWS, GCP, Azure) armazenadas em variáveis de ambiente e arquivos de configuração - Usar o próprio ambiente cloud comprometido para escanear e comprometer mais vítimas - Instalar o [[s0601-hildegard|Hildegard]] malware em clusters Kubernetes como método de persistência Em 2021, o TeamTNT comprometeu mais de 50.000 servidores em operações simultâneas, gerando receita estimada de centenas de milhares de dólares em Monero. ### Rocke - Cryptojacker com Capacidade APT O grupo [[g0106-rocke|Rocke]], de origem chinesa, se distinguiu por utilizar infraestrutura APT-grade para operações de cryptojacking. O grupo: - Utilizou serviços de hospedagem legítimos (GitLab, Pastebin) como dead drops para staging de payloads - Implementou módulos de rootkit que manipulam chamadas de sistema para ocultar processos e conexões de rede - Conduziu operações contra empresas de nuvem pública na China, Jápão e EUA - Demonstrou capacidade de escalonamento rápido ao comprometer milhares de instâncias em horas após divulgação de vulnerabilidades ### Blue Mockingbird - XMRig via Desserialização O [[g0108-blue-mockingbird|Blue Mockingbird]] explorou vulnerabilidades de desserialização em aplicações ASP.NET (Telerik UI) para comprometer servidores Windows corporativos e instalar XMRig. O grupo utilizou Cobalt Strike como plataforma de C2 secundário e técnicas de living-off-the-land (LOLBins) para persistência, demonstrando sobreposição entre TTPs de cryptojacking e de espionagem. ### APT41 - Dupla Motivação: Espionagem + Mineração O [[g0096-apt41|APT41]] (BARIUM/Winnti) é único por conduzir operações de espionagem patrocinadas pelo estado chinês E operações de cryptojacking por ganho financeiro pessoal dos operadores. Em investigações do DOJ americano, ficou documentado que membros do grupo aproveitavam acessos obtidos para espionagem para instalar mineradores, gerando renda suplementar. Isso demonstra que Compute Hijacking pode ocorrer em paralelo a operações de inteligência mais sérias. --- ## Detecção ### Detecção por Telemetria de Processo ```yaml title: Suspicious Cryptomining Process Detection status: experimental logsource: category: process_creation product: linux detection: selection_miner_names: Image|contains: - 'xmrig' - 'minerd' - 'cgminer' - 'cpuminer' - 'kworker/' selection_miner_args: CommandLine|contains: - '--donaté-level' - 'stratum+tcp' - 'stratum+ssl' - 'pool.minexmr' - 'pool.hashvault' - 'xmr.pool' - '-o stratum' condition: selection_miner_names or selection_miner_args level: high tags: - attack.impact - attack.t1496.001 ``` ### Detecção por Tráfego de Rede ```yaml title: Cryptomining Pool Connection Detected status: experimental logsource: category: network_connection product: windows detection: selection_ports: DestinationPort: - 3333 - 4444 - 5555 - 7777 - 14444 - 45700 selection_domains: DestinationHostname|contains: - 'xmr.' - 'monero.' - 'pool.minexmr' - 'hashvault.pro' - 'supportxmr.com' - 'nanopool.org' condition: selection_ports or selection_domains level: high tags: - attack.impact - attack.t1496.001 ``` ### Indicadores Comportamentais - **CPU sustentado acima de 80-90%** por processo único sem justificativa operacional - **Conexões de saída persistentes** para pools de mineração conhecidos (hashvault.pro, supportxmr.com, nanopool.org) nas portas 3333, 4444, 5555 - **Aumento súbito e inesperado de custos em cloud** (AWS/Azure/GCP) sem novo workload justificado - indicador clássico de cryptojacking em IaaS - **Novos processos com nomes de sistema** (kworker, syslogd) com parent process incomum (wget, curl, bash -c) - **Downloads de binários ELF ou PE** de URLs suspeitas para diretórios temporários (`/tmp`, `%TEMP%`) seguidos de execução imediata ### Monitoramento de Containers e Kubernetes - Imagens Docker não catalogadas rodando em namespaces de produção - Pods com limites de CPU não configurados (sem `resources.limits.cpu`) - Conexões de rede saindo de pods para IPs não presentes no inventário de serviços - Alterações em ConfigMaps ou Secrets de namespaces sem mudança de código associada --- ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | - | Autenticação em APIs de Contêineres | Nunca expor Docker daemon (porta 2375/2376) ou API do Kubernetes sem autenticação mútua TLS e RBAC configurado. É o vetor de entrada mais explorado pelo TeamTNT. | | - | Limites de Recursos em Contêineres | Configurar `resources.limits.cpu` e `resources.limits.memory` em todos os pods Kubernetes. Mineradores são efetivamente bloqueados quando não podem consumir CPU ilimitada. | | - | Monitoramento de Custos Cloud | Habilitar alertas de faturamento nos cloud providers para detectar aumento anormal de gastos. AWS Cost Anomaly Detection, Azure Cost Alerts e GCP Budget Alerts são gratuitos. | | - | Inventário de Processos com Baseline | Manter inventário de processos legítimos por host e alertar para qualquer novo processo com alto consumo de CPU não presente no baseline. | | - | Network Egress Filtering | Bloquear conexões de saída para portas típicas de mining pools (3333, 4444, 5555, 7777) e filtrar DNS resolutions para domínios conhecidos de mining. | | - | Atualização de Vulnerabilidades | Cryptojackers exploram vulnerabilidades conhecidas (Log4Shell, Spring4Shell, WordPress plugins) agressivamente após divulgação. Patching rápido é a defesa mais efetiva. | | - | Escaneamento de Imagens Docker | Usar Trivy, Clair ou Snyk para escanear imagens de contêiner por malware conhecido antes de deploy em produção. | --- ## Contexto Brasil/LATAM O Brasil é um dos países mais afetados por cryptojacking na América Latina, reflexo da sua posição como maior economia regional e elevada adoção de serviços de nuvem pública por empresas do setor financeiro, e-commerce e governo. Relatórios da Kaspersky LATAM consistentemente posicionam o Brasil entre os top 3 países da região em detecções de malware de mineração. Grupos de cryptojacking como o [[g0139-teamtnt|TeamTNT]] e operadores de [[s0599-kinsing|Kinsing]] frequentemente incluem faixas de IP brasileiras em seus scans automatizados por serviços vulneráveis. A elevada prevalência de instâncias cloud AWS e Azure com configurações permissivas - muitas em empresas de pequeno e médio porte sem equipes de segurança dedicadas - cria ambiente favorável para essas operações. No ecossistema de ameaças local, grupos brasileiros de cibercrime têm demonstrado crescente interesse em operações de cryptojacking como fonte de renda complementar às tradicionais fraudes bancárias. O setor de agronegócio, que tem investido massivamente em transformação digital, representa alvo emergente - servidores de ERP e PLM rurais com pouca supervisão de segurança são vetores documentados. O [[government|setor governamental brasileiro]] também sofre com cryptojacking em servidores de prefeituras e órgãos estaduais que operam sistemas legados com vulnerabilidades conhecidas não corrigidas, frequentemente detectados pelo CTIR.gov em suas análises periódicas da superfície de ataque da administração pública federal. --- ## Referências - [MITRE ATT&CK - T1496.001](https://attack.mitre.org/techniques/T1496/001) - [Trend Micro - TeamTNT Cloud Intrusion Analysis](https://www.trendmicro.com/en_us/research/21/d/teamtnt-campaign-targets-misconfigured-docker-daemons.html) - [Intezer - Kinsing Malware Analysis](https://intezer.com/blog/cloud-security/kinsing-the-malware-with-a-knack-for-mining-containers/) - [Kaspersky LATAM - Cryptojacking no Brasil](https://latam.kaspersky.com/blog/) - [DOJ - APT41 Indictment (Cryptomining Activities)](https://www.justice.gov/opa/pr/seven-international-cyber-defendants-including-apt41-associates-charged-connection-computer) - [CERT.br - Boletins de Segurança](https://www.cert.br/docs/alertas/) --- *Fonte: [MITRE ATT&CK - T1496.001](https://attack.mitre.org/techniques/T1496/001)*