# T1498 - Network Denial of Service ## Descrição **Network Denial of Service (DoS de Rede)** é uma técnica de impacto classificada no MITRE ATT&CK sob a tática **Impact**, em que adversários buscam degradar ou bloquear completamente a disponibilidade de recursos de rede acessíveis a usuários legítimos. O ataque opera pela saturação da **banda de rede** que os serviços dependem para funcionar - não necessáriamente sobrecarregando o sistema alvo, mas esgotando os enlaces de comunicação que conectam o sistema à internet ou à rede corporativa. Recursos típicos alvejados incluem: - Websites corporativos e portais de clientes - Servidores DNS autoritativos - Serviços de e-mail (SMTP gateways) - APIs REST e GraphQL expostas públicamente - Sistemas de pagamento e plataformas de e-commerce - Infraestrutura crítica conectada à internet (energia, telecomúnicações, governo) O ataque ocorre quando o volume de tráfego malicioso supera a capacidade do enlace de rede. Por exemplo: um adversário que direciona **10 Gbps** de tráfego a um servidor conectado por um enlace de **1 Gbps** saturará completamente a conectividade, tornando o serviço inacessível a usuários legítimos - independentemente de o servidor em si ter capacidade computacional disponível. ### Distributed Denial of Service (DDoS) Quando o ataque é distribuído a partir de múltiplos sistemas coordenados - frequentemente uma **botnet** com dezenas de milhares de máquinas comprometidas - denomina-se **DDoS (Distributed Denial of Service)**. A natureza distribuída torna a mitigação por filtragem de IP de origem ineficaz, pois os pacotes de ataque originam de endereços IP legítimos geograficamente dispersos. O tráfego de ataque pode ser gerado por: - Botnets de dispositivos Windows/Linux comprometidos - Botnets de dispositivos IoT (câmeras IP, roteadores SOHO) - Instâncias de nuvem pública mal configuradas ou comprometidas - Servidores refletores (técnica de amplificação - [[t1498-002-reflection-amplification|T1498.002]]) ### Motivações Documentadas | Motivação | Descrição | Exemplos | |-----------|-----------|----------| | Hacktivismo | Protesto político ou ideológico | Ataques a governos durante conflitos | | Extorsão (RDoS) | Exigência de pagamento sob ameaça de DDoS continuado | Grupos como Fancy Lazarus, REvil | | Distração | Mascarar outra atividade maliciosa (exfiltração, intrusão) | Usado por [[g0007-apt28\|APT28]] em operações híbridas | | Concorrência desleal | Derrubada de concorrentes | Mercados ilegais, serviços de apóstas | | Guerra cibernética | Comprometimento de infraestrutura crítica | Operações russas contra Ucrânia, OTAN | --- ## Como Funciona ### Mecanismos de Ataque #### Direct Network Flood ([[t1498-001-direct-network-flood|T1498.001]]) O adversário envia tráfego diretamente ao alvo em volume superior à capacidade do enlace. Variantes comuns: - **UDP Flood:** envio massivo de pacotes UDP a portas aleatórias; a vítima responde com mensagens ICMP "porta inacessível", amplificando o consumo de recursos - **ICMP Flood (Ping Flood):** inundação com pacotes ICMP Echo Request, saturando CPU e banda - **SYN Flood:** envio de pacotes TCP SYN sem completar o handshake, esgotando a tabela de conexões TCP do servidor - **ACK/PUSH Flood:** pacotes TCP com flags ACK/PUSH que forçam o sistema alvo a processar e descartar continuamente #### Reflection and Amplification ([[t1498-002-reflection-amplification|T1498.002]]) Técnica que usa servidores legítimos como amplificadores. O atacante envia requisições **com IP de origem falsificado (spoofed)** para servidores públicos de alta capacidade (refletores). Os refletores respondem ao IP da vítima com respostas muito maiores que as requisições originais. Protocolos comuns de amplificação: | Protocolo | Fator de Amplificação | Vetor | |-----------|----------------------|-------| | DNS | 28x–54x | Consultas ANY ou DNSSEC | | NTP | 556x–700x | Comando monlist | | Memcached | 10.000x–51.000x | Protocolo UDP | | SSDP | 30x | Resposta UPnP | | CharGen | 358x | Protocolo legado | O ataque Memcached de 2018 contra a Akamai atingiu **1,7 Tbps**, o maior registrado até então, demonstrando o poder devastador desta sub-técnica. ### Spoofing de IP O uso de endereços IP falsificados serve dois propósitos: 1. **Dificultar rastreamento:** o tráfego parece originar de endereços legítimos, dificultando a identificação do atacante real 2. **Habilitar reflexão:** permite que respostas de refletores sejam direcionadas ao IP da vítima (e não ao atacante) --- ## Attack Flow ```mermaid graph TB A["Reconhecimento<br/>Identificação de alvos,<br/>banda disponível, ASN"] --> B["Preparação<br/>Aquisição/aluguel de botnet<br/>ou serviço DDoS-for-hire"] B --> C1["T1498.001 - Direct Flood<br/>UDP/SYN/ICMP flood<br/>direto ao alvo"] B --> C2["T1498.002 - Reflection<br/>Spoofing de IP + refletores<br/>DNS/NTP/Memcached"] C1 --> D["Saturação de Enlace<br/>Banda do alvo esgotada<br/>serviço inacessível"] C2 --> D D --> E1["Impacto Primário<br/>Indisponibilidade do serviço<br/>para usuários legítimos"] D --> E2["Impacto Secundário<br/>(Distração) Mascaramento<br/>de intrusão simultânea"] E1 --> F["Extorsão / Hacktivismo<br/>ou Objetivo Geopolítico<br/>alcançado"] ``` --- ## Exemplos de Uso ### APT28 - Operações de Desinformação com Cobertura DDoS (Rússia) O grupo [[g0007-apt28|APT28]] (Fancy Bear / GRU Unidade 26165) é documentado pelo MITRE ATT&CK como utilizador de T1498. Em contextos de operações híbridas - especialmente durante o conflito russo-ucraniano -, ataques DDoS foram usados como cobertura para operações de intrusão simultâneas ou para aumentar pressão psicológica sobre alvos governamentais. O grupo também coordenou ataques DDoS contra infraestrutura da OTAN e de países do Leste Europeu. ### NKAbuse - Botnet Multi-Plataforma com Capacidade DDoS ([[s1107-nkabuse|NKAbuse]]) O malware **NKAbuse**, descoberto em 2023 pela Kaspersky e associado à Coreia do Norte, utiliza o protocolo NKN (New Kind of Network) para comúnicação C2 descentralizada. Além de funcionalidades de backdoor, possui módulo DDoS capaz de executar TCP/UDP/HTTP flood. Sistemas Linux e macOS comprometidos foram incorporados a botnets para ataques DDoS a alvos do setor financeiro na Ásia e América Latina. ### Lucifer - Cryptominer e DDoS Híbrido ([[s0532-lucifer|Lucifer]]) O malware **Lucifer** (também denominado Satan DDoS) é um híbrido que combina criptomineração com capacidade DDoS. Explora vulnerabilidades em sistemas Windows não patchados (incluindo EternalBlue - [[cve-2017-0144|CVE-2017-0144]]) para autopropagação e executa ataques UDP/TCP/HTTP flood. Casos documentados afetaram infraestrutura corporativa no Brasil em 2020-2021. ### Killnet - Hacktivismo Pró-Rússia (2022-2023) O grupo hacktivista **Killnet** lançou campanhas DDoS contra infraestrutura de saúde, aviação e governo em países da OTAN. Os ataques usaram combinações de UDP flood e HTTP flood, com picos de até 500 Gbps. O Brasil não foi alvo direto, mas a métodologia foi amplamente replicada por grupos hacktivistas locais contra instituições governamentais brasileiras durante períodos de tensão política. ### Ataques ao Setor Financeiro Brasileiro (2023-2025) O [[cert-br|CERT.br]] documenta regularmente ataques DDoS contra bancos, fintechs e prestadores de pagamento no Brasil. Em 2024, ataques DDoS volumétricos atingiram provedores de DNS de grandes bancos brasileiros, causando indisponibilidade parcial de apps e internet banking. Grupos como **Lapsus$** e células criminosas locais utilizam DDoS como ferramenta de extorsão (RDoS - Ransom DoS) contra empresas de varejo e e-commerce. --- ## Detecção ### Indicadores de Comprometimento (IoCs Comportamentais) - Pico súbito e anômalo de tráfego de entrada (especialmente UDP ou ICMP) em interfaces de borda - Alto volume de pacotes com IP de origem distribuído geograficamente (indicativo de botnet) - Taxa de SYN packets muito superior a ACK packets (indicativo de SYN flood) - Alertas de saturação de interface em equipamentos de borda (roteadores, firewalls) - Aumento de RTT e perda de pacotes para sistemas alvo ### Regra Sigma - Detecção de SYN Flood via Análise de NetFlow ```yaml title: Possible SYN Flood - Anomalous TCP SYN Raté status: experimental logsource: category: network_flow product: zeek detection: selection: proto: 'tcp' conn_state: 'S0' timeframe: 60s condition: selection | count(id.resp_h) by id.resp_h > 10000 level: high tags: - attack.impact - attack.t1498 falsepositives: - Sistemas de health check em escala (load balancers) - Crawlers web legítimos em ambientes de alta disponibilidade ``` ### Regra Sigma - Detecção de UDP Flood ```yaml title: Possible UDP Flood - High Volume Inbound UDP Traffic status: experimental logsource: category: network_flow product: zeek detection: selection: proto: 'udp' filter_known_services: id.resp_p: - 53 - 123 - 443 timeframe: 60s condition: selection and not filter_known_services | count() by id.resp_h > 50000 level: high tags: - attack.impact - attack.t1498 falsepositives: - Transferências legítimas de dados UDP em ambientes de streaming ``` ### Fontes de Dados para Monitoramento | Fonte | O que monitorar | |-------|----------------| | NetFlow / IPFIX | Volume por protocolo, distribuição geográfica de origem, taxa de pacotes | | Firewall logs | Regras de bloqueio disparadas em alta frequência, drops por taxa | | IDS/IPS (Suricata/Snort) | Assinaturas de SYN flood, UDP flood, amplificação DNS/NTP | | BGP logs | Anúncios de rota anômalos (possível hijacking de rotas de mitigação) | | Provedor de upstream | Alertas de scrubbing center, black hole routing | | SIEM correlation | Correlação entre DDoS e tentativas de acesso simultâneas (distração) | --- ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | M1037 | [[m1037-filter-network-traffic\|M1037 - Filter Network Traffic]] | Implementar ACLs em equipamentos de borda para descartar tráfego anômalo; ativar uRPF (Unicast Reverse Path Forwarding) para bloquear pacotes com IP de origem falsificado | | M1035 | Limitar Acesso a Recursos | Raté limiting em nível de firewall e load balancer; throttling por IP de origem para serviços críticos | | CDN / Scrubbing | Serviços Anti-DDoS | Uso de CDNs (Cloudflare, Akamai, AWS Shield) e centros de scrubbing para absorção de tráfego volumétrico antes de atingir a infraestrutura da vítima | | M1030 | Segmentação de Rede | Isolar serviços críticos em segmentos separados; evitar single points of failure na topologia de rede | | BGP Blackholing | RTBH (Remotely Triggered Black Hole) | Em caso de ataque volumétrico não mitigável, redirecionar tráfego ao destino alvo para null0 (blackhole) via protocolo BGP com upstreams | | Anycast | Distribuição Geográfica | Distribuir serviços críticos via roteamento anycast para diluir o impacto de ataques volumétricos entre múltiplos PoPs globais | --- ## Contexto Brasil/LATAM O Brasil é um dos países com maior incidência de ataques DDoS na América Latina, segundo relatórios anuais da Radware, Cloudflare e NETSCOUT. Fatores que elevam o risco: **Infraestrutura de internet brasileira:** Embora o IX.br (PTT.br) sejá um dos maiores pontos de troca de tráfego do mundo, a conectividade de última milha e de provedores regionais frequentemente apresenta limitações que os tornam vulneráveis a ataques volumétricos de médio porte (10-50 Gbps). **Hacktivismo político:** O Brasil possui histórico de grupos hacktivistas que utilizam DDoS como instrumento de protesto político, especialmente em períodos eleitorais. O grupo **Anonymous Brasil** e células associadas lançaram campanhas DDoS contra sites governamentais em múltiplas ocasiões entre 2020-2024. **RDoS (Ransom DDoS):** Empresas brasileiras de e-commerce, fintech e telecomúnicações são alvos frequentes de extorsão via DDoS. Grupos internacionais como o **REvil** e suas variações pós-shutdown enviaram ameaças RDoS a empresas brasileiras exigindo pagamento em criptomoedas para evitar ataques ao enlace principal. **Setor bancário e financeiro:** O Banco Central do Brasil exige, através da Resolução CMN 4.893/2021, que instituições financeiras mantenham planos de continuidade operacional que incluam cenários de indisponibilidade por DDoS. O [[febraban|FEBRABAN]] (Federação Brasileira de Bancos) pública regularmente orientações técnicas sobre mitigação de ataques volumétricos. **IoT e botnets:** O Brasil possui um dos maiores parques de dispositivos IoT inseguros da América Latina (câmeras IP, DVRs, roteadores SOHO). Pesquisas do [[cert-br|CERT.br]] documentam que dispositivos brasileiros são regularmente recrutados para botnets DDoS globais, tornando o país tanto vítima quanto (involuntariamente) participante de ataques a alvos em outros países. **Infraestrutura crítica:** Com o avanço do Programa Nacional de Infraestrutura Crítica (PNIC) do governo federal, DDoS contra sistemas de saúde, energia e transportes tornou-se preocupação estratégica. O DSIC (Departamento de Segurança da Informação e Comúnicações) emite alertas periódicos sobre riscos a infraestrutura crítica nacional. --- ## Sub-técnicas - [[t1498-001-direct-network-flood|T1498.001 - Direct Network Flood]] - [[t1498-002-reflection-amplification|T1498.002 - Reflection Amplification]] ## Técnicas Relacionadas - [[t1499-endpoint-denial-of-service|T1499 - Endpoint Denial of Service]] - DoS direcionado ao sistema host, não à rede - [[t1499-003-application-exhaustion-flood|T1499.003 - Application Exhaustion Flood]] - Exaustão de recursos de aplicação - [[t1496-resource-hijacking|T1496 - Resource Hijacking]] - Abuso de recursos para outros fins --- ## Referências - [MITRE ATT&CK - T1498](https://attack.mitre.org/techniques/T1498) - [CERT.br - Cartilha de Segurança: DDoS](https://cartilha.cert.br/) - [Cloudflare DDoS Threat Report Q4 2024](https://blog.cloudflare.com/ddos-threat-report-2024-q4/) - [NETSCOUT Threat Intelligence Report 2024](https://www.netscout.com/threatreport/) - [FEBRABAN - Pesquisa de Tecnologia Bancária 2024](https://febraban.org.br/) - [Kaspersky - NKAbuse malware analysis](https://securelist.com/) - [[g0007-apt28|APT28 - Fancy Bear]] (threat actor relacionado) - [[s1107-nkabuse|NKAbuse]] (malware relacionado) - [[s0532-lucifer|Lucifer]] (malware relacionado) - [[m1037-filter-network-traffic|M1037 - Filter Network Traffic]] - [[cert-br|CERT.br]]