# T1499 - Endpoint Denial of Service > [!danger] Técnica de Alto Impacto Operacional > Endpoint DoS é utilizado por grupos de estado-nação, hacktivistas e atores criminosos para degradar ou destruir a disponibilidade de serviços. Frequentemente combinada com outras técnicas de impacto em ataques de múltiplas etapas. ## Descrição **Endpoint Denial of Service (DoS)** é uma técnica classificada pelo [[mitre-attack|MITRE ATT&CK]] na tática de **Impacto** (TA0040), identificada como **T1499**. Ao contrário de ataques de negação de serviço que visam saturar a rede de transporte (ver [[t1498-network-denial-of-service|T1498 - Network Denial of Service]]), o Endpoint DoS tem como alvo direto os **recursos computacionais** do sistema que hospeda o serviço - CPU, memória, threads de conexão, descritores de arquivo e outros recursos finitos do stack de aplicação. O objetivo central é **degradar ou eliminar a disponibilidade** de serviços críticos: servidores web, DNS, sistemas de e-mail, bancos de dados, APIs e aplicações web. Adversários exploram gargalos específicos de cada camada do stack - sistema operacional, middleware, aplicação - através de métodos distintos adaptados às vulnerabilidades de cada componente. Ataques EndpointDoS podem ser perpetrados por: - **Um único sistema** controlado pelo adversário (DoS simples) - **Múltiplos sistemas distribuídos** - botnets, infraestrutura alugada, sistemas comprometidos (DDoS) O [[g0034-sandworm|Sandworm Team]], grupo APT atribuído ao GRU russo, é um dos atores documentados utilizando esta técnica, notadamente em campanhas contra infraestrutura ucraniana e organizações ocidentais. Grupos hacktivistas também empregam amplamente Endpoint DoS por motivações políticas. ### Sub-técnicas relacionadas | Sub-técnica | Descrição resumida | |-------------|-------------------| | [[t1499-001-os-exhaustion-flood\|T1499.001]] | OS Exhaustion Flood - esgotamento de recursos do sistema operacional | | [[t1499-002-service-exhaustion-flood\|T1499.002]] | Service Exhaustion Flood - sobrecarga de serviços específicos (HTTP, SSL/TLS) | | [[t1499-003-application-exhaustion-flood\|T1499.003]] | Application Exhaustion Flood - esgotamento de recursos da camada de aplicação | | [[t1499-004-application-or-system-exploitation\|T1499.004]] | Application or System Exploitation - exploração de vulnerabilidades para crash | ## Como Funciona A técnica opera explorando gargalos em diferentes camadas do stack de serviço. Os princípios gerais aplicam-se a múltiplas variantes: **Spoofing de IP:** Para dificultar o rastreamento e contornar filtros baseados em endereço de origem, adversários frequentemente falsificam o IP de origem dos pacotes de ataque. Isso também viabiliza ataques de reflexão, onde sistemas legítimos de terceiros (servidores DNS, NTP, memcached) são induzidos a enviar respostas volumosas ao endereço IP da vítima. **Botnets:** Infraestruturas de milhares a milhões de dispositivos comprometidos - IoT, servidores, desktops - são coordenadas para direcionar tráfego à vítima. Em ataques DDoS de grande escala, cada bot contribui com volume modesto, tornando a discriminação de tráfego legítimo extremamente difícil. **Esgotamento de recursos específicos:** Cada serviço possui recursos finitos e gargalos particulares. Servidores web têm limite de conexões simultâneas; serviços SSL/TLS têm custo computacional de handshake; aplicações têm limites de threads e conexões de banco de dados. Explorar o recurso mais escasso maximiza o impacto com o menor volume de tráfego. **Manipulação de tráfego em trânsito:** Em casos sofisticados, adversários com acesso a pontos de peering ou roteadores de alto tráfego podem injetar código JavaScript malicioso em respostas HTTP, recrutando navegadores de usuários legítimos para participar involuntariamente do ataque (técnica historicamente usada para censura web). ### Camadas de ataque ``` Camada 7 - Aplicação → HTTP floods, slowloris, exploits de app Camada 6 - Apresentação → SSL/TLS renegotiation Camada 4 - Transporte → SYN floods, UDP floods, connection exhaustion Camada 3 - Rede → IP spoofing, reflexão/amplificação Camada 2 - OS/Kernel → Exploits de kernel, OOM killer abuse ``` ## Attack Flow ```mermaid graph TB A["🎯 Seleção do Alvo<br/>Serviço web, DNS, API crítica<br/>ou infraestrutura de e-mail"] B["🔍 Reconhecimento<br/>Identifica stack tecnológico,<br/>gargalos, capacidade do serviço"] C["🛠️ Preparação da Infraestrutura<br/>Monta botnet, aluga stresser,<br/>configura amplificadores de reflexão"] D["🚀 Disparo do Ataque<br/>Inicia flood volumétrico<br/>ou exploração de gargalo específico"] E1["💥 OS Exhaustion<br/>T1499 001 Os Exhaustion Flood<br/>Esgota recursos do kernel"] E2["💥 Service Exhaustion<br/>T1499 002 Service Exhaustion Flood<br/>Sobrecarga HTTP/SSL"] E3["💥 App Exhaustion<br/>T1499 003 Application Exhaustion Flood<br/>Esgota pool de threads/DB"] E4["💥 Exploitation<br/>T1499 004 Application Or System Exploitation<br/>Crash por vulnerabilidade"] F["⚠️ Degradação/Indisponibilidade<br/>Serviço lento ou inacessível<br/>para usuários legítimos"] G["📈 Escalada ou Pivô<br/>Aumenta volume, muda vetor,<br/>ou usa DoS como distração"] A --> B B --> C C --> D D --> E1 D --> E2 D --> E3 D --> E4 E1 --> F E2 --> F E3 --> F E4 --> F F --> G ``` ## Exemplos de Uso ### Caso 1 - Sandworm Team contra Ucrânia (2015-2022) O [[g0034-sandworm|Sandworm Team]], APT atribuído à Unidade 74455 do GRU russo, utilizou Endpoint DoS como componente de campanhas de sabotagem contra infraestrutura crítica ucraniana. Em coordenação com ataques destrutivos ([[t1485-data-destruction|wiper malware]] como NotPetya e Industroyer), ataques DoS foram usados para degradar capacidade de resposta a incidentes e amplificar o impacto operacional. Durante a invasão de 2022, ondas de ataques DDoS contra serviços governamentais e de comunicação precederam ações cinéticas. ### Caso 2 - Operação Ababil contra bancos americanos (2012) O grupo Izz ad-Din al-Qassam Cyber Fighters realizou uma série de ataques DDoS contra grandes bancos americanos (Bank of América, JPMorgan Chase, Wells Fargo, Citigroup). O ataque utilizou botnets compostos por servidores web comprometidos (não PCs de usuários), gerando volume suficiente para saturar os servidores HTTPS dos alvos. O padrão de ataque combinava HTTP floods com SSL exhaustion - um exemplo clássico de [[t1499-002-service-exhaustion-flood|Service Exhaustion Flood]]. ### Caso 3 - Hacktivismo no Brasil - Anonymous e ataques a governo (2011-2022) Grupos hacktivistas associados ao [[anonymous-brasil|Anonymous Brasil]] realizaram múltiplas campanhas de DoS contra portais governamentais brasileiros, especialmente durante eventos de comoção social (Copa do Mundo 2014, protestos de 2013, eleições). Os ataques tipicamente utilizavam ferramentas como LOIC e HOIC, coordenadas via canais IRC e Telegram, visando sites do governo federal, TSE e órgãos de segurança pública. ### Caso 4 - Extorsão combinada com ransomware (2020-presente) Grupos de [[ransomware|ransomware]] como Lazarus-vinculados e grupos criminosos da Europa do Leste passaram a combinar Endpoint DoS com exfiltração de dados e criptografia - a "tripla extorsão". O DoS é usado como pressão adicional durante negociações: se o pagamento não ocorre, os serviços da vítima são derrubados simultaneamente à públicação dos dados vazados. ## Detecção ### Indicadores de comprometimento (IoC comportamentais) - Pico abrupto de conexões TCP/UDP de origens dispersas - Aumento anormal de erros 503/504 nos logs do servidor web - CPU e memória do servidor em 100% sem carga de trabalho legítima correspondente - Exaustão do pool de conexões do banco de dados sem queries legítimas - Número incomum de handshakes SSL/TLS incompletos - Queda de performance correlacionada com aumento de tráfego de IPs em ASNs de data center ### Regra de detecção (Sigma) ```yaml title: Endpoint DoS - Saturação de Recursos de Servidor status: experimental description: Detecta padrões de Endpoint Denial of Service através de saturação anômala de recursos de sistema em correlação com spike de conexões externas logsource: category: process_creation product: linux detection: selection_resource_exhaustion: CommandLine|contains: - "ulimit -n" - "/proc/sys/net/core/somaxconn" selection_connection_spike: EventID: 3 DestinationPort: - 80 - 443 - 8080 - 8443 condition: selection_resource_exhaustion or selection_connection_spike timeframe: 1m threshold: count: "> 10000" level: high tags: - attack.impact - attack.t1499 falsepositives: - Lançamento legítimo de campanha de marketing gerando spike de tráfego - Eventos virais aumentando acesso orgânico ``` ### Fontes de dados para detecção | Fonte | Evento a monitorar | Prioridade | |-------|-------------------|-----------| | Métricas de servidor (Prometheus, CloudWatch) | CPU/memória/conexões acima de 90% | Alta | | Logs de servidor web (nginx, Apache) | Pico de erros 5xx, taxa de requisições | Alta | | Firewall / WAF | Volume de conexões por IP de origem | Alta | | NetFlow / IPFIX | Distribuição anômala de tráfego por protocolo | Média | | SIEM | Correlação de eventos de múltiplas fontes | Alta | | Alertas de uptime (Pingdom, Datadog) | Degradação de latência de resposta | Média | ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | [[m1037-filter-network-traffic\|M1037]] | Filter Network Traffic | Implementar ACLs de rede, raté limiting por IP, e bloqueio de ASNs reconhecidamente maliciosas | | CDN / DDoS Protection | Scrubbing centers e absorção de volume | Utilizar serviços como Cloudflare, Akamai, AWS Shield para absorver ataques volumétricos antes de chegarem ao endpoint | | Raté Limiting | Limitação de requisições por cliente | Configurar limites de conexões simultâneas, requisições por segundo e timeouts agressivos | | Anycast | Distribuição geográfica de serviço | Dispersar tráfego por múltiplos PoPs globais para diluir o impacto de ataques volumétricos | | Tuning de SO | Ajustes de kernel para resiliência | Otimizar parâmetros TCP/IP do kernel (syn_cookies, somaxconn, tcp_max_syn_backlog) | | CAPTCHA e verificação humana | Discriminação bot vs. humano | Implementar desafios comportamentais para requisições suspeitas em serviços web | ## Contexto Brasil/LATAM O Brasil é o país da América Latina com maior incidência reportada de ataques DDoS, segundo relatórios da Cloudflare e NETSCOUT. Fatores estruturais explicam essa posição: **Infraestrutura crítica exposta:** Serviços governamentais, portais bancários e plataformas de e-commerce brasileiras frequentemente operam com proteção anti-DDoS insuficiente. O [[banco-central-do-brasil|Banco Central do Brasil]] emitiu diretrizes de resiliência operacional (Resolução CMN 4.658), mas a implementação ainda é heterogênea. **Hacktivismo político:** O Brasil possui cultura consolidada de hacktivismo, com grupos como [[anonymous-brasil|Anonymous Brasil]] realizando ataques coordenados durante eventos de crise política, eleições e manifestações. Alvos recorrentes incluem TSE, portais do governo federal e corporações vistas como símbolos de desigualdade. **Serviços de stresser/booter:** Plataformas de "DDoS-as-a-Service" são amplamente acessíveis via dark web e Telegram, reduzindo a barreira técnica para ataques. Grupos criminosos brasileiros utilizam esses serviços para extorsão de pequenas e médias empresas. **Infraestrutura de telecomúnicações:** A dependência de poucos ISPs de backbone (Embratel, Vivo, Claro Empresas) cria pontos de concentração que, quando afetados, têm impacto desproporcional. Eventos como o apagão de 2009 demonstraram a fragilidade da resiliência digital nacional. **Recomendação para organizações brasileiras:** Contratar proteção anti-DDoS dedicada (nível L7), implementar monitoramento proativo com alertas de latência e erro, e desenvolver plano de resposta a incidentes específico para ataques DoS com SLAs definidos. ## Referências - [MITRE ATT&CK - T1499 Endpoint Denial of Service](https://attack.mitre.org/techniques/T1499) - [NETSCOUT - DDoS Threat Intelligence Report](https://www.netscout.com/threatreport) - [Cloudflare - DDoS Threat Report](https://blog.cloudflare.com/tag/ddos) - [[g0034-sandworm|Sandworm Team - Perfil do Grupo]] - [[t1498-network-denial-of-service|T1498 - Network Denial of Service]] - [[t1499-001-os-exhaustion-flood|T1499.001 - OS Exhaustion Flood]] - [[t1499-002-service-exhaustion-flood|T1499.002 - Service Exhaustion Flood]] - [[t1499-003-application-exhaustion-flood|T1499.003 - Application Exhaustion Flood]] - [[t1499-004-application-or-system-exploitation|T1499.004 - Application or System Exploitation]] - [[m1037-filter-network-traffic|M1037 - Filter Network Traffic]] - [[anonymous-brasil|Anonymous Brasil]] - [[banco-central-do-brasil|Banco Central do Brasil]] --- *Fonte: [MITRE ATT&CK - T1499](https://attack.mitre.org/techniques/T1499)*