# T1189 - Drive-by Compromise ## Descrição Drive-by Compromise é uma técnica de acesso inicial em que o adversário compromete o dispositivo da vítima simplesmente ao fazer com que ela acesse um site malicioso ou comprometido durante a navegação normal. Diferentemente de ataques que requerem a execução explícita de um arquivo, o drive-by explora vulnerabilidades no próprio browser ou em seus plugins - como leitores de PDF, extensões, players de vídeo ou componentes Java - de forma silenciosa e sem interação perceptível por parte do usuário. Os mecanismos de entrega do exploit são variados. O adversário pode comprometer um site legítimo e injetar código malicioso diretamente em suas páginas, modificar arquivos JavaScript servidos a partir de buckets de armazenamento em nuvem com permissão de escrita pública, ou veicular anúncios maliciosos via plataformas de publicidade legítimas - técnica conhecida como [[t1583-008-malvertising|Malvertising]]. Outra variante envolve o uso de notificações push do browser: ao clicar em "Permitir", o usuário concede permissão para execução de código JavaScript arbitrário. Ataques do tipo watering hole - onde o adversário compromete um site frequentado por um grupo-alvo específico - são particularmente eficazes para espionagem direcionada a setores como governo, defesa ou finanças. **Contexto Brasil/LATAM:** O Brasil é um dos países com maior volume de ataques de watering hole e malvertising na América Latina. Grupos como [[g0048-rtm|RTM]] e atores focados em fraude bancária frequentemente comprometem portais de notícias, blogs jurídicos e sites de associações profissionais frequentados por advogados, contadores e funcionários de instituições financeiras. O [[s1124-socgholish|SocGholish]] - um dos frameworks de drive-by mais ativos globalmente - foi observado em campanhas atingindo usuários brasileiros disfarçado de atualização falsa de browser. O [[s0531-grandoreiro|Grandoreiro]] também recorre a páginas de phishing com exploit de browser para distribuição inicial em alvos corporativos no país. ## Attack Flow ```mermaid graph TB A[Usuário Navega] --> B[Site Comprometido/Malicioso] B --> C{Exploit de Browser}:::highlight C --> D[Payload Executado] D --> E[Acesso Inicial Obtido] classDef highlight fill:#e74c3c,color:#fff ``` ## Como Funciona **Preparação** O adversário prepara a infraestrutura de ataque de uma entre várias formas: compromete um site legítimo de alto tráfego frequentado pelo perfil-alvo (watering hole), contrata espaço em plataformas de anúncios para servir malvertising, ou cria um site clonado que imita um portal confiável. Um exploit kit - como RIG, Purple Fox ou similar - é implantado no servidor para detectar automaticamente a versão do browser e plugins da vítima e selecionar o exploit mais adequado. **Execução** Quando a vítima acessa o site, scripts são executados automaticamente no contexto do browser. O exploit kit realiza fingerprinting do ambiente (versão do browser, sistema operacional, plugins instalados), seleciona o exploit correspondente à vulnerabilidade identificada, e entrega o shellcode ou script malicioso. Em alguns cenários, a vítima precisa interagir minimamente - como clicar em "Permitir" em uma notificação push ou ignorar um aviso de segurança - antes da exploração bem-sucedida via [[t1204-user-execution|User Execution]]. **Pós-execução** Com a exploração bem-sucedida, o adversário obtém execução de código no contexto do processo do browser ou, se o exploit permitir escalada de privilégio, no nível do sistema operacional. A partir desse ponto, geralmente ocorre o download de um implante de segundo estágio para persistência, usando técnicas como [[t1608-004-drive-by-target|Drive-by Target]] em sequência com outros vetores de progressão lateral. ## Detecção **Event IDs relevantes (Windows)** | Event ID | Fonte | O que indica | |----------|-------|--------------| | 1 | Sysmon (Process Creaté) | Browser gerando processo filho incomum (cmd.exe, powershell.exe, wscript.exe) | | 3 | Sysmon (Network Connection) | Browser conectando a domínios de baixa reputação ou recém-registrados | | 11 | Sysmon (File Creaté) | Arquivo executável criado em pasta Temp pelo processo do browser | | 4688 | Security | Criação de processo com linha de comando suspeita originada de browser | | 7 | Sysmon (Image Loaded) | Carregamento de DLL suspeita no contexto do browser | **Regra Sigma - Browser Gerando Processo Shell Suspeito** ```yaml title: Browser Spawning Suspicious Child Process id: a3c7e9f1-2b4d-4e8a-9f3b-6d1e5c7a8b02 status: experimental description: Detecta browsers gerando processos de linha de comando - indicativo de drive-by compromise bem-sucedido author: RunkIntel daté: 2026-03-24 logsource: category: process_creation product: windows service: sysmon detection: selection_parent: EventID: 1 ParentImage|contains: - 'chrome.exe' - 'firefox.exe' - 'msedge.exe' - 'iexplore.exe' - 'brave.exe' - 'opera.exe' selection_child: Image|endswith: - '\cmd.exe' - '\powershell.exe' - '\wscript.exe' - '\cscript.exe' - '\mshta.exe' - '\rundll32.exe' - '\regsvr32.exe' condition: selection_parent and selection_child falsepositives: - Algumas extensões de browser legítimas podem gerar processos auxiliares - Ferramentas de desenvolvimento como DevTools integrados level: high tags: - attack.initial_access - attack.t1189 ``` ## Mitigação | ID | Mitigação | Recomendação Prática para Organizações Brasileiras | |----|-----------|---------------------------------------------------| | M1050 | [[m1050-exploit-protection\|M1050 - Exploit Protection]] | Ative o Microsoft Defender Exploit Guard ou equivalente em todas as estações de trabalho. Configure proteção contra heap spray e mitigações de controle de fluxo para os processos de browser usados pela organização. | | M1051 | [[m1051-update-software\|M1051 - Updaté Software]] | Mantenha browsers e plugins atualizados por meio de uma política de patch rigorosa. Considere forçar atualizações automáticas de browser via GPO ou ferramenta de patch management - muitas PMEs brasileiras operam com browsers desatualizados por meses. | | M1048 | [[m1048-application-isolation-and-sandboxing\|M1048 - Application Isolation and Sandboxing]] | Use browsers com sandbox habilitado por padrão (Chrome, Edge Chromium). Avalie soluções de Remote Browser Isolation (RBI) para usuários de alto risco, como executivos e equipes financeiras. | | M1021 | [[m1021-restrict-web-based-content\|M1021 - Restrict Web-Based Content]] | Implante proxy web com categorização e bloqueio de sites de baixa reputação. Desabilite plugins legados (Flash, Silverlight, Java applet) que são vetores frequentes de exploit. Configure política de Content Security Policy (CSP) nos sites da organização. | | M1017 | [[m1017-user-training\|M1017 - User Training]] | Treine usuários para reconhecer e rejeitar solicitações de notificação push suspeitas e alertas de atualização falsos. No contexto brasileiro, inclua exemplos de sites de notícias comprometidos e portais de serviços públicos clonados frequentemente usados como iscas. | ## Threat Actors que Usam - [[g0134-transparent-tribe|Transparent Tribe]] - APT paquistanês que compromete sites relacionados a defesa e governo para realizar watering hole attacks contra funcionários de organizações-alvo na Índia e regiões adjacentes - [[g0048-rtm|RTM]] - grupo de fraude financeira que usa drive-by em portais frequentados por usuários de sistemas de pagamento, com foco em pequenas e médias empresas - [[g0068-platinum|PLATINUM]] - APT de espionagem com foco no sul e sudeste asiático; utiliza drive-by para comprometimento inicial silencioso de alvos governamentais - [[g0112-windshift|Windshift]] - ator de ameaça focado em Oriente Médio; usa drive-by comprometendo sites de interesse específico de perfis-alvo - [[g1006-earth-lusca|Earth Lusca]] - grupo chinês que combina drive-by com spearphishing para acesso inicial a organizações de mídia, governo e telecomúnicações - [[g0082-apt38|APT38]] - ator norte-coreano focado em crime financeiro; usa drive-by para comprometer instituições do setor financeiro globalmente, incluindo bancos brasileiros - [[g0012-darkhotel|Darkhotel]] - APT que historicamente usou redes Wi-Fi de hotéis para drive-by; também documenta uso de watering holes em portais corporativos - [[g0138-andariel|Andariel]] - subgrupo norte-coreano focado em espionagem e sabotagem; usa drive-by como vetor de acesso inicial contra alvos de defesa e saúde - [[g0001-axiom|Axiom]] - grupo de espionagem chinês que usa watering holes em sites de indústrias estratégicas para comprometer organizações do setor - [[g0073-apt19|APT19]] - APT chinês que combina drive-by com malvertising para comprometimento de firmas de advocacia e consultoria estratégica ## Software Associado - [[s1124-socgholish|SocGholish]] - framework de drive-by que se disfarça de atualização falsa de browser; altamente ativo em campanhas que atingem usuários brasileiros e latino-americanos - [[s0531-grandoreiro|Grandoreiro]] - trojan bancário que usa páginas de phishing com técnicas de drive-by para distribuição inicial no Brasil e América Latina - [[s0483-icedid|IcedID]] - malware bancário distribuído via drive-by e malvertising; usado como loader para ransomware em campanhas globais - [[s0496-revil|REvil]] - operação de ransomware que usou drive-by como vetor de acesso inicial em campanhas de alto impacto no setor industrial - [[s0215-karae|KARAE]] - backdoor usado pelo APT37 entregue via drive-by em sites de notícias comprometidos - [[s0606-bad-rabbit|Bad Rabbit]] - ransomware distribuído via falsa atualização de Adobe Flash em sites de mídia comprometidos - [[s0482-bundlore|Bundlore]] - adware/malware macOS distribuído via drive-by em sites de download de software - [[s1086-snip3|Snip3]] - loader usado em campanhas de drive-by visando o setor de aviação e transporte - [[s0216-pooraim|POORAIM]] - backdoor do APT37 entregue via drive-by em sites comprometidos frequentados por perfis-alvo coreanos - [[loudminer|LoudMiner]] - malware de cryptojacking distribuído via drive-by mascarado como software pirata --- *Fonte: [MITRE ATT&CK - T1189](https://attack.mitre.org/techniques/T1189)*