# T1190 - Exploit Public-Facing Application ## Descrição Adversários exploram vulnerabilidades em sistemas expostos à internet - servidores web, VPNs, firewalls, APIs públicas, bancos de dados e appliances de rede - para obter acesso inicial a uma rede-alvo. A fraqueza pode ser um bug de software, uma misconfiguration ou até um serviço temporariamente exposto durante uma jánela de manutenção. Ao contrário de técnicas que exigem interação humana, como [[t1566-phishing|Phishing (T1566)]], a exploração de aplicações públicas é frequentemente totalmente automatizada e não requer engajamento do usuário final - tornando-a uma das portas de entrada mais utilizadas por atores avançados. O escopo da técnica é amplo: inclui servidores web com falhas OWASP Top 10 (SQL Injection, RCE via deserialização, SSRF), appliances de borda como firewalls e VPNs com CVEs críticos não corrigidos, infraestrutura ESXi exposta, contêineres mal configurados e dispositivos de rede com interfaces de gerenciamento acessíveis externamente. Quando a aplicação comprometida está em infraestrutura em nuvem ou containerizada, o adversário pode escalar o acesso via [[t1552-005-cloud-instance-metadata-api|Cloud Instance Metadata API]] ou [[t1611-escape-to-host|Escape to Host]], transformando um único exploit em comprometimento de toda a plataforma. A exploração pode ainda combinar-se com [[t1211-exploitation-for-defense-evasion|Exploitation for Defense Evasion]] e [[t1203-exploitation-for-client-execution|Exploitation for Client Execution]] para maximizar o impacto. **Contexto Brasil/LATAM:** O Brasil é um dos países com maior superfície de ataque exposta na internet - dados do Shodan e FOFA consistentemente posicionam o país entre os 10 maiores em número de serviços vulneráveis expostos públicamente. Grupos como [[g1017-volt-typhoon|Volt Typhoon]] e [[g0007-apt28|APT28]] exploram appliances de borda (VPNs, firewalls, roteadores) em campanhas de espionagem; [[g0046-fin7|FIN7]] e [[g0115-gold-southfield|GOLD SOUTHFIELD]] focam em servidores web e sistemas ERP do setor financeiro e varejista. No contexto LATAM, CVEs em soluções de gerenciamento de rede populares em telecoms e governos são vetores frequentemente subestimados - mas amplamente mapeados por atores de ameaça com motivação financeira e de espionagem. ## Attack Flow ```mermaid graph TB A["Reconhecimento<br/>(Shodan / FOFA / Censys)"] --> B["Identificação de<br/>Vulnerabilidade Pública"] B --> C{{"T1190<br/>Exploit Aplicação<br/>Exposta"}}:::highlight C --> D["Webshell / RCE<br/>Implantado"] D --> E["Movimento Lateral<br/>& Persistência"] classDef highlight fill:#e74c3c,color:#fff ``` ## Como Funciona ### 1. Preparação O adversário conduz reconhecimento ativo da superfície de ataque usando ferramentas de enumeração de internet (Shodan, FOFA, Censys) para identificar serviços expostos na organização-alvo. Banners de versão, cabeçalhos HTTP e respostas de erro revelam o stack tecnológico. Com o alvo identificado, o ator localiza ou desenvolve um exploit para a vulnerabilidade detectada - frequentemente um CVE público recente com PoC disponível. Grupos como [[g0027-threat-group-3390|Threat Group-3390]] e [[g0094-kimsuky|Kimsuky]] mantêm listas de alvos pré-identificados que são atacados assim que um novo CVE é divulgado. ### 2. Execução O exploit é disparado contra o serviço exposto - um request HTTP malicioso contra um servidor web vulnerável, um payload de deserialização contra uma API REST, ou um pacote especialmente construído contra um serviço de rede. Quando bem-sucedido, o adversário obtém execução remota de código (RCE) no contexto do processo da aplicação. Em seguida, é comum o deploy de um webshell (como [[s0412-zxshell|ZxShell]]) ou o download de um implante como [[s1105-coathanger|COATHANGER]] ou [[s1184-boldmove|BOLDMOVE]] para garantir acesso persistente. Ferramentas como [[s0225-sqlmap|sqlmap]] e [[s0224-havij|Havij]] automatizam a exploração de injeção SQL em aplicações web. ### 3. Pós-execução Com acesso estabelecido, o adversário pivota para o interior da rede via movimentos laterais - explorando credenciais capturadas, serviços de autenticação interna e confiança entre sistemas. Em ambientes containerizados, pode executar [[t1611-escape-to-host|Escape to Host]] para comprometer o nó subjacente. Em infraestrutura cloud, acessa a [[t1552-005-cloud-instance-metadata-api|Cloud Instance Metadata API]] para obter credenciais de IAM. O [[s0623-siloscape|Siloscape]] é um exemplo de malware que explora containers Windows para escalar até o cluster Kubernetes. O acesso inicial frequentemente permanece silencioso por semanas antes da fase de exfiltração. ## Detecção ### Event IDs Relevantes | Plataforma | Event ID | Fonte | Descrição | |-----------|----------|-------|-----------| | Windows | 4688 | Security | Processo filho anômalo gerado por processo de aplicação web (IIS, Tomcat, Apache) | | Windows | 7045 | System | Novo serviço instalado logo após atividade de exploração suspeita | | Windows | 1 | Sysmon | `ProcessCreaté` - processo web server gerando `cmd.exe`, `powershell.exe` ou `wscript.exe` | | Windows | 3 | Sysmon | `NetworkConnect` de saída iniciada por processo de servidor web para IPs externos | | Linux | - | auditd | `execve` de processo filho de `nginx`, `apache2`, `tomcat` para shells ou ferramentas de rede | | Rede | - | WAF / IDS | Payloads de SQL injection, deserialização Java, SSRF, path traversal nos logs de acesso | ### Sigma Rule ```yaml title: Web Server Spawning Shell or Recon Tool id: b7e4c2f1-9d3a-4b8e-a1f5-2c6d0e7b3a9c status: experimental description: > Detecta processo de servidor web gerando interpretador de comandos ou ferramenta de reconhecimento - indicativo de exploração bem-sucedida via T1190. author: RunkIntel daté: 2026-03-24 references: - T1190 logsource: category: process_creation product: windows detection: selection_parent: ParentImage|endswith: - '\w3wp.exe' - '\httpd.exe' - '\nginx.exe' - '\tomcat.exe' - '\java.exe' - '\python.exe' - '\node.exe' selection_child: Image|endswith: - '\cmd.exe' - '\powershell.exe' - '\wscript.exe' - '\cscript.exe' - '\whoami.exe' - '\net.exe' - '\curl.exe' - '\certutil.exe' condition: selection_parent and selection_child falsepositives: - Processos de build ou deploy legítimos em servidores de CI/CD - Scripts de healthcheck que usam shell level: high tags: - attack.initial_access - attack.t1190 ``` ## Mitigação | ID | Mitigação | Ação Prática para Organizações Brasileiras | |----|-----------|---------------------------------------------| | [[m1051-update-software\|M1051]] | Atualização de Software | Implementar gestão de vulnerabilidades com SLA definido: CVEs críticos em appliances expostos devem ser corrigidos em até 48h - não 30 dias | | [[m1016-vulnerability-scanning\|M1016]] | Varredura de Vulnerabilidades | Executar scans externos semanais (perspectiva do atacante) além dos scans internos; ferramentas como Nuclei identificam CVEs exploráveis antes dos atores | | [[m1048-application-isolation-and-sandboxing\|M1048]] | Isolamento de Aplicações | Containerizar aplicações web e limitar privilégios do processo - impede escalada mesmo após RCE | | [[m1030-network-segmentation\|M1030]] | Segmentação de Rede | DMZ rigorosa: servidores expostos nunca devem ter acesso direto a Active Directory, bancos de dados de produção ou sistemas de pagamento | | [[m1037-filter-network-traffic\|M1037]] | Filtragem de Tráfego | WAF com regras OWASP Top 10 em modo bloqueio - não apenas detecção; bloquear saída não autorizada de servidores web | | [[m1026-privileged-account-management\|M1026]] | Gestão de Contas Privilegiadas | Processo de servidor web nunca deve rodar como `SYSTEM`, `root` ou conta de domínio - usar contas de serviço com privilégio mínimo | | [[m1035-limit-access-to-resource-over-network\|M1035]] | Limitar Acesso à Rede | Interfaces de gerenciamento de appliances (VPNs, firewalls) nunca devem ser acessíveis pela internet - restringir a IPs de gestão internos | | [[m1050-exploit-protection\|M1050]] | Proteção contra Exploits | Habilitar DEP, ASLR e CFG nos processos de servidor web; em Linux, usar AppArmor/SELinux para confinar processos | ## Threat Actors - **[[g0106-rocke|Rocke]]** - grupo chinês com foco em cryptomining; explora aplicações web mal configuradas (Apache Struts, Redis exposto) para deploy de mineradores em servidores Linux. - **[[g0027-threat-group-3390|Threat Group-3390]]** - APT chinês de espionagem; explora VPNs e servidores OWA vulneráveis para acesso inicial a governos e defesa. - **[[g0046-fin7|FIN7]]** - grupo financeiro altamente sofisticado; explora aplicações de ponto de venda e portais ERP expostos para comprometer redes do varejo e hospitalidade. - **[[g1017-volt-typhoon|Volt Typhoon]]** - APT chinês com foco em infraestrutura crítica; especializa-se em exploração de appliances de borda (SOHO routers, VPNs, firewalls) para acesso persistente silencioso. - **[[g0034-sandworm|Sandworm Team]]** - APT russo GRU; usou exploits de aplicações web e serviços expostos em campanhas de sabotagem contra infraestrutura crítica ucraniana e europeia. - **[[g0007-apt28|APT28]]** - APT russo GRU; explorou vulnerabilidades em Cisco, Microsoft Exchange e serviços VPN em campanhas de espionagem contra governos e organizações de defesa. - **[[g0094-kimsuky|Kimsuky]]** - APT norte-coreano; explora servidores web e aplicações de groupware para campanhas de espionagem contra think tanks, governo e academia. - **[[g1003-ember-bear|Ember Bear]]** - APT russo; explorou CVEs em servidores web ucranianos como parte de operações de influência e espionagem pré-invasão. - **[[g0135-backdoordiplomacy|BackdoorDiplomacy]]** - grupo de espionagem com foco em Ministérios das Relações Exteriores; explora servidores Exchange e appliances F5/Pulse Secure para acesso inicial. - **[[g0115-gold-southfield|GOLD SOUTHFIELD]]** - operadores do REvil/Sodinokibi; exploram aplicações web e APIs de gestão para acesso inicial antes de deploy de ransomware. ## Software Associado - [[s0623-siloscape|Siloscape]] - malware que explora containers Windows para escalar ao cluster Kubernetes; acesso inicial frequentemente via T1190. - [[s0225-sqlmap|sqlmap]] - ferramenta open-source de automação de SQL injection; amplamente usada por atores de ameaça para exploração de aplicações web. - [[s0516-sorefang|SoreFang]] - malware que captura credenciais de VPNs comprometidas via exploração de falhas em SonicWall; acesso inicial por T1190. - [[s0412-zxshell|ZxShell]] - webshell e RAT usado por grupos chineses após exploração de aplicações web; instalado como backdoor pós-comprometimento. - [[s1105-coathanger|COATHANGER]] - malware implantado em appliances Fortinet após exploração de CVEs críticos; persistente e difícil de detectar em firmware. - [[qilin|Qilin]] - ransomware que frequentemente usa exploração de VPNs vulneráveis como vetor de acesso inicial antes de criptografia. - [[s1184-boldmove|BOLDMOVE]] - backdoor Linux descoberto em appliances Fortinet comprometidos via T1190; atribuído a grupo iraniano. - [[s0224-havij|Havij]] - ferramenta de SQL injection usada por atores com menor sofisticação técnica para explorar aplicações web desatualizadas. --- *Fonte: [MITRE ATT&CK - T1190](https://attack.mitre.org/techniques/T1190)* ## Mapa de Defesa ```mermaid graph TB ATK["T1190"] ATK --> THAR["🛡️ Harden"] THAR --> D1["D3-PSEP<br/>Process Segment Execution Preven..."] THAR --> D2["D3-SAOR<br/>Segment Address Offset Randomiza..."] ATK --> TDET["📡 Detect"] TDET --> D3["D3-APCA<br/>Application Protocol Command Ana..."] TDET --> D4["D3-CSPP<br/>Client-server Payload Profiling"] TDET --> D5["D3-DQSA<br/>Database Query String Analysis"] TDET --> D6["D3-ISVA<br/>Inbound Session Volume Analysis"] TDET --> D7["D3-NTCD<br/>Network Traffic Community Deviation"] ATK --> TISO["🔒 Isolate"] TISO --> D8["D3-ITF<br/>Inbound Traffic Filtering"] TISO --> D9["D3-NTF<br/>Network Traffic Filtering"] classDef attack fill:#c0392b,color:#fff classDef detect fill:#2980b9,color:#fff classDef harden fill:#27ae60,color:#fff classDef isolate fill:#8e44ad,color:#fff classDef evict fill:#e67e22,color:#fff class ATK attack class THAR harden class TDET detect class TISO isolate ``` | Tática D3FEND | Técnica | ID | |--------------|---------|-----| | 🛡️ Harden | Process Segment Execution Prevention | D3-PSEP | | 🛡️ Harden | Segment Address Offset Randomization | D3-SAOR | | 📡 Detect | Application Protocol Command Analysis | D3-APCA | | 📡 Detect | Client-server Payload Profiling | D3-CSPP | | 📡 Detect | Database Query String Analysis | D3-DQSA | | 📡 Detect | Inbound Session Volume Analysis | D3-ISVA | | 📡 Detect | Network Traffic Community Deviation | D3-NTCD | | 📡 Detect | Network Traffic Signature Analysis | D3-NTSA | | 📡 Detect | Per Host Download-Upload Ratio Analysis | D3-PHDURA | | 📡 Detect | Protocol Metadata Anomaly Detection | D3-PMAD | | 📡 Detect | Remote Terminal Session Detection | D3-RTSD | | 📡 Detect | User Geolocation Logon Pattern Analysis | D3-UGLPA | | 🔒 Isolate | Inbound Traffic Filtering | D3-ITF | | 🔒 Isolate | Network Traffic Filtering | D3-NTF | *Fonte: [MITRE D3FEND](https://d3fend.mitre.org/offensive-technique/attack/T1190)*