t1200-hardware-additions

# T1200 - Hardware Additions ## Descrição **Hardware Additions** é uma técnica de acesso inicial na qual adversários introduzem fisicamente dispositivos de hardware em sistemas ou redes de uma organização. Ao contrário de ataques puramente digitais, essa abordagem exige que o agressor tenha acesso físico às instalações - sejá por infiltração direta, uso de prestadores de serviço como vetor, ou por meio de funcionários internos comprometidos. O hardware malicioso pode incluir dispositivos USB modificados, implantes de rede, keyloggers físicos e adaptadores Thunderbolt preparados para ataques do tipo DMA (*Direct Memory Access*). Uma vez inserido, o dispositivo pode executar diversas funções hostis sem depender de software instalado na máquina alvo: captura passiva de tráfego de rede via [[t1557-adversary-in-the-middle|Adversary-in-the-Middle]], injeção de teclas simulando digitação humana, leitura direta da memória do kernel, ou criação de novos pontos de acesso sem fio à rede corporativa. Ferramentas comerciais e open-source como o *Bash Bunny*, *LAN Turtle*, *Rubber Ducky* e *PCILeech* são amplamente conhecidas no meio ofensivo e são frequentemente usadas por equipes de *red team* para demonstrar esse risco. **Contexto Brasil/LATAM:** No Brasil, o risco de hardware additions é particularmente relevante para o setor [[_sectors|financeiro]] e de [[_sectors|infraestrutura crítica]]. Bancos brasileiros já foram alvo de grupos como o [[g0105-darkvishnya|DarkVishnya]], que utilizou técnica semelhante - conectando dispositivos físicos em redes bancárias na Europa Oriental - e que pode servir de modelo para grupos regionais. Em ambientes de alto tráfego como data centers colocalizados, salas de TI com acesso compartilhado entre fornecedores e espaços de coworking corporativo, a superfície de ataque física é frequentemente subestimada. A baixa maturidade em controles de segurança física em filiais e escritórios regionais de empresas latino-americanas amplia ainda mais essa exposição. **Event IDs relevantes (Windows):** | Event ID | Fonte | Descrição | |----------|-------|-----------| | `2003` | Microsoft-Windows-DriverFrameworks-UserMode | Novo dispositivo USB conectado | | `6416` | Security | Novo dispositivo externo reconhecido pelo sistema | | `7045` | System | Novo serviço instalado (possível driver de hardware malicioso) | | `4688` | Security | Criação de processo filho após conexão de dispositivo | **Regra Sigma:** ```yaml title: Suspicious USB Device Insertion with New Service id: a9b3e2d1-5f4c-4a7e-b8d2-c1e9f3a5d7b6 status: experimental description: Detecta inserção de dispositivo USB seguida de instalação de novo serviço - padrão de hardware malicioso references: - https://attack.mitre.org/techniques/T1200 logsource: product: windows service: system detection: new_device: EventID: 6416 SubjectLogonId|contains: '*' new_service: EventID: 7045 ServiceType: 'kernel mode driver' timeframe: 5m condition: new_device and new_service within timeframe falsepositives: - Instalação legítima de drivers após conexão de periférico corporativo level: high tags: - attack.initial_access - attack.t1200 ``` ## Attack Flow ```mermaid graph TB A[Reconhecimento Físico] --> B[Acesso às Instalações] B --> C:::highlight[Inserção de Hardware Malicioso] C --> D[Estabelecimento de Acesso Remoto] D --> E[Movimentação Lateral na Rede] classDef highlight fill:#e74c3c,color:#fff ``` ## Como Funciona ### 1. Preparação O adversário identifica o alvo por reconhecimento físico ou pesquisa de fontes abertas (OSINT), mapeando o layout das instalações, fornecedores com acesso regular e políticas de controle de visitantes. Um dispositivo malicioso é preparado - podendo ser um implante de rede disfarçado de cabo de patch, um keylogger embutido em um teclado USB aparentemente legítimo, ou um mini-computador (como Raspberry Pi) configurado para estabelecer conexão reversa via celular 4G/5G. ### 2. Execução O dispositivo é fisicamente conectado à rede ou sistema alvo. O vetor de acesso pode ser um funcionário corrompido, um prestador de serviço de TI infiltrado, ou um intruso que aproveitou controles físicos insuficientes (salas de servidores sem câmera, racks abertos, portas de rede ativas em áreas comuns). Uma vez conectado, o implante começa a operar autonomamente - capturando tráfego, injetando comandos ou abrindo um canal de comando e controle via [[t1095-non-application-layer-protocol|Non-Application Layer Protocol]] ou túnel cifrado. ### 3. Pós-execução Com o canal estabelecido, o adversário conduz [[t1557-adversary-in-the-middle|Adversary-in-the-Middle]] para capturar credenciais em trânsito, realiza [[t1091-replication-through-removable-media|Replication Through Removable Media]] para propagar malware, ou utiliza o dispositivo como pivô para ataques contra segmentos internos da rede. A persistência é inerente ao hardware - desligar a máquina alvo não elimina o implante. ## Detecção > [!warning] Detecção complexa > Hardware additions são difíceis de detectar por meios puramente lógicos. A detecção eficaz combina controles físicos (câmeras, logs de acesso) com monitoramento de rede e inventário de ativos. ## Mitigação | Controle | Mitigação MITRE | Recomendação para Organizações Brasileiras | |----------|----------------|---------------------------------------------| | Inventário de hardware | [[m1034-limit-hardware-installation\|M1034 - Limit Hardware Installation]] | Usar políticas de Group Policy (GPO) para bloquear classes de dispositivos USB não autorizados. Manter inventário CMDB atualizado de todos os ativos físicos. | | Controle de acesso físico | [[m1035-limit-access-to-resource-over-network\|M1035 - Limit Access to Resource Over Network]] | Implementar controle de acesso biométrico em salas de servidores e data rooms. Registrar em log todos os acessos físicos de terceiros. | | Segmentação de rede | [[m1035-limit-access-to-resource-over-network\|M1035 - Limit Access to Resource Over Network]] | Desativar portas de rede físicas em áreas comuns. Usar 802.1X para autenticação de dispositivos na rede cabeada. | | Monitoramento de ativos | Detecção contínua | Ferramentas de UEBA (ex: Securonix, Exabeam) para detectar novos dispositivos em segmentos críticos. Alertar sobre MACs desconhecidos na rede. | | Treinamento | [[m1017-user-training\|M1017 - User Training]] | Treinar funcionários para reportar dispositivos suspeitos conectados a estações de trabalho ou switches. Incluir cenários físicos em simulações de segurança. | ## Threat Actors - [[g0105-darkvishnya|DarkVishnya]] - Grupo criminoso financeiro que comprometeu múltiplos bancos na Europa Oriental conectando fisicamente dispositivos de acesso remoto (Bash Bunny, Raspberry Pi) diretamente em redes bancárias internas, sem qualquer interação de phishing ou exploração de software. ## Software Associado Não há software de ataque mapeado diretamente para esta técnica no MITRE ATT&CK - por natureza, o vetor é o hardware físico em si. Ferramentas de *red team* frequentemente associadas incluem implantes baseados em Raspberry Pi, dispositivos Hak5 (Bash Bunny, LAN Turtle) e hardware PCILeech para ataques DMA, embora não sejam rastreados como malware no framework. --- *Fonte: [MITRE ATT&CK - T1200](https://attack.mitre.org/techniques/T1200)*