# T1659 - Content Injection ## Descrição A injeção de conteúdo é uma técnica de acesso inicial em que adversários comprometem canais de comunicação de rede para interceptar e modificar tráfego legítimo entre um cliente e um servidor, inserindo payloads maliciosos no fluxo de dados sem que a vítima acesse um site comprometido ou receba um e-mail de phishing. Diferentemente de técnicas como [[t1189-drive-by-compromise|Drive-by Compromise]], que exige que a vítima navegue até um recurso malicioso, a injeção de conteúdo age diretamente no canal de comunicação - tornando qualquer requisição HTTP legítima um potencial veículo de infecção. O ataque pode ocorrer a partir do meio ("man-in-the-middle"), onde o adversário está posicionado entre o cliente e o servidor e modifica respostas em tempo real, ou a partir da lateral ("race injection"), onde um pacote malicioso é enviado para o cliente em corrida com a resposta legítima do servidor. O comprometimento de canais upstream - como provedores de internet (ISPs) ou roteadores de borda - é o vetor mais comum para este tipo de ataque, frequentemente associado ao conceito de "interceptação legal" (lawful interception) desviado para fins ofensivos. Uma vez estabelecido o acesso inicial, o canal comprometido também pode ser usado para entregar payloads adicionais via [[t1105-ingress-tool-transfer|Ingress Tool Transfer]] e manter comúnicações C2 persistentes. **Contexto Brasil/LATAM:** O Brasil possui um histórico documentado de operações de vigilância por ISPs que tornaram a infraestrutura de interceptação um vetor potencial de abuso. O grupo [[g1019-moustachedbouncer|MoustachedBouncer]], documentado pela ESET em 2023, demonstrou o uso preciso desta técnica em Belarus - injetando implantes em respostas HTTP via cumplicidade ou comprometimento de ISPs locais. O modelo é replicável em qualquer país onde a infraestrutura de interceptação existe sem salvaguardas adequadas. No contexto corporativo brasileiro, redes Wi-Fi públicas, proxies corporativos mal configurados e equipamentos de borda desatualizados representam os pontos de injeção mais acessíveis. Organizações que operam sem TLS em sistemas internos legados são particularmente vulneráveis. ## Attack Flow ```mermaid graph TB A([Usuário / Cliente]) -->|requisição HTTP\nlegítima| B([Canal de<br/>Comúnicação]) B:::highlight -->|injeção de\nconteúdo malicioso| C([Resposta<br/>Modificada]) C -->|recebida e\nexecutada pelo cliente| D([Acesso Inicial<br/>Estabelecido]) D -->|canal persistido| E([C2 / Payload<br/>Adicional]) classDef highlight fill:#e74c3c,color:#fff ``` ## Como Funciona **Passo 1 - Posicionamento no canal de comunicação** O adversário obtém posição privilegiada no fluxo de rede entre a vítima e servidores externos. Isso pode ocorrer via comprometimento de um ISP ou roteador de borda (cenário mais sofisticado, visto no [[g1019-moustachedbouncer|MoustachedBouncer]]), comprometimento de proxy corporativo, ataque a ponto de acesso Wi-Fi, ou exploração de equipamentos de rede vulneráveis como switches gerenciados ou firewalls. O posicionamento no ISP é particularmente eficaz pois afeta todo o tráfego do alvo, independentemente do dispositivo utilizado. **Passo 2 - Injeção ou corrida de resposta** Com posição estabelecida, o adversário monitora o tráfego em busca de requisições HTTP não criptografadas (ou tráfego HTTPS com certificado comprometido via MitM). Ao detectar uma requisição legítima - uma atualização de software, carregamento de página web, ou download de recurso - o adversário injeta sua resposta maliciosa. Na técnica de "race injection", o pacote malicioso é enviado ao cliente antes da resposta legítima chegar, explorando a diferença de latência. O conteúdo injetado pode ser um [[s1088-disco|Disco]] implant, um script JavaScript malicioso, ou um executável disfarçado de atualização. **Passo 3 - Execução e persistência** O cliente recebe e processa o conteúdo injetado como se fosse legítimo - executando o payload, que pode estabelecer comunicação C2 persistente através do mesmo canal comprometido. Como o canal de comunicação está sob controle do adversário, comúnicações subsequentes com o C2 também podem ser mascaradas como tráfego legítimo, dificultando a detecção por soluções de segurança baseadas em reputação de IP/domínio. Payloads adicionais podem ser entregues via [[t1105-ingress-tool-transfer|Ingress Tool Transfer]] usando o mesmo vetor. ## Detecção **Event IDs e indicadores relevantes** | Indicador | Plataforma | O que detecta | |-----------|-----------|---------------| | 3 (Sysmon) | Windows | Conexão de rede iniciada por processo após recebimento de resposta HTTP anômala | | 1 (Sysmon) | Windows | Processo filho inesperado criado por navegador ou cliente HTTP | | DNS anomalia | Rede | Respostas DNS com TTL muito baixo ou redirecionamento para IPs inesperados | | HTTP 200 anômalo | Proxy/Firewall | Respostas HTTP de tamanho inconsistente com o conteúdo esperado do servidor legítimo | | Cert anomalia | Rede/Endpoint | Certificado TLS com cadeia de confiança incomum ou subject diferente do esperado | **Sigma Rule - Detecção de Processo Filho Suspeito a partir de Navegador** ```yaml title: Suspicious Child Process Spawned by Web Browser via Injected Content id: c9e5a3f2-6d1b-4e8c-be34-5f7h8i9j0k1l status: experimental description: > Detecta processos suspeitos criados por navegadores web - possível indicador de injeção de conteúdo malicioso via canal de rede comprometido (T1659). Diferencia-se de exploração de browser por focar em processos de sistema iniciados via conteúdo dinâmico (não exploit de CVE de browser). references: - https://attack.mitre.org/techniques/T1659/ author: RunkIntel daté: 2026-03-24 logsource: category: process_creation product: windows detection: selection_parent: ParentImage|endswith: - '\chrome.exe' - '\firefox.exe' - '\msedge.exe' - '\iexplore.exe' - '\brave.exe' selection_suspicious: Image|endswith: - '\powershell.exe' - '\cmd.exe' - '\wscript.exe' - '\cscript.exe' - '\mshta.exe' - '\certutil.exe' - '\bitsadmin.exe' - '\regsvr32.exe' filter_known_legitimate: CommandLine|contains: - 'extension' - 'NativeMessagingHost' condition: selection_parent and selection_suspicious and not filter_known_legitimate falsepositives: - Extensões de browser legítimas que executam processos nativos - Ferramentas de desenvolvimento com DevTools integradas level: high tags: - attack.initial_access - attack.t1659 ``` **Detecção em nível de rede:** Implementar inspeção de anomalias em respostas HTTP via IDS/IPS (Suricata/Snort): regras que detectam `Content-Length` inconsistente com o tamanho real do payload, respostas duplicadas para a mesma requisição, ou scripts JavaScript injetados em respostas de servidores que não deveriam servir JavaScript (ex: APIs REST, downloads de binários). ## Mitigação | ID | Mitigação | Aplicação Prática para Organizações Brasileiras | |----|-----------|------------------------------------------------| | [[m1041-encrypt-sensitive-information\|M1041]] | Criptografar Informações Sensíveis | **Principal mitigação:** Implementar HTTPS em 100% dos recursos - incluindo sistemas internos, APIs e aplicações legadas. Habilitar HSTS (HTTP Strict Transport Security) com `includeSubDomains` e `preload` para impedir downgrade para HTTP. Certificados gratuitos via Let's Encrypt eliminam a barreira de custo para PMEs brasileiras. | | [[m1021-restrict-web-based-content\|M1021]] | Restringir Conteúdo Web | Implementar Content Security Policy (CSP) rigorosa nas aplicações web para bloquear execução de scripts injetados. Usar proxies de saída com inspeção SSL/TLS e válidação de certificados. Bloquear acesso a HTTP puro via política de proxy corporativo. | | Monitoramento de rede | Complementar | Implementar solução NDR (Network Detection and Response) para detectar anomalias em padrões de tráfego HTTP. Monitorar respostas HTTP com `Content-Type` inconsistente ou redirects inesperados para domínios não relacionados ao servidor de origem. | | Segmentação de rede | Complementar | Segmentar redes corporativas para limitar o impacto de um adversário posicionado internamente. Roteadores e switches de borda devem ser atualizados e monitorados como ativos críticos - não apenas como infraestrutura "invisível". | ## Threat Actors O [[g1019-moustachedbouncer|MoustachedBouncer]] é o grupo mais documentado no uso de T1659. Ativo desde pelo menos 2014 e monitorado pela ESET, o grupo opera em Belarus com foco em espionagem contra embaixadas estrangeiras. Sua técnica característica envolve a colaboração com ISPs belarussos para redirecionar tráfego de vítimas específicas e injetar implantes - incluindo o [[s1088-disco|Disco]] e outros backdoors - diretamente nas respostas HTTP recebidas pelos alvos. A técnica é cirúrgica: apenas endereços IP de interesse são afetados, tornando a detecção extremamente difícil sem visibilidade de rede completa. O padrão operacional do [[g1019-moustachedbouncer|MoustachedBouncer]] é considerado um templaté de referência para operações de espionagem patrocinadas por estados que possuem controle ou acesso à infraestrutura de ISPs - um modelo relevante para avaliar riscos em qualquer país com legislação de interceptação obrigatória. ## Software Associado O [[s1088-disco|Disco]] é um plugin de coleta de dados desenvolvido e utilizado exclusivamente pelo [[g1019-moustachedbouncer|MoustachedBouncer]], entregue via injeção de conteúdo em canais HTTP comprometidos. O implante é modular e capaz de capturar screenshots, listar arquivos, executar comandos remotos e exfiltrar dados através do mesmo canal de comunicação comprometido pelo qual foi entregue - fechando o ciclo operacional da técnica T1659. --- *Fonte: [MITRE ATT&CK - T1659](https://attack.mitre.org/techniques/T1659)*