# T1021 - Remote Services
## Descrição
**Remote Services** é a técnica pela qual adversários utilizam [[t1078-valid-accounts|contas válidas]] para autenticar em serviços que aceitam conexões remotas - como SSH, RDP, VNC, SMB e serviços de gerenciamento em nuvem - e, a partir daí, executar ações laterais no ambiente comprometido.
Em ambientes corporativos brasileiros, essa técnica é particularmente crítica porque a maioria das organizações opera redes segmentadas em domínios Active Directory, onde um único conjunto de credenciais dá acesso a dezenas ou centenas de máquinas simultaneamente. Um adversário que obtenha credenciais de domínio - sejá por [[t1110-brute-force|força bruta]], [[t1566-phishing|phishing]] ou dumping de credenciais - pode mover-se lateralmente por toda a rede sem precisar explorar nenhuma vulnerabilidade técnica adicional.
No contexto **Brasil/LATAM**, essa técnica aparece com frequência em incidentes de [[ransomware]] contra o setor financeiro, de saúde e órgãos governamentais. Grupos como [[g0102-conti-group|Wizard Spider]] (operadores do [[ryuk-ransomware|Ryuk]] e [[conti|Conti]]) e [[g1003-ember-bear|Ember Bear]] documentadamente abusaram de RDP e SSH para alcançar controladores de domínio antes de executar a criptografia em massa. No Brasil, a exposição de RDP diretamente na internet - sem VPN ou MFA - continua sendo um vetor primário de comprometimento inicial e de movimentação lateral, especialmente em PMEs e órgãos municipais.
> [!warning] Relevância Brasil
> Segundo dados do CERT.br, conexões RDP expostas na internet representam uma das principais superfícies de ataque em incidentes reportados no país. Campanhas de ransomware como **Dharma** e **STOP/Djvu** têm explorado massivamente essa exposição em organizações brasileiras de pequeno e médio porte.
### Sub-técnicas Relacionadas
| Sub-técnica | Protocolo | Relevância no Brasil |
|-------------|-----------|----------------------|
| [[t1021-001-remote-desktop-protocol\|T1021.001 - RDP]] | TCP 3389 | Altíssima - vetor #1 em ransomware |
| [[t1021-002-smbwindows-admin-shares\|T1021.002 - SMB]] | TCP 445 | Alta - worm propagation, credential relay |
| [[t1021-004-ssh\|T1021.004 - SSH]] | TCP 22 | Alta - servidores Linux, ambientes cloud |
| [[t1021-005-vnc\|T1021.005 - VNC]] | TCP 5900 | Média - legado industrial, SCADA |
| [[t1021-006-windows-remote-management\|T1021.006 - WinRM]] | TCP 5985/5986 | Média - automação corporativa |
| [[t1021-007-cloud-services\|T1021.007 - Cloud Services]] | HTTPS | Crescente - Azure AD, AWS, GCP |
---
## Attack Flow
```mermaid
graph TB
A([Acesso Inicial]) --> B[Credenciais Obtidas<br/>t1078 / t1110]
B --> C{Tipo de Serviço\nRemoto}
C -->|RDP 3389| D[Windows Host<br/>t1021.001]
C -->|SSH 22| E[Linux / macOS<br/>t1021.004]
C -->|SMB 445| F[Admin Shares<br/>t1021.002]
C -->|Cloud CLI| G[IaaS / SaaS<br/>t1021.007]
D --> H:::highlight
E --> H
F --> H
G --> H
H([Movimentação Lateral<br/>Executada])
H --> I[Acesso a DC<br/>Dump de Credenciais]
I --> J([Impacto<br/>Ransomware / Exfiltração])
classDef highlight fill:#e74c3c,color:#fff
```
---
## Como Funciona
### Passo 1 - Obtenção de Credenciais Válidas
O adversário primeiro obtém credenciais de domínio ou credenciais locais de uma máquina comprometida. Isso pode ocorrer via [[t1566-phishing|phishing]], [[t1110-brute-force|ataque de força bruta]] contra serviços expostos, ou via dumping de credenciais com ferramentas como [[mimikatz|Mimikatz]] após acesso inicial. Credenciais de contas de serviço e administradores locais com a mesma senha em múltiplos hosts ([[t1078-003-local-accounts|Local Accounts]]) são alvos preferênciais por oferecerem o maior alcance lateral.
### Passo 2 - Conexão ao Serviço Remoto
Com as credenciais em mãos, o adversário autentica diretamente no serviço remoto da máquina alvo. No caso do RDP (`mstsc.exe`, `xfreerdp`), estabelece uma sessão gráfica interativa. No SSH, executa comandos de forma silenciosa. Em SMB, monta compartilhamentos administrativos (`\\target\C
) para transferir arquivos ou executar [[t1569-002-service-execution|serviços remotos]]. Para ambientes de nuvem, usa CLIs como `az login`, `aws sts`, ou `gcloud auth login` com tokens de aplicação ([[t1550-001-app-access-token|App Access Token]]).
### Passo 3 - Ações Pós-Acesso e Pivot Adicional
Uma vez dentro do host remoto, o adversário executa reconhecimento local, eleva privilégios se necessário, e inicia um novo ciclo de movimentação lateral a partir desse ponto. O padrão típico em incidentes de ransomware é: `Host comum → Servidor de arquivos → Controlador de Domínio → Backup servers`. O [[s0154-cobalt-strike|Cobalt Strike]] e o [[brute-ratel-c4|Brute Ratel C4]] são frequentemente usados para estabelecer beacons persistentes nesses pivôs.
---
## Detecção
### Event IDs Críticos (Windows)
| Event ID | Log | Descrição |
|----------|-----|-----------|
| **4624** | Security | Logon bem-sucedido - Tipo 3 (Network), 10 (RemoteInteractive) |
| **4625** | Security | Falha de logon - indicativo de força bruta |
| **4648** | Security | Logon com credenciais explícitas (pass-the-hash/ticket) |
| **4776** | Security | Tentativa de válidação de credencial NTLM |
| **4768/4769** | Security | Solicitação de TGT/TGS Kerberos |
| **5156** | Security | Windows Filtering Platform - conexão de rede aceita |
| **1149** | TerminalServices-RemoteConnectionManager | Autenticação RDP bem-sucedida |
| **21** | TerminalServices-LocalSessionManager | Logon RDP realizado |
### Sigma Rule - Detecção de Logon Lateral via Network
```yaml
title: Lateral Movement via Remote Service Login
id: a9e4d8b2-3f1c-4e5a-9d7b-6c2e8f0a1b34
status: experimental
description: Detecta logons do tipo Network (Tipo 3) e RemoteInteractive (Tipo 10)
originados de hosts internos não esperados, indicativo de movimentação lateral.
references:
- https://attack.mitre.org/techniques/T1021
author: RunkIntel
daté: 2026-03-24
tags:
- attack.lateral_movement
- attack.t1021
logsource:
product: windows
service: security
detection:
selection:
EventID:
- 4624
LogonType:
- 3
- 10
filter_local:
SubjectUserName|endswith: '
filter_wellknown:
IpAddress:
- '127.0.0.1'
- '::1'
- '-'
condition: selection and not filter_local and not filter_wellknown
fields:
- EventID
- SubjectUserName
- TargetUserName
- IpAddress
- WorkstationName
- LogonType
falsepositives:
- Administradores legítimos realizando tarefas remotas planejadas
- Jump servers e bastion hosts autorizados
level: medium
```
---
## Mitigação
> [!tip] Priorização para Organizações Brasileiras
> As mitigações abaixo são ordenadas por impacto prático no contexto de incidentes reportados no Brasil. MFA e segmentação de rede têm o maior ROI imediato.
| Prioridade | Controle | Implementação Prática |
|------------|----------|-----------------------|
| **Crítica** | [[m1032-multi-factor-authentication\|MFA (M1032)]] | Habilitar MFA para todos os acessos RDP/VPN expostos externamente. Azure AD MFA, Duo, ou autenticadores TOTP. |
| **Crítica** | [[m1035-limit-access-to-resource-over-network\|Restrição de Rede (M1035)]] | Nunca expor RDP (3389) ou SSH (22) diretamente na internet. Usar VPN + jump server. Segmentar com firewall de camada 7. |
| **Alta** | [[m1018-user-account-management\|Gestão de Contas (M1018)]] | Eliminar contas de administrador local com a mesma senha em múltiplos hosts (LAPS - Local Administrator Password Solution). |
| **Alta** | [[m1027-password-policies\|Políticas de Senha (M1027)]] | Senhas de no mínimo 14 caracteres, complexidade alta, rotação semestral para contas privilegiadas. Detectar spray de senhas. |
| **Média** | [[m1047-audit\|Auditoria (M1047)]] | Habilitar auditoria de logon/logoff no Active Directory. Enviar Event IDs 4624, 4625, 4648 para SIEM. |
| **Média** | [[m1042-disable-or-remove-feature-or-program\|Desabilitação (M1042)]] | Desabilitar RDP e WinRM em workstations que não precisam de acesso remoto. Rever serviços habilitados por padrão. |
---
## Threat Actors e Software Associado
> [!note] Atores com Impacto Documentado no Brasil/LATAM
### Grupos que Utilizam T1021
**[[g0102-conti-group|Wizard Spider]]** - Grupo criminoso russo responsável pelas famílias [[ryuk-ransomware|Ryuk]] e [[conti|Conti]]. Em campanhas documentadas, usou RDP como principal vetor de movimentação lateral após comprometimento inicial via [[t1566-spearphishing-attachment|spearphishing]]. Teve impacto significativo em hospitais e empresas de logística na América Latina.
**[[g0143-aquatic-panda|Aquatic Panda]]** - APT chinês com histórico de exploração de serviços remotos em ambientes Windows e Linux. Focado em espionagem em setores de telecomúnicações e governo, incluindo países da América do Sul.
**[[g1003-ember-bear|Ember Bear]]** - Grupo russo (também identificado como UAC-0056/GhostWriter) com ataques documentados via RDP e SMB em campanhas de sabotagem. Associado a operações de influência e wiper attacks.
### Ferramentas e Malware Relacionados
| Ferramenta/Malware | Tipo | Uso nesta Técnica |
|---------------------|------|-------------------|
| [[s0154-cobalt-strike\|Cobalt Strike]] | C2 Framework | Beacon via named pipes em sessões SMB; pivô lateral |
| [[brute-ratel-c4\|Brute Ratel C4]] | C2 Framework | Alternativa ao CS; conexão via RDP e SSH |
| [[mimikatz\|Mimikatz]] | Credential Dumper | Extrai credenciais para autenticar em serviços remotos |
| [[s1016-macma\|MacMa]] | Malware macOS | Abusa de ARD/VNC para movimentação lateral em macOS |
| [[s0437-kivars\|Kivars]] | RAT | Acesso remoto persistente em hosts comprometidos |
---
*Fonte: [MITRE ATT&CK - T1021](https://attack.mitre.org/techniques/T1021)*