# T1210 - Exploitation of Remote Services ## Descrição **Exploitation of Remote Services** descreve o uso de vulnerabilidades em serviços de rede internos para movimentação lateral - ou sejá, o adversário já está dentro da rede e explora falhas em serviços remotos acessíveis entre hosts para comprometer sistemas adicionais sem necessidade de credenciais válidas. Diferente de técnicas que abusam de autenticação legítima (como [[t1021-002-smbwindows-admin-shares|SMB Admin Shares]] ou [[t1021-001-remote-desktop-protocol|RDP]]), aqui o vetor é a **exploração de uma falha de software** em um serviço exposto internamente - SMB, RDP, MySQL, servidores web internos, endpoints de API, sistemas de virtualização como VMware vCenter, e até hipervisores ESXi. O objetivo é obter execução de código no sistema remoto, frequentemente com escalação de privilégios como consequência ([[t1068-exploitation-privilege-escalation|Exploitation for Privilege Escalation]]). O ciclo começa com [[t1046-network-service-discovery|Network Service Discovery]] para mapear serviços expostos internamente, seguido de identificação de versões vulneráveis (ausência de patches, banners de versão expostos, fingerprinting) e exploração com código de ataque (PoC público ou exploit customizado). > **Contexto Brasil/LATAM:** Esta técnica é particularmente crítica para o Brasil por três razões estruturais. Primeiro, o ciclo de patching em organizações brasileiras - especialmente no setor público, saúde e manufatura - costuma ser lento, criando jánelas de exposição que se estendem por meses após a divulgação de CVEs críticos. Segundo, a expansão acelerada da infraestrutura de virtualização (VMware vCenter/ESXi) sem hardening adequado criou uma superfície de ataque significativa: campanhas recentes de [[g0117-fox-kitten|Fox Kitten]] e grupos de ransomware exploraram vulnerabilidades em vCenter para comprometer centenas de VMs de uma só vez. Terceiro, o [[s0608-conficker|Conficker]] - worm que explora vulnerabilidades SMB via MS08-067 - ainda circula em redes industriais e hospitalares brasileiras com sistemas legados sem patch, segundo dados do [[sources|CERT.br]]. CVEs como [[cve-2021-34527|CVE-2021-34527 (PrintNightmare)]], [[cve-2020-0796|CVE-2020-0796 (SMBGhost)]] e [[cve-2021-21985|CVE-2021-21985 (vCenter RCE)]] foram explorados em movimentação lateral em ataques documentados contra organizações na América Latina. --- ## Attack Flow ```mermaid graph TB A([Acesso Inicial<br/>ao ambiente]) --> B[Reconhecimento Interno<br/>t1046-network-service-discovery] B --> C[Identificação de<br/>Serviços Vulneráveis] C --> D{Tipo de Serviço} D -->|SMB/RDP| E[Exploit Windows<br/>EternalBlue/BlueKeep] D -->|vCenter/ESXi| F[Exploit VMware<br/>RCE/Auth Bypass] D -->|MySQL/Web| G[Exploit App Layer<br/>SQL Injection/RCE] E --> H([T1210 - Exploitation<br/>of Remote Services]):::highlight F --> H G --> H H --> I[Execução de Código<br/>no Host Remoto] I --> J[Escalação de Privilégios<br/>t1068] I --> K[Instalação de<br/>Backdoor/Implante] K --> L[Propagação para<br/>próximo alvo] L --> B classDef highlight fill:#e74c3c,color:#fff ``` --- ## Como Funciona **Passo 1 - Reconhecimento de serviços internos vulneráveis** Uma vez dentro da rede, o adversário executa varreduras de descoberta ([[t1046-network-service-discovery|Network Service Discovery]]) para mapear todos os serviços acessíveis: portas abertas, banners de versão, protocolos suportados. Ferramentas como `nmap`, `masscan`, módulos do [[s0363-empire|Empire]] ou scanners embutidos em malwares como [[s0650-qakbot|QakBot]] automatizam esse processo. O foco são serviços com histórico de vulnerabilidades críticas: SMB (445), RDP (3389), MySQL (3306), WinRM (5985), vCenter (443/9443), ESXi (443/22). **Passo 2 - Seleção e adaptação do exploit** Com os serviços identificados, o adversário correlaciona versões com CVEs conhecidos - consultando bases públicas (NVD, ExploitDB) ou usando inteligência privada. PoCs públicos para vulnerabilidades de alto impacto (EternalBlue/MS17-010, BlueKeep/CVE-2019-0708, PrintNightmare/CVE-2021-34527) são frequentemente reutilizados diretamente ou integrados a frameworks como [[s0363-empire|Empire]] e Metasploit. Em alvos de alto valor, grupos como [[g0007-apt28|APT28]] e [[g0035-dragonfly|Dragonfly]] desenvolvem exploits customizados para serviços industriais e SCADA. **Passo 3 - Exploração, execução e pivô** O exploit é disparado contra o serviço vulnerável remoto. Em caso de sucesso, o adversário obtém execução de código - geralmente como `SYSTEM` (Windows) ou `root` (Linux/ESXi) - no host remoto. A partir desse ponto, instala um implante persistente ([[s0260-invisimole|InvisiMole]], [[s0143-flame|Flame]], backdoor customizado), limpa evidências ([[t1070-indicator-removal|Indicator Removal]]) e repete o ciclo para avançar mais profundamente na rede. Em ambientes VMware, comprometer o vCenter equivale a comprometer todas as VMs gerenciadas. --- ## Detecção ### Event IDs relevantes (Windows / Linux) | Event ID / Log | Fonte | Descrição | |----------------|-------|-----------| | 4625 | Security (Windows) | Falha de logon - múltiplas falhas seguidas de sucesso indicam exploit tentando autenticar | | 4656 / 4663 | Security (Windows) | Acesso a objeto - acesso anômalo a serviços internos após exploit bem-sucedido | | 1000 / 1001 | Application (Windows) | Crash de aplicação - serviços vulneráveis podem crashar antes do exploit ter sucesso | | 4688 | Security (Windows) | Criação de processo - processo filho spawn de serviço de rede (lsass, spoolsv, vmware-hostd) | | auth.log | Syslog (Linux) | Falhas de autenticação SSH/MySQL seguidas de acesso bem-sucedido de IP interno | | 3 | Sysmon | Network Connection - conexão lateral de processo de serviço para porta incomum | | 1 | Sysmon | Process Creaté - cmd.exe/bash spawned por serviço de rede (spoolsv.exe → cmd.exe = PrintNightmare) | | vmkernel.log | ESXi | Erros de kernel ou processos anômalos no hipervisor - indicam exploit contra ESXi | ### Sigma Rule ```yaml title: Possível Exploração de Serviço Remoto para Movimentação Lateral id: c9e53f02-7b1d-4e88-af23-18c52d034567 status: experimental description: > Detecta padrões indicativos de exploração de serviço remoto interno: processo filho anômalo gerado por serviço de rede, ou conexão lateral originada de processo de serviço para porta de serviço em host remoto. Cobre vetores comuns: PrintNightmare (spoolsv), EternalBlue (smbd/lsass), e exploits vCenter (vmware-hostd). Relevante para ambientes LATAM com ciclo de patching lento. references: - https://attack.mitre.org/techniques/T1210 author: RunkIntel daté: 2026-03-24 tags: - attack.lateral_movement - attack.t1210 - attack.t1068 logsource: category: process_creation product: windows detection: selection_suspicious_parent: ParentImage|endswith: - '\spoolsv.exe' # PrintNightmare - '\lsass.exe' # EternalBlue / Zerologon - '\vmware-hostd.exe' # VMware vCenter RCE - '\mysqld.exe' # MySQL UDF exploit - '\w3wp.exe' # IIS RCE Image|endswith: - '\cmd.exe' - '\powershell.exe' - '\wscript.exe' - '\cscript.exe' - '\mshta.exe' selection_lateral_port: EventID: 3 # Sysmon Network Connection DestinationPort: - 445 # SMB - 3389 # RDP - 5985 # WinRM - 3306 # MySQL Image|endswith: - '\spoolsv.exe' - '\lsass.exe' - '\services.exe' condition: selection_suspicious_parent or selection_lateral_port falsepositives: - Agentes de backup legítimos que fazem spawn de processos filhos - Scripts de manutenção executados via serviço de agendamento - Ferramentas de monitoramento (Zabbix, Nagios) com agentes privilegiados level: high ``` --- ## Mitigação | ID | Mitigação | Aplicação em Organizações Brasileiras | |----|-----------|---------------------------------------| | [[m1051-update-software\|M1051]] | Atualizar Software | Prioridade máxima: implementar processo de patching com SLA definido para CVEs críticos (≤30 dias para CVSS 9+, ≤72h para CVEs em CISA KEV). Em sistemas legados sem patch disponível, aplicar workarounds de vendor e isolar em segmento dedicado. Atenção especial a VMware vCenter/ESXi, Microsoft Exchange e servidores SMB legados - vetores recorrentes em ataques ao Brasil. | | [[m1030-network-segmentation\|M1030]] | Segmentação de Rede | Implementar microssegmentação para limitar comunicação lateral entre hosts do mesmo segmento. Aplicar o princípio de menor privilégio de rede: apenas fluxos necessários devem ser permitidos. Isolar servidores de banco de dados, virtualização e sistemas SCADA/OT em VLANs separadas com ACLs restritivas. | | [[m1016-vulnerability-scanning\|M1016]] | Varredura de Vulnerabilidades | Executar scans internos semanais com Tenable Nessus, Qualys ou OpenVAS - com foco em serviços expostos entre segmentos. Integrar resultados ao SIEM para correlação com alertas de exploração. Incluir verificação de versões de ESXi e vCenter no escopo. | | [[m1050-exploit-protection\|M1050]] | Proteção Contra Exploits | Habilitar Windows Defender Exploit Guard (EMET successor) em todos os servidores. Configurar DEP e ASLR obrigatórios via GPO. Usar EDR com capacidade de bloqueio de exploits em memória (CrowdStrike Falcon, Microsoft Defender for Endpoint). | | [[m1042-disable-or-remove-feature-or-program\|M1042]] | Desabilitar Funcionalidades Não Usadas | Desabilitar SMBv1 (MS17-010/EternalBlue) em todo o ambiente - ainda habilitado por padrão em alguns sistemas legados. Desabilitar Print Spooler em servidores que não precisam de impressão (elimina vetor PrintNightmare). Desabilitar serviços desnecessários em servidores ESXi e vCenter. | | [[m1048-application-isolation-and-sandboxing\|M1048]] | Isolamento e Sandboxing | Executar serviços críticos (MySQL, servidores web internos) em containers ou VMs isoladas. Usar AppArmor (Linux) ou Windows Sandbox para limitar o impacto de exploits bem-sucedidos. Aplicar hardening de containers para ambientes Kubernetes expostos internamente. | | [[m1026-privileged-account-management\|M1026]] | Gerenciamento de Contas Privilegiadas | Garantir que serviços de rede rodem com contas de menor privilégio - não como `SYSTEM` ou `root`. Um exploit bem-sucedido em um serviço com baixo privilégio limita o impacto. Implementar Just-in-Time (JIT) access para administração de vCenter e ESXi. | | [[m1019-threat-intelligence-program\|M1019]] | Programa de Threat Intelligence | Monitorar feeds de CVEs com foco em serviços internos expostos (NVD, CISA KEV, vendor advisories). Subscrever alertas do [[sources\|CERT.br]] e implementar processo de triagem de CVEs com impacto ao ambiente. Correlacionar TTPs de grupos ativos (APT28, Fox Kitten) com a superfície de ataque interna. | --- ## Threat Actors que Usam esta Técnica ### [[g0007-apt28|APT28]] (Fancy Bear) APT russo (GRU) com um dos históricos mais extensos de exploração de serviços remotos. Explorou vulnerabilidades em routers Cisco, servidores VPN e serviços Windows internos em campanhas contra OTAN, governos europeus e organizações de pesquisa. Capacidade documentada de desenvolver exploits zero-day para movimentação lateral em redes segmentadas. ### [[g0035-dragonfly|Dragonfly]] (Energetic Bear) APT russo com foco em infraestrutura de energia e utilities. Explorou vulnerabilidades em sistemas ICS/SCADA e serviços de rede industriais para movimentação lateral em redes OT - técnica crítica para o setor elétrico brasileiro (Eletrobras, distribuidoras regionais). ### [[g0102-conti-group|Wizard Spider]] Grupo criminoso russo operador dos ransomwares [[s0446-ryuk|Ryuk]] e [[conti|Conti]]. Explorou PrintNightmare (CVE-2021-34527) e vulnerabilidades Zerologon (CVE-2020-1472) para escalação de privilégios e movimentação lateral em redes corporativas antes de executar o ransomware. Documentado em ataques a hospitais e empresas industriais no Brasil. ### [[g0117-fox-kitten|Fox Kitten]] Grupo iraniano (IRGC) com histórico de exploração de VPNs e serviços de virtualização. Explorou vulnerabilidades críticas em VMware vCenter (incluindo [[cve-2021-21985|CVE-2021-21985]]) e servidores Fortinet para comprometer ambientes corporativos e de infraestrutura crítica, com casos documentados na América Latina. ### [[g1003-ember-bear|Ember Bear]] (UAC-0056) APT ucraniano-russo ativo em operações de sabotagem. Usou exploits de serviços remotos combinados com wipers ([[s0368-notpetya|NotPetya]]-like) em ataques destrutivos - referência para equipes de IR que respondem a incidentes em organizações com presença no Leste Europeu ou operando em setores estratégicos. --- ## Software Associado | Malware/Ferramenta | Tipo | Uso com Exploração de Serviços Remotos | |---------------------|------|----------------------------------------| | [[wannacry\|WannaCry]] | Ransomware/Worm | Usa EternalBlue (MS17-010) para propagação automática via SMBv1 - ainda detectado em redes brasileiras | | [[s0368-notpetya\|NotPetya]] | Wiper/Ransomware | Combina EternalBlue com Mimikatz e PsExec para propagação catastrófica em toda a rede | | [[s0608-conficker\|Conficker]] | Worm | Explora MS08-067 (NetAPI) para propagação - ainda presente em redes hospitalares e industriais legadas no Brasil | | [[s0603-stuxnet\|Stuxnet]] | Worm/Cyberweapon | Explorou múltiplas vulnerabilidades zero-day em serviços Windows para comprometer sistemas Siemens SCADA | | [[s0143-flame\|Flame]] | Espionagem | Módulos de exploração de serviços internos para movimentação lateral em redes de governo e infraestrutura crítica | | [[s0650-qakbot\|QakBot]] | Loader/Banking Trojan | Scanner interno integrado para identificar e explorar serviços vulneráveis em redes corporativas | | [[s0367-emotet\|Emotet]] | Loader | Propaga lateralmente identificando e explorando serviços SMB vulneráveis em redes Windows | | [[s0363-empire\|Empire]] | Framework C2 | Framework pós-exploração com módulos de exploração de serviços internos (SMB, RDP, WinRM) | | [[s0260-invisimole\|InvisiMole]] | Espionagem | Backdoor avançado implantado após exploração de serviços remotos em alvos de espionagem de longo prazo | | [[s0606-bad-rabbit\|Bad Rabbit]] | Ransomware/Worm | Wiper/ransomware que se propaga via credenciais bruteforceadas em SMB e Mimikatz | --- *Fonte: [MITRE ATT&CK - T1210](https://attack.mitre.org/techniques/T1210)*