t1570-lateral-tool-transfer

# T1570 - Lateral Tool Transfer ## Descrição Após estabelecer um ponto de entrada em um ambiente comprometido - geralmente via [[t1105-ingress-tool-transfer|Ingress Tool Transfer]] ou exploração direta - adversários precisam propagar suas ferramentas para outros sistemas da rede interna sem depender de novos downloads da internet, que poderiam ser bloqueados por controles de saída. T1570 descreve exatamente essa movimentação: a transferência de ferramentas, payloads e utilitários entre sistemas já comprometidos utilizando protocolos e mecanismos nativos do ambiente. Ao reutilizar protocolos legítimos como SMB, RDP, WinRM, SCP, rsync e até serviços de sincronização em nuvem como OneDrive e Dropbox, o atacante se camufla no tráfego interno e evita que as ferramentas sejam detectadas na entrada do perímetro de rede. A eficácia dessa técnica reside no aproveitamento da confiança implícita entre sistemas internos: dentro de uma rede corporativa típica, o tráfego SMB entre servidores raramente é inspecionado com o mesmo rigor aplicado ao tráfego de entrada da internet. Grupos como [[g0010-turla|Turla]], [[g0050-apt32|APT32]] e [[g1017-volt-typhoon|Volt Typhoon]] documentam o uso de T1570 em combinação com [[Windows Admin Shares]] e [[t1021-001-remote-desktop-protocol|Remote Desktop Protocol]] para preparar o terreno em múltiplos hosts antes de executar as fases finais de uma operação. Ferramentas nativas (LOLBins) como [[s0190-bitsadmin|BITSAdmin]], [[s0404-esentutl|esentutl]] e [[s0095-ftp|ftp]] são frequentemente usadas para evitar alertas de execução de binários não-assinados. **Contexto Brasil/LATAM:** No contexto brasileiro, T1570 é amplamente observado em operações de ransomware contra o setor [[_sectors|financeiro]] e manufatura, onde redes planas (sem microssegmentação) permitem movimentação irrestrita entre workstations e servidores. O grupo [[g1043-blackbyte|BlackByte]] utilizou SMB shares para distribuir seu ransomware [[s1180-blackbyte-ransomware|BlackByte Ransomware]] em múltiplos incidentes na América Latina. [[g0050-apt32|APT32]] (OceanLotus), com histórico de operações contra empresas brasileiras dos setores de manufatura automotiva e governo, usa SCP e ferramentas customizadas para transferência lateral de implantes em ambientes Linux e Windows híbridos. O uso de [[s0367-emotet|Emotet]] como veículo de distribuição lateral via SMB foi documentado em campanhas massivas contra PMEs brasileiras, onde a propagação interna ocorria em minutos após a infecção inicial. **Event IDs relevantes (Windows):** | Source | Event ID | Descrição | |--------|----------|-----------| | Security | **5145** | Network share object checked - acesso a `ADMIN

ou `C

| | Security | **4688** | Process Creation - `bitsadmin.exe`, `esentutl.exe`, `xcopy.exe` com paths UNC | | Sysmon | **11** | FileCreaté - arquivo PE criado em diretório temporário vindo de share de rede | | Sysmon | **3** | Network Connection - conexão SMB (porta 445) iniciada por processo incomum | | Security | **4624** | Logon - tipo 3 (network logon) para acesso a shares administrativos | **Sigma Rule - Escrita de Executável em Share Administrativo:** ```yaml title: Lateral Tool Transfer via Admin Share id: e8f1a3b4-5c6d-7e8f-9a0b-1c2d3e4f5a6b status: stable description: > Detecta escrita de arquivos executáveis em shares administrativos Windows (ADMIN$, C$), indicativo de lateral tool transfer (T1570). logsource: product: windows service: security detection: selection: EventID: 5145 ShareName|endswith: - '\ADMIN - '\C - '\IPC RelativeTargetName|endswith: - '.exe' - '.dll' - '.ps1' - '.bat' - '.vbs' AccessMask: '0x2' # Write access filter_legit: SubjectUserName|endswith: ' # Computer accounts (legit) condition: selection and not filter_legit falsepositives: - Ferramentas de deploy legítimas (SCCM, Ansible, PDQ Deploy) - Scripts de administração corporativa level: high tags: - attack.lateral_movement - attack.t1570 --- title: BITSAdmin Remote File Transfer id: b2c3d4e5-f6a7-8b9c-0d1e-2f3a4b5c6d7e status: experimental logsource: product: windows category: process_creation detection: selection: Image|endswith: '\bitsadmin.exe' CommandLine|contains: - '/transfer' - '/download' CommandLine|contains: - '\\\\' # UNC path condition: selection level: medium tags: - attack.lateral_movement - attack.t1570 ``` ## Attack Flow ```mermaid graph TB A[Sistema comprometido Paciente Zero] --> B[Reconhecimento interno T1135 / T1018] B --> C[Acesso a shares / RDP SMB / WinRM / SCP] C --> D:::highlight[T1570 - Lateral Tool Transfer Cópia de payload para hosts adjacentes] D --> E[Execução remota T1021 / T1569 / T1059] classDef highlight fill:#e74c3c,color:#fff ``` ## Como Funciona **1. Preparação** Com acesso a um host inicial comprometido, o atacante realiza reconhecimento interno para identificar sistemas acessíveis via protocolos de compartilhamento. Ferramentas como `net view`, `Get-ADComputer`, `nltest /dclist` ou simplesmente pings ICMP mapeiam hosts vivos. O atacante obtém credenciais adicionais via [[t1003-credential-dumping|Credential Dumping]] (Mimikatz, LSASS dump) para autenticar em sistemas adjacentes. Quando credenciais de domínio estão disponíveis, o acesso aos shares administrativos (`\\host\C

, `\\host\ADMIN

) é imediato. Em ambientes Linux, chaves SSH presentes no `.ssh/known_hosts` e `authorized_keys` do host comprometido revelam destinos acessíveis diretamente. **2. Execução** A transferência ocorre através de múltiplos vetores dependendo do ambiente. Em Windows: cópia direta via `copy \\target\C$\Windows\Temp\payload.exe`, uso do [[s0190-bitsadmin|BITSAdmin]] (`bitsadmin /transfer job /download /priority normal \\host\share\tool.exe C:\temp\tool.exe`), ou [[s0404-esentutl|esentutl]] para cópia de arquivos contornando controles de acesso. Em Linux: `scp`, `rsync` e `sftp` usando chaves SSH coletadas. Grupos como [[g1017-volt-typhoon|Volt Typhoon]] preferem ferramentas nativas para zero footprint - nenhum binário externo é baixado, apenas utilitários do SO são utilizados para a transferência. O [[s0457-netwalker|Netwalker]] e o [[blackcat|BlackCat]] usam compartilhamentos SMB administrativos para propagar o payload principal a todos os hosts identificados antes da fase de criptografia. **3. Pós-execução** Com as ferramentas presentes em múltiplos hosts, o atacante pode executar ações simultâneas (criptografia em massa, exfiltração paralela, implantação de backdoors) sem precisar de acesso à internet em cada host individualmente. Isso é crítico em ambientes com egress filtering rigoroso - o atacante usa o host com acesso externo como ponto de distribuição interno. Após a transferência, os arquivos de origem são frequentemente deletados ou sobrescritos para dificultar forense, e as ferramentas nos hosts destino são executadas via agendamento de tarefas ([[t1053-scheduled-task|Scheduled Task]]) ou serviços remotos ([[Windows Admin Shares]] com PsExec-like execution). ## Detecção > [!warning] Indicadores de Movimentação Lateral de Ferramentas > - Escrita de arquivos executáveis em `\\host\ADMIN

ou `\\host\C$\Windows\Temp` por usuário de domínio > - `bitsadmin.exe` ou `esentutl.exe` copiando arquivos de shares remotos > - `scp` ou `sftp` executando de processos não-interativos em Linux > - Arquivos PE assinados por certificados desconhecidos aparecendo simultaneamente em múltiplos hosts ## Mitigação | Controle | Implementação Prática para Organizações Brasileiras | |----------|-----------------------------------------------------| | **[[m1037-filter-network-traffic\|M1037 - Filter Network Traffic]]** | Implementar microssegmentação de rede; bloquear SMB (445/TCP) entre workstations e permitir apenas entre servidores autorizados e domínio - elimina o principal vetor de propagação lateral | | **[[m1031-network-intrusion-prevention\|M1031 - Network Intrusion Prevention]]** | Habilitar assinaturas IDS/IPS para transferência de executáveis via SMB (Suricata ET rules para ADMIN$); alertar em tempo real para escrita de PE em shares administrativos | | **Privileged Access Workstations (PAW)** | Restringir quais contas podem acessar `ADMIN

e `C

via GPO (`Deny access to this computer from the network`); apenas contas PAM dedicadas devem ter acesso a shares administrativos | | **Windows Credential Guard** | Habilitar Credential Guard via Hyper-V Isolated LSA; impede que credenciais de domínio capturadas via LSASS sejam reutilizadas para autenticação em hosts adjacentes | | **SMB Signing Obrigatório** | Forçar SMB Signing em todos os sistemas via GPO; impede ataques relay que facilitam acesso não-autorizado a shares administrativos sem credenciais válidas | | **Monitoramento de BITS Jobs** | Auditar e alertar para criação de BITS jobs (`Get-BitsTransfer` + Event Log) - ferramenta legítima frequentemente abusada para transferência encoberta de ferramentas | | **EDR com Prevenção de Movimentação Lateral** | Configurar políticas de EDR (CrowdStrike, SentinelOne, Microsoft Defender) para bloquear escrita de executáveis em diretórios temporários via conexões de rede - crítico para PMEs brasileiras sem SIEM | ## Threat Actors - [[g1051-medusa-ransomware|Medusa Group]] - usa SMB shares para distribuir seu ransomware em redes corporativas brasileiras; prefere `ADMIN

para garantir escrita irrestrita em hosts do domínio - [[g0050-apt32|APT32]] - OceanLotus; transfere implantes customizados via SCP e SMB em operações de espionagem contra empresas brasileiras de manufatura automotiva e governo - [[g1017-volt-typhoon|Volt Typhoon]] - APT chinês (pré-posicionamento em infraestrutura crítica); usa exclusivamente LOLBins nativos para transferência lateral, sem binários externos - extremamente difícil de detectar - [[g0010-turla|Turla]] - APT russo FSB; usa shares SMB e canais C2 em anel para propagar implantes sem tráfego de saída, criando redes P2P de comúnicação dentro da rede comprometida - [[g0102-conti-group|Wizard Spider]] - operadores do Conti/Royal; distribui o payload de ransomware via shares SMB administrativos após comprometer o Active Directory - [[g1043-blackbyte|BlackByte]] - usa PsExec-like sobre SMB para distribuir [[s1180-blackbyte-ransomware|BlackByte Ransomware]] simultaneamente em múltiplos hosts em operações documentadas na América Latina - [[g1003-ember-bear|Ember Bear]] - APT russo; usa SCP e SMB em operações destrutivas, transferindo wipers para múltiplos hosts antes da execução simultânea - [[g1007-aoqin-dragon|Aoqin Dragon]] - APT de espionagem; usa dispositivos USB e compartilhamentos de rede para transferência de ferramentas em ambientes com acesso limitado à internet - [[g0051-fin10|FIN10]] - grupo financeiro motivado; usa RDP e SMB para movimentação lateral em redes de cassinos e empresas de mineração canadenses, TTPs observados também em alvos LATAM - [[g1047-velvet-ant|Velvet Ant]] - APT chinês recente; usa shares NFS/SMB em ambientes Linux para transferência de implantes em servidores F5 e de rede comprometidos ## Software Associado - [[s0367-emotet|Emotet]] - trojan modular com capacidade de propagação via SMB usando credenciais coletadas; distribuiu ferramentas de segundo estágio (Cobalt Strike, TrickBot) em redes corporativas brasileiras - [[blackcat|BlackCat]] (ALPHV) - ransomware multiplataforma; usa SMB e WMI para distribuição do payload em redes Windows, com suporte nativo a ESXi - [[s1180-blackbyte-ransomware|BlackByte Ransomware]] - usa shares administrativos SMB para propagar-se automaticamente em todos os hosts Windows do domínio após comprometer uma conta privilegiada - [[s0457-netwalker|Netwalker]] - ransomware operado por afiliados; script PowerShell embutido distribui o payload via SMB shares e executa remotamente via WMI ou PsExec - [[s0190-bitsadmin|BITSAdmin]] - ferramenta nativa Windows frequentemente abusada para download e transferência de ferramentas entre hosts sem alertar EDRs menos sofisticados - [[s0404-esentutl|esentutl]] - utilitário de banco de dados nativo; abusado para cópia de arquivos contornando controles de acesso e sem invocar APIs de cópia padrão monitoradas por EDR - [[s0095-ftp|ftp]] - cliente FTP nativo; usado para transferência lateral em ambientes Linux e Windows onde SMB é bloqueado mas FTP interno está disponível - [[s0532-lucifer|Lucifer]] - cryptominer/DDoS híbrido; usa vulnerabilidades e credenciais coletadas para transferir-se lateralmente via SMB e executar em múltiplos hosts - [[s1132-ipsec-helper|IPsec Helper]] - backdoor usado pelo [[g0010-turla|Turla]]; transferido lateralmente via shares SMB como parte da infraestrutura C2 em anel do grupo - [[s1139-inc-ransomware|INC Ransomware]] - usa PsExec e SMB shares para distribuição lateral; documenta uso de [[s0190-bitsadmin|BITSAdmin]] para transferências em ambientes com políticas AppLocker parciais --- *Fonte: [MITRE ATT&CK - T1570](https://attack.mitre.org/techniques/T1570)*