# T1133 - External Remote Services ## Descrição Adversários exploram serviços de acesso remoto expostos à internet - VPNs, Citrix, RDP, SSH, Pulse Secure, SonicWall e portais de gestão como APIs do Kubernetes - para obter acesso inicial ou manter persistência duradoura em redes corporativas. Esses serviços existem por necessidade operacional legítima, criando uma superfície de ataque permanente que é difícil de eliminar sem impacto nos negócios. O acesso geralmente requer [[t1078-valid-accounts|credenciais válidas]], obtidas via phishing, compra em mercados clandestinos, ou capturadas durante um comprometimento anterior da rede. A técnica é especialmente poderosa como mecanismo de persistência: mesmo que o vetor de acesso inicial sejá descoberto e neutralizado, um adversário que já criou ou comprometeu credenciais em um serviço de acesso remoto mantém a capacidade de reentrar na rede de forma legítima e discreta. Em ambientes de contêineres, APIs expostas sem autenticação - Docker API na porta 2375, Kubernetes API server, kubelet, ou dashboards web - representam vetores críticos que dispensam credenciais completamente. Adversários mais avançados instalam serviços Tor via ferramentas como `ShadowLink`, criando um canal de acesso remoto .onion que sobrevive a mudanças de IP, firewalls e rotação de credenciais. **Contexto Brasil/LATAM:** O Brasil concentra um volume expressivo de servidores RDP e VPNs expostos mapeados por ferramentas como Shodan e Censys, muitos sem autenticação multifator. O grupo [[g1004-lapsus|LAPSUS$]], com membros brasileiros confirmados, usou extensivamente serviços de acesso remoto corporativos como vetor de entrada e persistência em campanhas contra grandes empresas de tecnologia globais. O grupo [[g1016-fin13|FIN13]], especializado em ataques ao [[_sectors|setor financeiro]] mexicano e latino-americano, manteve acesso persistente por meses via serviços RDP e VPN comprometidos. A exposição de APIs Docker e Kubernetes sem autenticação também é explorada ativamente por grupos como [[g0139-teamtnt|TeamTNT]] para cryptojacking em infraestrutura cloud brasileira. ## Attack Flow ```mermaid graph TB A[Reconhecimento<br/>de Serviços Expostos] --> B[Obtenção de<br/>Credenciais Válidas] B --> C[Acesso via Serviço<br/>Remoto Legítimo] C --> D[Persistência /<br/>Movimento Lateral] D --> E[Objetivo Final<br/>Ransomware / Espionagem] style C fill:#e74c3c,color:#fff ``` ## Como Funciona ### 1. Preparação O adversário realiza reconhecimento ativo para identificar serviços de acesso remoto expostos à internet: varreduras em portas 22 (SSH), 3389 (RDP), 443 (VPN/Citrix), 2375 (Docker API) e 8080 (painéis web). Credenciais são obtidas via phishing direcionado, compra em mercados de acesso inicial (initial access brokers), ou aproveitando vazamentos anteriores. Em campanhas de grupos como [[g1015-scattered-spider|Scattered Spider]], engenharia social contra help desks é usada para resetar senhas e contornar MFA via SIM swapping. ### 2. Execução Com credenciais válidas em mãos, o adversário autentica diretamente no serviço legítimo - sem explorar vulnerabilidades, o que torna a detecção mais difícil. O acesso via VPN ou Citrix aparece nos logs como uma sessão corporativa normal. Em ambientes containerizados, uma API Docker exposta permite ao adversário criar novos contêineres com volumes montando o filesystem do host, obtendo acesso root efetivo ao servidor. O uso de `ShadowLink` para instalar um serviço Tor cria um canal de acesso .onion persistente e resistente a bloqueios de IP. ### 3. Pós-execução Uma vez dentro da rede, o adversário usa o acesso remoto como base para [[t1021-006-windows-remote-management|movimentação lateral via WinRM]], reconhecimento de Active Directory, e implantação de ferramentas adicionais. Para garantir persistência de longo prazo, grupos como [[g1017-volt-typhoon|Volt Typhoon]] criam contas de serviço adicionais ou modificam configurações de VPN para adicionar seus próprios certificados. Em operações de ransomware, o acesso remoto é mantido ativo durante todo o período de preparação - exfiltração de dados, comprometimento de backups - antes da criptografia final. ## Detecção ### Event IDs e Logs Relevantes | Plataforma | Log / Event ID | Indicador Suspeito | |------------|---------------|-------------------| | Windows | Event ID 4624 (Logon) | Logon Tipo 10 (RemoteInteractive/RDP) de IP externo fora do horário comercial | | Windows | Event ID 4625 | Múltiplas falhas de autenticação seguidas de sucesso (brute-force) | | Windows | Event ID 4648 | Logon com credenciais explícitas via processo de serviço remoto | | Sysmon | Event ID 3 | Conexão de rede de entrada em porta 3389 ou 22 de ASN desconhecido | | VPN / Firewall | - | Autenticação bem-sucedida de IP em país incomum para o usuário | | Docker | - | Requisição à API na porta 2375 sem TLS de IP externo | ### Sigma Rule ```yaml title: Suspicious External RDP Access Outside Business Hours id: c4a1f3b7-2e5d-4b8c-9f0a-1d3e6c8b2a7f status: experimental description: > Detecta autenticações RDP bem-sucedidas de endereços IP externos fora do horário comercial padrão, padrão consistente com abuso de T1133 por atores de ameaça que mantêm persistência via serviços de acesso remoto. author: RunkIntel daté: 2026-03-24 logsource: product: windows service: security detection: selection: EventID: 4624 LogonType: 10 IpAddress|not: - '10.*' - '192.168.*' - '172.16.*' - '127.0.0.1' timeframe: - NotBetween: '08:00-20:00' condition: selection falsepositives: - Administradores com acesso remoto legítimo fora do horário - VPNs que mascaram o IP de origem como externo level: high tags: - attack.persistence - attack.initial_access - attack.t1133 ``` ## Mitigação | ID | Mitigação | Ação Prática para Orgs Brasileiras | |----|-----------|-------------------------------------| | M1032 | [[m1032-multi-factor-authentication\|M1032 - Multi-factor Authentication]] | MFA obrigatório em TODOS os serviços de acesso remoto, sem exceções; organizações sob regulação BACEN e ANS devem tratar como controle mandatório | | M1035 | [[m1035-limit-access-to-resource-over-network\|M1035 - Limit Access to Resource Over Network]] | Restringir acesso RDP e SSH exclusivamente via VPN corporativa; nunca expor RDP diretamente na internet | | M1030 | [[m1030-network-segmentation\|M1030 - Network Segmentation]] | Segmentar redes para limitar o alcance após acesso remoto comprometido; concentradores VPN em DMZ isolada | | M1042 | [[m1042-disable-or-remove-feature-or-program\|M1042 - Disable or Remove Feature or Program]] | Desabilitar RDP em todas as máquinas que não necessitam de acesso remoto; auditar serviços Docker e Kubernetes para APIs expostas sem autenticação | | M1021 | [[m1021-restrict-web-based-content\|M1021 - Restrict Web-Based Content]] | Bloquear acesso a ferramentas de acesso remoto não aprovadas (TeamViewer, AnyDesk) via proxy corporativo | | - | Revisão de Initial Access Brokers | Monitorar fóruns clandestinos (via threat intel) para menções de acessos à organização à venda; grupos brasileiros são ativos nesse mercado | ## Threat Actors - [[g0139-teamtnt|TeamTNT]] - grupo especializado em cryptojacking via APIs Docker e Kubernetes expostas sem autenticação, com histórico de atividade em infraestrutura cloud brasileira - [[g1016-fin13|FIN13]] - grupo financeiramente motivado com foco em empresas mexicanas e latino-americanas, manteve acesso persistente por meses via RDP e VPN comprometidos em instituições financeiras - [[g1003-ember-bear|Ember Bear]] - grupo russo que usa serviços de acesso remoto como vetor de acesso inicial em campanhas de espionagem e sabotagem - [[g0026-apt18|APT18]] - grupo de espionagem chinês com histórico de abuso de serviços VPN e RDP para persistência de longo prazo - [[g0034-sandworm|Sandworm Team]] - grupo da inteligência militar russa (GRU) que usa T1133 em operações destrutivas, incluindo campanhas contra infraestrutura crítica - [[g1017-volt-typhoon|Volt Typhoon]] - grupo chinês especializado em pré-posicionamento em infraestrutura crítica via serviços de acesso remoto legítimos para operações "living off the land" - [[g1047-velvet-ant|Velvet Ant]] - grupo de espionagem que manteve acesso persistente por anos via múltiplos serviços de acesso remoto como redundância - [[g1015-scattered-spider|Scattered Spider]] - grupo com membros jovens de língua inglesa que usa engenharia social para comprometer credenciais de acesso remoto via help desks e SIM swapping - [[g0096-apt41|APT41]] - grupo chinês com mandato duplo (espionagem e crime financeiro) que usa acesso remoto para operações de longa duração em múltiplos setores - [[g1004-lapsus|LAPSUS$]] - grupo com membros brasileiros confirmados, usou extensivamente credenciais de VPN e Citrix corporativos para comprometer grandes empresas de tecnologia globais ## Software Associado - [[s0362-linux-rabbit|Linux Rabbit]] - malware que abusa de serviços SSH expostos para cryptomining em servidores Linux, com foco em infraestrutura cloud - [[s1060-mafalda|Mafalda]] - implante sofisticado com capacidade de tunelamento via serviços legítimos, usado para manter persistência via canais de acesso remoto - [[s0601-hildegard|Hildegard]] - malware direcionado a ambientes Kubernetes, explora APIs expostas para comprometer clusters e implantar mineradores de criptomoedas - [[s0599-kinsing|Kinsing]] - malware de cryptojacking que explora APIs Docker expostas sem autenticação, com presença documentada em infraestrutura brasileira - [[s0600-doki|Doki]] - malware que abusa de APIs Docker para criar contêineres maliciosos com acesso ao filesystem do host, usado em campanhas de cryptojacking --- *Fonte: [MITRE ATT&CK - T1133](https://attack.mitre.org/techniques/T1133)*