# T1505.002 - Agente de Transporte ## Técnica Pai [[t1505-server-software-component|T1505 - Componente de Software Servidor]] ## Descrição Adversários podem abusar dos agentes de transporte do Microsoft Exchange para estabelecer persistência em servidores de e-mail corporativos. Agentes de transporte são componentes de software escritos em .NET que se registram no pipeline de processamento de e-mails do Exchange, sendo invocados em estágios específicos do fluxo de mensagens - como filtragem de spam, inspeção de anexos, assinatura corporativa ou arquivamento. O que torna esta técnica particularmente perigosa é que os agentes de transporte são executados **dentro do processo do Exchange** (`MSExchangeTransport.exe`), com alto nível de privilégio e sem exigir qualquer interação do usuário. Um agente malicioso pode interceptar silenciosamente todos os e-mails em trânsito - lendo corpo, anexos e cabeçalhos - e pode ser configurado para agir apenas sob condições específicas definidas pelo adversário, como quando o e-mail contém determinada palavra-chave no assunto ou quando o destinatário corresponde a uma lista de alvos. O malware [[s0395-lightneuron|LightNeuron]], atribuído ao grupo [[g0010-turla|Turla]] (APT russo vinculado ao FSB), é o exemplo mais documentado desta técnica em uso real. O LightNeuron se disfarça de agente de transporte legítimo e recebe comandos esteganograficamente embutidos em imagens JPEG e documentos PDF enviados por e-mail - tornando a comunicação com o servidor de C2 práticamente indistinguível de tráfego legítimo. No contexto LATAM e Brasil, ambientes Exchange on-premises - ainda prevalentes em setores como governo, jurídico e financeiro - são vetores de risco elevado para esta técnica. Organizações que não atualizaram para Exchange Online ou que mantêm servidores híbridos sem monitoramento granular do pipeline de transporte são as mais vulneráveis. A técnica é especialmente difícil de detectar em ambientes sem solução de EDR no servidor Exchange e sem revisão periódica dos agentes de transporte registrados. ## Attack Flow ```mermaid graph TB A["Acesso Inicial ao Servidor<br/>Exchange (exploit ou credencial)"] --> B["Escalada para<br/>Organization Management"] B --> C["Compilação de Assembly<br/>.NET Malicioso"] C --> D["T1505.002 - REGISTRO DO<br/>AGENTE DE TRANSPORTE<br/>(Install-TransportAgent)"] D --> E["Agente Persistente no<br/>Pipeline de E-mail"] E --> F1["Interceptação de<br/>Mensagens em Trânsito"] E --> F2["Recepção de Comandos<br/>via E-mail (C2 steganográfico)"] F1 --> G["Exfiltração de<br/>Comúnicações Corporativas"] F2 --> G ``` ## Como Funciona 1. **Preparação** - O adversário obtém acesso ao servidor Exchange com privilégios de administrador da organização (grupo `Organization Management`). O código do agente malicioso é escrito em C# ou VB.NET, compilado em um assembly `.dll` e copiado para o servidor - frequentemente em um diretório legítimo do Exchange para dificultar a detecção. 2. **Execução** - O agente é registrado usando os cmdlets nativos do PowerShell do Exchange. O parâmetro `-TransportAgentFactory` aponta para a classe implementada no assembly malicioso. Após o registro, o serviço de transporte do Exchange é reiniciado para carregar o novo agente. 3. **Pós-execução** - O agente opera silenciosamente em cada e-mail processado pelo servidor. Pode realizar exfiltração de dados para um endpoint externo, modificar mensagens em trânsito, arquivar e-mails selecionados, ou receber instruções do operador através de mensagens especialmente formatadas que chegam como e-mails normais. **Exemplo - registro de agente de transporte via PowerShell:** ```powershell # Instalação do agente malicioso (requer Organization Management) Install-TransportAgent -Name "MicrosoftExchangeAntispam" ` -TransportAgentFactory "Contoso.Exchange.Agent.AgentFactory" ` -AssemblyPath "C:\Program Files\Microsoft\Exchange Server\V15\TransportRoles\agents\Hygiene\malicious.dll" Enable-TransportAgent -Identity "MicrosoftExchangeAntispam" Restart-Service MSExchangeTransport ``` ## Detecção ```yaml title: Registro Suspeito de Agente de Transporte no Exchange status: stable logsource: product: windows service: application category: ps_script detection: selection_cmdlet: ScriptBlockText|contains: - 'Install-TransportAgent' - 'Enable-TransportAgent' - 'Get-TransportAgent' selection_dll_path: ScriptBlockText|contains: - '.dll' ScriptBlockText|contains: - 'AssemblyPath' selection_event_log: Provider_Name: 'MSExchangeTransport' EventID: - 1021 - 1022 condition: selection_cmdlet or (selection_dll_path and selection_cmdlet) or selection_event_log falsepositives: - Instalação legítima de agentes de transporte por administradores - Produtos de segurança de e-mail (Symantec Email Security, Proofpoint) - Atualizações de Exchange que reconfiguram agentes nativos level: high tags: - attack.persistence - attack.t1505.002 ``` ## Mitigação | Mitigação | Orientação Prática | |-----------|-------------------| | [[m1026-privileged-account-management\|M1026 - Gerenciamento de Contas Privilegiadas]] | Restringir o grupo `Organization Management` ao mínimo necessário; usar contas dedicadas apenas para administração do Exchange, sem uso cotidiano; revisar memberships periodicamente | | [[m1045-code-signing\|M1045 - Assinatura de Código]] | Exigir que assemblies .NET carregados pelo Exchange sejam assinados digitalmente por autoridade confiável; bloquear carregamento de DLLs sem assinatura válida via AppLocker ou WDAC | | [[m1047-audit\|M1047 - Auditoria]] | Auditar e alertar sobre qualquer execução de `Install-TransportAgent` ou `Enable-TransportAgent`; manter inventário dos agentes registrados e comparar regularmente com baseline aprovado | ## Software Associado - [[s0395-lightneuron|LightNeuron]] - malware do grupo Turla que usa agentes de transporte para persistência e recepção de comandos via e-mail esteganográfico ## Referências *Fonte: [MITRE ATT&CK - T1505.002](https://attack.mitre.org/techniques/T1505/002)*