t1592-004-client-configurations

# T1592.004 - Client Configurations > [!info] Identificação MITRE ATT&CK > **Tática:** Reconnaissance · **ID:** T1592.004 · **Técnica pai:** [[t1592-gather-victim-host-information|T1592 - Gather Victim Host Information]] ## Descrição A técnica **T1592.004 - Client Configurations** descreve como adversários coletam informações detalhadas sobre as configurações dos sistemas clientes de uma organização-alvo antes de lançar um ataque. Essas informações incluem sistema operacional e versão, arquitetura de hardware (32 ou 64 bits), idioma configurado, fuso horário, presença de virtualização, configurações de navegador e outras características que identificam o ambiente de trabalho dos usuários. O objetivo principal é construir um perfil técnico preciso do alvo que permita ao adversário selecionar exploits compatíveis, criar payloads customizados e reduzir a chance de detecção. Ao contrário de varreduras ativas diretas, adversários sofisticados frequentemente coletam essas informações de forma passiva e furtiva, explorando canais legítimos. Um método comum é o comprometimento de sites frequentados pelo alvo - ao injetar JavaScript malicioso nessas páginas, o atacante pode capturar silenciosamente o `User-Agent`, resolução de tela, plugins instalados, idioma do navegador e outros metadados do visitante sem que qualquer alarme sejá acionado. Outros vetores incluem e-mails de rastreamento com pixels ocultos, formulários de phishing com scripts de fingerprinting e análise de metadados em documentos públicos da organização. Essa subtécnica é parte de uma fase ampla de reconhecimento que precede operações de acesso inicial. As informações de configuração de clientes têm valor direto para várias etapas subsequentes: permitem ao atacante confirmar se o alvo usa uma versão vulnerável de software ([[t1592-002-software|T1592.002]]), determinar qual payload será mais eficaz ([[t1587-develop-capabilities|T1587]]), e identificar possíveis caminhos de exploração via [[t1133-external-remote-services|T1133]] ou [[t1195-supply-chain-compromise|T1195]]. Grupos como o [[g0125-silk-typhoon|HAFNIUM]] utilizaram essa técnica para mapear ambientes Exchange Server antes de explorar vulnerabilidades ProxyLogon. ## Como Funciona A coleta de configurações de clientes ocorre através de múltiplos vetores técnicos que variam em sofisticação e furtividade: **Fingerprinting via JavaScript (waterholing):** O adversário compromete sites legítimos frequentados pelo alvo (ataques de watering hole). Scripts maliciosos são injetados nessas páginas e executam fingerprinting do navegador ao coletar: `navigator.userAgent`, `navigator.language`, `screen.width/height`, `navigator.platform`, lista de plugins (`navigator.plugins`), suporte a WebGL, e timezone via `Intl.DateTimeFormat().resolvedOptions().timeZone`. Esses dados são exfiltrados para infraestrutura controlada pelo atacante via requisições HTTP silenciosas. **Análise de User-Agent em servidores comprometidos:** Quando uma organização acessa servidores externos controlados pelo adversário (por exemplo, através de links em e-mails de phishing ou redirecionamentos), os headers HTTP transmitidos automaticamente pelo navegador revelam sistema operacional, versão do navegador e arquitetura. Um User-Agent como `Mozilla/5.0 (Windows NT 10.0; Win64; x64)` confirma Windows 10 de 64 bits, informação valiosa para seleção de exploits. **Pixels de rastreamento em e-mails:** E-mails contendo imagens de 1×1 pixel hospedadas em servidores do atacante fazem com que o cliente de e-mail (se configurado para carregar imagens remotas) transmita o endereço IP, User-Agent e horário de abertura. Mesmo sem interação do usuário além de abrir o e-mail, informações de configuração básica são reveladas. **Extração de metadados de documentos:** Documentos PDF, DOCX, XLSX e imagens públicados por organizações frequentemente contêm metadados que revelam software utilizado (versão do Microsoft Office, Adobe Acrobat, GIMP), nome de usuário que criou o arquivo, e hostname da máquina. Ferramentas como `exiftool` automatizam essa extração em escala. **Varredura ativa via [[t1595-active-scanning|T1595]]:** Embora mais ruidosa, a varredura de portas e enumeração de banners de serviços (HTTP, SMB, RDP) pode revelar versões de OS e software em sistemas expostos à Internet. ## Attack Flow ```mermaid graph TB A["Adversário identifica organização-alvo"] --> B["Seleciona vetor de coleta"] B --> C1["Watering hole: JavaScript fingerprint"] B --> C2["Phishing: pixel de rastreamento"] B --> C3["OSINT: metadados de documentos"] B --> C4["Varredura ativa: banners HTTP/SMB"] C1 --> D["Coleta: OS, arquitetura, browser, timezone, idioma"] C2 --> D C3 --> D C4 --> D D --> E["Análise do perfil de configuração"] E --> F1["Seleciona exploit compatível com versão de OS"] E --> F2["Cria payload para arquitetura correta (32/64 bits)"] E --> F3["Identifica ausência de EDR/antivírus"] F1 --> G["Desenvolvimento de capacidades: T1587"] F2 --> G F3 --> G G --> H["Acesso inicial com alta probabilidade de sucesso"] ``` ## Exemplos de Uso **HAFNIUM - Operação ProxyLogon (2021):** O grupo [[g0125-silk-typhoon|HAFNIUM]], atribuído ao Ministério de Segurança do Estado da China, realizou reconhecimento extensivo de configurações de servidores Exchange antes de explorar as vulnerabilidades ProxyLogon (CVE-2021-26855, CVE-2021-27065). A coleta de informações sobre versões do Exchange Server e configurações de IIS permitiu ao grupo priorizar alvos e escolher o vetor de exploração correto. O grupo identificou instâncias Exchange vulneráveis em setores de defesa, pesquisa e ONGs nos Estados Unidos. **Operações de Watering Hole contra setor financeiro no Brasil:** Grupos de ameaça financeiramente motivados, incluindo operadores ligados a famílias de malware como [[s0531-grandoreiro|Grandoreiro]] e [[mekotio|Mekotio]], realizam fingerprinting de visitantes em portais bancários comprometidos ou em páginas de phishing elaboradas. O JavaScript malicioso coleta o idioma do navegador (para confirmar alvo brasileiro via `pt-BR`), o sistema operacional (para selecionar o installer correto do banking trojan) e a resolução de tela (para renderizar telas de sobreposição convincentes durante fraudes de ATS - Automated Transaction Systems). **Grupos APT com foco em virtualização:** Adversários avançados utilizam a detecção de ambientes virtualizados (VMware, VirtualBox, Hyper-V) como parte da coleta de configurações para evitar execução em sandboxes de análise de malware. Técnicas como verificação de `cpuid`, checagem de drivers de VM e análise de registros específicos de hardware são executadas durante a fase de reconhecimento para garantir que o payload só sejá entregue em máquinas físicas reais. ## Detecção A detecção desta técnica é desafiadora por sua natureza passiva e uso de canais legítimos. As principais estrategias são monitoramento de anomalias em logs de acesso e análise de scripts maliciosos: ```yaml title: Suspeita de JavaScript Fingerprinting em Watering Hole status: experimental logsource: category: proxy product: web-proxy detection: selection_suspicious_js: cs-uri-query|contains: - 'userAgent=' - 'screenWidth=' - 'timezone=' - 'platform=' cs-method: 'GET' cs-uri-stem|endswith: - '.js' - '/collect' - '/beacon' filter_known_analytics: cs-host|contains: - 'google-analytics.com' - 'analytics.google.com' - 'hotjar.com' condition: selection_suspicious_js and not filter_known_analytics level: medium tags: - attack.reconnaissance - attack.t1592.004 ``` ```yaml title: Exfiltração de Dados de Fingerprinting via HTTP POST status: experimental logsource: category: proxy product: web-proxy detection: selection: cs-method: 'POST' cs-bytes|gte: 200 cs-bytes|lte: 2000 cs-uri-stem|contains: - '/collect' - '/track' - '/ping' - '/beacon' - '/log' filter_legitimate: cs-host|endswith: - '.google.com' - '.microsoft.com' - '.apple.com' condition: selection and not filter_legitimate level: low tags: - attack.reconnaissance - attack.t1592.004 ``` > [!warning] Limitação de Detecção > Por operar em fase pré-compromisso (PRE), grande parte dessa atividade ocorre fora do perímetro monitorado da organização. Logs de proxy e DLP são os controles mais eficazes para identificar vazamento inadvertido de informações de configuração. ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | [[m1056-pre-compromise\|M1056]] | Pre-compromise | Técnica primária de mitigação - foca em reduzir a superfície de informações disponíveis antes do compromisso. Inclui conscientização de segurança para evitar acesso a sites não confiáveis em estações corporativas. | > [!tip] Controles Adicionais Recomendados > Embora não mapeados formalmente no MITRE, os seguintes controles reduzem significativamente a exposição: > - **Configurar proxies com User-Agent genérico**: Uniformizar o User-Agent em requisições corporativas via proxy reduz a utilidade do fingerprinting baseado em headers HTTP. > - **Bloquear carregamento de imagens externas em clientes de e-mail**: Elimina efetivamente pixels de rastreamento como vetor de coleta de IP e configuração. > - **Remover metadados de documentos antes da públicação**: Ferramentas como `mat2` (Linux) ou as opções do Microsoft Word para remover informações pessoais eliminam dados de versão de software em arquivos públicados. > - **Habilitar Content Security Policy (CSP) restritiva**: Reduz a eficácia de scripts de fingerprinting injetados em caso de comprometimento de site. > - **Treinamento de conscientização sobre watering holes**: Usuários com acesso a informações sensíveis devem ser treinados para acessar sites externos em ambientes isolados (browsers de navegação segura, VDI dedicada). ## Contexto Brasil/LATAM No contexto brasileiro e latino-americano, a técnica T1592.004 possui relevância particular para dois cenários predominantes: **Fraude bancária direcionada:** O ecossistema de banking trojans brasileiro - que inclui famílias como [[s0531-grandoreiro|Grandoreiro]], [[mekotio|Mekotio]], [[s0528-javali|Javali]] e [[s0455-metamorfo|Casbaneiro]] - depende fortemente de fingerprinting de clientes para garantir que o payload correto sejá entregue apenas a usuários com perfil de interesse. Scripts de fingerprinting verificam se o idioma é `pt-BR`, se o sistema operacional é Windows (a maioria dos banking trojans brasileiros não tem suporte a outros OS), e se determinados softwares de banco estão instalados. Isso reduz a taxa de análise por sandboxes e aumenta a eficiência das campanhas. **Operações de espionagem industrial no setor de energia e agronegócio:** O Brasil é o maior exportador agrícola global e possui infraestrutura de energia estratégica (Petrobras, Eletrobras). Grupos de espionagem patrocinados por estados que visam essas indústrias realizam reconhecimento extensivo de configurações antes de lançar operações de spear-phishing. A coleta de informações sobre sistemas SCADA, ERPs agrícolas e plataformas de trading de commodities permite que atacantes customizem seus vetores de acesso inicial com alta precisão. A limitada maturidade de monitoramento de segurança em empresas de médio porte no Brasil - onde grande parte da força de trabalho usa o mesmo dispositivo para trabalho e uso pessoal - também amplia a eficácia dessa técnica, pois a separação entre navegação corporativa e pessoal é frequentemente inexistente. ## Referências - **Técnica pai:** [[t1592-gather-victim-host-information|T1592 - Gather Victim Host Information]] - **Subtécnicas relacionadas:** [[t1592-001-hardware|T1592.001 - Hardware]], [[t1592-002-software|T1592.002 - Software]], [[t1592-003-firmware|T1592.003 - Firmware]] - **Técnicas complementares de reconhecimento:** [[t1595-active-scanning|T1595 - Active Scanning]], [[t1598-phishing-for-information|T1598 - Phishing for Information]], [[t1583-001-domains|Domains]] - **Técnicas seguintes na kill chain:** [[t1587-develop-capabilities|T1587 - Develop Capabilities]], [[t1588-obtain-capabilities|T1588 - Obtain Capabilities]] - **Vetores de acesso inicial relacionados:** [[t1133-external-remote-services|T1133 - External Remote Services]], [[t1195-supply-chain-compromise|T1195 - Supply Chain Compromise]] - **Grupos que utilizam:** [[g0125-silk-typhoon|HAFNIUM]] - **Malware relacionado:** [[s0531-grandoreiro|Grandoreiro]], [[mekotio|Mekotio]] - **Mitigação:** [[m1056-pre-compromise|M1056 - Pre-compromise]] --- *Fonte: [MITRE ATT&CK - T1592.004](https://attack.mitre.org/techniques/T1592/004)*