# T1583.001 - Domains ## Técnica Pai Esta é uma sub-técnica de [[t1583-acquire-infrastructure|T1583 - T1583 - Acquire Infrastructure]]. ## Descrição **T1583.001 - Domains** é uma subtécnica de [[t1583-*|T1583 - Acquire Infrastructure]] classificada na tática de Desenvolvimento de Recursos (TA0042). Nela, o adversário adquire nomes de domínio para dar suporte a operações de ataque - sejá hospedando infraestrutura de comando e controle (C2), servindo páginas de [[t1566-phishing|Phishing]], conduzindo ataques de [[t1189-drive-by-compromise|Drive-by Compromise]], ou simplesmente criando uma camada de indireção que dificulta o rastreamento da infraestrutura real. A aquisição pode ocorrer via registro pago em registradores convencionais, uso de serviços de WHOIS privado para ocultar identidade, reaproveitamento de domínios expirados que já possuem reputação positiva em listas de allowlist, ou registro em ambientes comprometidos (ex: Route53 em contas AWS roubadas). A escolha do domínio é um elemento estratégico da operação: adversários utilizam typosquatting (ex: `microsofft.com`, `segurançabrasil.net.br` ao invés de `segurançabrasil.org`), homoglyphs - substituição de caracteres visualmente similares usando alfabetos cirílico ou grego - e domínios internacionalizados (IDN) para criar endereços que passam em inspeção casual. URIs únicos gerados dinâmicamente para cada vítima são uma variante avançada que inviabiliza bloqueio baseado em IOC estático. O uso de diferentes registradores para cada domínio, combinado com informações de registro falsas, torna o rastreamento de infraestrutura significativamente mais difícil para pesquisadores e CERT. Esta é uma técnica de pré-compromisso: ocorre antes do primeiro contato com a vítima e raramente é detectável por controles tradicionais. Sua relevância para defesa reside na inteligência proativa - monitorar registros de novos domínios que imitam marcas ou infraestrutura da organização, cruzar IOCs de campanhas ativas com domínios recém-registrados, e alimentar TI feeds com indicadores de infraestrutura adversária identificados antes da ativação. **Contexto Brasil/LATAM:** O Brasil é particularmente vulnerável a campanhas baseadas em T1583.001 por dois fatores: a ampla base de usuários do `.com.br` e subdomínios de bancos e órgãos públicos facilita o typosquatting convincente; e a menor maturidade de monitoramento de domínios em equipes de segurança brasileiras cria jánelas de oportunidade maiores. Grupos como [[ta505|TA505]] e [[g0050-apt32|APT32]] já registraram domínios imitando bancos brasileiros e órgãos governamentais para conduzir campanhas de phishing financeiro. A ascensão de grupos de ransomware como ALPHV/BlackCat que operam via domínios registrados específicamente para cada operação também é documentada no Brasil. | Fonte de Dados | Técnica de Detecção | Ferramenta / Serviço | |---------------|--------------------|--------------------| | **Passive DNS** | Correlacionar domínios recém-registrados com padrões de typosquatting da organização | SecurityTrails, DNSDB, RiskIQ | | **Certificados TLS (CT Logs)** | Monitorar Certificaté Transparency logs para novos certs em domínios similares ao da org | certstream, crt.sh alertas | | **WHOIS histórico** | Correlacionar dados WHOIS de IOCs com infraestrutura conhecida de grupos APT | WHOIS XML API, DomainTools | | **Feeds de IOC** | Consumir feeds de domínios maliciosos (URLhaus, OpenPhish, TweetFeed) e bloquear proativamente | Abuse.ch, MalwareBazaar | | **DNS interno** | Alertar para queries DNS a domínios de reputação zero ou recém-registrados (< 30 dias) | DNS RPZ, Infoblox, Pi-hole | **Sigma Rule - Query DNS a domínio recém-registrado:** ```yaml title: DNS Query to Recently Registered Domain id: 2a4f8c1e-6b3d-4e9a-c2f0-5d8a1b3e6c9f status: experimental description: > Detecta queries DNS internas para domínios registrados há menos de 30 dias - indicador de possível C2, phishing ou infraestrutura adversária recém-criada (T1583.001). logsource: category: dns product: windows detection: selection: QueryName|contains: - '.com.br' - '.net.br' - '.org.br' filter_known_good: QueryName|endswith: - 'microsoft.com' - 'google.com' - 'cloudflare.com' - 'amazon.com.br' # Enriquecer com feed externo de domínios recém-registrados (ex: WhoisXMLAPI) condition: selection and not filter_known_good falsepositives: - Domínios legítimos recém-registrados pela própria organização para novos produtos - Domínios de fornecedores novos antes de serem adicionados ao allowlist level: medium tags: - attack.resource-development - attack.t1583.001 ``` ## Attack Flow ```mermaid graph TB A([T1583.001<br/>Registro de<br/>Domínio]):::attack --> B([Configuração<br/>DNS / C2]):::normal B --> C([T1566<br/>Phishing com<br/>domínio falso]):::normal B --> D([T1189<br/>Drive-by via<br/>domínio comprometido]):::normal C --> E([Acesso Inicial<br/>à vítima]):::normal classDef normal fill:#2c3e50,color:#ecf0f1,stroke:#7f8c8d classDef attack fill:#e74c3c,color:#fff,stroke:#c0392b ``` ## Como Funciona ### 1. Preparação O adversário pesquisa o alvo para identificar domínios legítimos a imitar: nome da empresa, marcas de produtos, sistemas internos mencionados em job listings, fornecedores e parceiros identificados via OSINT. Com base nessa pesquisa, seleciona variações convincentes - typosquats, subdomínios plausíveis (`vpn-acesso.empresa.com.br`), domínios com TLD alternativo (`empresa.io` quando `empresa.com.br` é legítimo) ou domínios expirados que pertenceram à empresa. O registro é feito via registradores que oferecem privacidade de WHOIS, pagamento em criptomoedas, ou em registradores com menos controles KYC - frequentemente no exterior. Grupos como [[g1033-star-blizzard|Star Blizzard]] e [[g1044-apt42|APT42]] são conhecidos por registrar dezenas de domínios em lotes antes de iniciar cada campanha. ### 2. Execução Com o domínio registrado, o adversário configura a infraestrutura necessária: registros DNS apontando para servidores de C2, certificados TLS válidos obtidos via Let's Encrypt ou autoridades comerciais (conferindo o cobiçado cadeado verde que aumenta credibilidade), e páginas de phishing ou kits de exploit hospedados no servidor. Domínios expirados reaproveitados - uma técnica comum do [[g0136-indigozebra|IndigoZebra]] e [[g0006-apt1|APT1]] - são especialmente perigosos porque podem já estar em listas de allowlist de proxies corporativos ou ter reputação positiva em feeds de threat intel, passando despercebidos por filtros baseados em reputação. ### 3. Pós-execução O domínio é utilizado nas fases subsequentes da cadeia de ataque: phishing via [[t1566-phishing|T1566 - Phishing]], entrega de malware via [[t1189-drive-by-compromise|T1189]], ou como infraestrutura C2 para implants já instalados. À medida que o domínio é detectado e bloqueado por TI feeds (URLhaus, VirusTotal, etc.), o adversário migra para domínios reservados previamente - um padrão de rotação documentado em campanhas do [[g0007-apt28|APT28]] e [[g1001-hexane|HEXANE]]. Malwares como [[darkgaté|DarkGaté]] e [[s1207-xloader|XLoader]] utilizam domínios registrados como parte de campanhas de distribuição em escala, com cada domínio servindo payloads por dias antes da rotação. ## Detecção > [!note] Característica de Pré-Compromisso > T1583.001 ocorre antes de qualquer interação com a vítima - a jánela de detecção é proativa, via monitoramento de registro de domínios e inteligência de infraestrutura adversária, não reativa via logs de endpoint. ## Mitigação | Controle | Ação Recomendada | Prioridade para Orgs Brasileiras | |---------|-----------------|----------------------------------| | **[[m1056-pre-compromise\|M1056 - Pre-compromise]]** | Monitorar registros de domínios similares ao da organização via serviços de brand protection | Alta - custo baixo, impacto alto para prevenção de phishing | | **Monitoramento de CT Logs** | Alertas automáticos para novos certificados TLS emitidos para domínios que imitam a organização | Alta - gratuito via certstream/crt.sh | | **DNS Filtering com RPZ** | Bloquear domínios de reputação zero ou recém-registrados no DNS resolver corporativo | Alta - defesa proativa de baixo custo | | **Proteção de marca** | Registrar proativamente variações de typosquatting dos domínios críticos da organização | Média - especialmente relevante para bancos e marcas conhecidas no Brasil | | **TI Feeds de Infraestrutura** | Consumir feeds de domínios de C2 conhecidos e integrar ao SIEM/SOAR para bloqueio automático | Alta - URLhaus, Abuse.ch e OpenPhish são gratuitos | | **Treinamento anti-phishing** | Usuários devem verificar URLs antes de inserir credenciais - simulações de phishing periódicas | Alta - controle humano complementa controles técnicos | ## Threat Actors - [[g0007-apt28|APT28]] - registra domínios imitando organizações governamentais e militares para campanhas de spearphishing e watering holes; usa WHOIS privado e registradores na Europa Oriental para dificultar rastreamento. - [[ta505|TA505]] - grupo criminoso prolífico que utiliza domínios registrados em massa para distribuição de [[darkgaté|DarkGaté]], [[s1207-xloader|XLoader]] e campanhas de phishing financeiro; documenta-se uso de domínios `.com.br` em campanhas contra o setor bancário brasileiro. - [[g1046-storm-1811|Storm-1811]] - grupo de ransomware que registra domínios imitando suporte técnico de software legítimo para conduzir engenharia social e entregar acesso inicial. - [[g1001-hexane|HEXANE]] - grupo de espionagem focado em telecomúnicações e energia; registra domínios imitando fornecedores e parceiros dos alvos para ataques de supply chain. - [[g1033-star-blizzard|Star Blizzard]] - grupo russo focado em phishing de credenciais; opera dezenas de domínios simultaneamente imitando serviços de e-mail, armazenamento cloud e plataformas colaborativas usadas por ONGs e jornalistas. - [[g1044-apt42|APT42]] - grupo iraniano especializado em phishing; registra domínios imitando conferências acadêmicas, think tanks e veículos de mídia para coletar credenciais de pesquisadores e ativistas. - [[g1052-contagious-interview|Contagious Interview]] - campanha do [[g0032-lazarus-group|Lazarus Group]] que usa domínios imitando plataformas de recrutamento e empresas de tecnologia para entregar malware via falsas entrevistas de emprego. - [[g0050-apt32|APT32]] - grupo vietnamita que usa domínios com temática de notícias e governo para campanhas de phishing contra ativistas e jornalistas na LATAM e Sudeste Asiático. ## Software Associado - [[s1130-raspberry-robin|Raspberry Robin]] - worm que usa domínios de curta duração como infraestrutura de C2, rotacionando regularmente para evitar bloqueio por feeds de reputação; distribuído via USB e links de phishing. - [[darkgaté|DarkGaté]] - loader MaaS (Malware-as-a-Service) distribuído via campanhas de phishing massivas que utilizam domínios registrados em lotes; ativo em campanhas contra organizações brasileiras em 2024. - [[s1207-xloader|XLoader]] - infostealer multiplataforma (Windows e macOS) distribuído via domínios de phishing que imitam marcas conhecidas; vendido em fóruns de crime cibernético como serviço acessível. --- *Fonte: [MITRE ATT&CK - T1583.001](https://attack.mitre.org/techniques/T1583/001)*