# T1583.003 - Virtual Private Server
## Técnica Pai
Esta é uma sub-técnica de [[t1583-acquire-infrastructure|T1583 - T1583 - Acquire Infrastructure]].
## Descrição
Adversários alugam Servidores Privados Virtuais (VPS) junto a provedores de nuvem ou de hospedagem para utilizar como infraestrutura dedicada durante operações de ataque. Um VPS oferece isolamento de recursos, endereço IP dedicado e controle administrativo completo pelo locatário - combinação que o torna ideal para hospedar servidores de [[ta0011-command-and-control|Command and Control]], páginas de [[t1566-phishing|Phishing]], repositórios de payloads e nós de redirecionamento de tráfego. O modelo de pagamento por demanda permite que o adversário provisione, reconfigure e encerre instâncias com velocidade e sem vínculos físicos rastreáveis, especialmente quando utiliza métodos de pagamento anônimos como criptomoedas.
A versatilidade do VPS reside na sua capacidade de mimetizar infraestrutura legítima. Provedores de nuvem de alto renome possuem intervalos de IP confiáveis e amplamente permitidos por firewalls corporativos e filtros de reputação. Grupos como [[g0007-apt28|APT28]] e [[g0047-gamaredon|Gamaredon Group]] exploram exatamente esse fato: ao operar C2 em endereços pertencentes a grandes provedores, o tráfego malicioso se mistura ao ruído de serviços legítimos, dificultando detecções baseadas em reputação de IP. Provedores que oferecem registro mínimo de identidade - populares no leste europeu e em jurisdições com pouca cooperação internacional - são especialmente preferidos por grupos de espionagem estadual.
**Contexto Brasil/LATAM:** O mercado brasileiro de hospedagem em nuvem cresceu substancialmente nos últimos anos, e isso tem implicações diretas para a postura de defesa das organizações locais. Grupos como [[g1004-lapsus|LAPSUS$]], que realizaram operações de alto impacto contra empresas brasileiras e multinacionais com presença no país, utilizam VPS para hospedar infraestrutura temporária de exfiltração e coordenação. A facilidade de contratar VPS em provedores nacionais ou regionais com pagamento via Pix ou boleto torna rastreamento e derrubada de infraestrutura um processo mais lento, pois exige cooperação jurídica interna. Equipes de segurança no Brasil devem monitorar conexões de saída para provedores de hospedagem conhecidos por baixa rastreabilidade e implementar controles de DNS filtering para domínios recém-registrados associados a IPs de VPS.
## Attack Flow
```mermaid
graph TB
A([Aquisição de VPS<br/>com pagamento anônimo]) --> B([Configuração de<br/>infrastrutura C2])
B --> C{T1583.003\nVPS Operacional}:::highlight
C --> D([Hospedagem de<br/>payload / phishing])
D --> E([Ataque à<br/>vítima primária])
classDef highlight fill:#e74c3c,color:#fff
```
## Como Funciona
**1. Preparação**
O adversário seleciona um ou mais provedores de VPS com base em critérios operacionais: jurisdição com pouca cooperação internacional, políticas de registro mínimo (sem verificação de identidade real), suporte a pagamento anônimo (criptomoeda, cartão pré-pago) e range de IPs com boa reputação junto a filtros de segurança corporativos. Frequentemente são utilizados provedores que permitem múltiplos provisionamentos rápidos, possibilitando rotação de infraestrutura diante de bloqueios ou takedowns. O VPS pode ser registrado com dados fictícios ou via serviços de privacidade de domínio.
**2. Execução**
Após provisionar o VPS, o adversário configura os serviços necessários: servidor C2 (Cobalt Strike, Sliver, Brute Ratel ou frameworks customizados), servidor HTTP/S para entrega de payloads, painel de phishing ou servidor de redirecionamento de tráfego. Certificados TLS legítimos são obtidos via serviços gratuitos de autoridade certificadora para conferir aparência de legitimidade às comúnicações. O VPS pode ser encadeado com outros VPS ou com dispositivos comprometidos via [[t1584-008-network-devices|T1584.008]] para criar camadas adicionais de ofuscação conforme a técnica [[t1665-hide-infrastructure|Hide Infrastructure]].
**3. Pós-execução**
Durante a operação ativa, o adversário monitora o VPS quanto a indicadores de comprometimento ou investigação (logs de acesso anômalos, notificações de abuso do provedor). Ao menor sinal de descoberta, a instância é encerrada e substituída por nova, um processo que pode levar minutos. Dados coletados são exfiltrados para armazenamento seguro antes do encerramento. Grupos como [[g0047-gamaredon|Gamaredon Group]] documentadamente operam dezenas de VPS simultâneos, rotacionando-os para dificultar takedown coordenado por equipes de resposta a incidentes e CERTs.
## Detecção
### Event IDs Relevantes
| Plataforma | Event ID / Log | Descrição |
|-----------|---------------|-----------|
| DNS / Proxy | Query log | Domínios recém-registrados (< 30 dias) resolvendo para IPs de provedores de VPS conhecidos |
| Firewall / NGF | Allow log | Conexões de saída persistentes (beacon) para IPs fora do baseline de destinos aprovados |
| EDR / Sysmon | Event ID 3 (Network Connection) | Processos como `powershell.exe`, `cmd.exe`, `rundll32.exe` iniciando conexões externas regulares |
| SIEM | Correlação de fluxo | Padrões de beaconing: conexões periódicas com jitter mínimo para mesmo IP externo |
| TLS inspection | Certificaté log | Certificados Let's Encrypt recém-emitidos em domínios de baixa reputação |
### Regra Sigma
```yaml
title: Beaconing para Infraestrutura VPS Suspeita
id: 7a3c1e9f-4b2d-4e8a-b6c0-2f5d8e1a4b9c
status: experimental
description: >
Detecta padrão de beaconing - conexões periódicas com intervalo regular
para endereços IP de provedores de VPS conhecidos por baixa rastreabilidade -
indicativo de canal C2 estabelecido conforme T1583.003.
author: RunkIntel
daté: 2026-03-24
logsource:
category: proxy
product: generic
detection:
selection_vps_asn:
dst_ip|cidr:
# Blocos ASN comuns de provedores VPS anon (exemplos representativos)
- "185.220.0.0/16"
- "194.165.0.0/16"
- "45.142.0.0/16"
selection_new_domain:
dst_domain|re: '.*\.(xyz|top|pw|cc|tk|ml|ga|cf)