# T1583.004 - Server ## Descrição Adversários compram, alugam ou obtêm servidores físicos ou virtuais para suportar operações ofensivas. Ao contrário de comprometer infraestrutura de terceiros ([[t1584-004-server|T1584.004 - Server]]) ou alugar servidores virtuais privados ([[t1583-003-virtual-private-server|T1583.003 - VPS]]), esta sub-técnica envolve a aquisição de servidores dedicados sob controle direto do adversário - proporcionando maior capacidade de processamento, armazenamento, e persistência operacional de longo prazo. No contexto Brasil/LATAM, esta técnica tem implicações diretas: servidores adquiridos por grupos APT e criminosos são frequentemente registrados em provedores de hospedagem com políticas laxas de verificação de identidade (bulletproof hosters) ou em países com acordos de extradição limitados. Dados do [[sources|CERT.br]] mostram que infraestruturas de C2 e phishing direcionadas ao Brasil são frequentemente hospedadas em ASNs de países do Leste Europeu, Ásia e até em provedores brasileiros com processos fracos de take-down. Os casos de uso operacionais incluem: - **Watering hole:** hospedagem de sites comprometidos para [[t1189-drive-by-compromise|T1189 - Drive-by Compromise]] - **Phishing:** infraestrutura para campanhas de [[t1566-phishing|T1566 - Phishing]] com domínios clonados de bancos e órgãos do governo - **Command and Control:** servidores C2 para [[ta0011-command-and-control|TA0011 - Command and Control]] de malware implantado - **Staging de payloads:** hospedagem de malware, exploits e ferramentas de pós-exploração - **Exfiltração:** destino para dados roubados em trânsito para bases finais do adversário Grupos como [[g0094-kimsuky|Kimsuky]] e [[g1006-earth-lusca|Earth Lusca]] utilizam servidores próprios para manter campanhas de espionagem de longa duração com alto controle operacional - minimizando a exposição associada ao uso de infraestrutura compartilhada ou comprometida, que pode ser desativada por terceiros. > **Técnica pai:** [[t1583-acquire-infrastructure|T1583 - Acquire Infrastructure]] --- ## Attack Flow ```mermaid graph TB A([Adversário]) --> B[Adquire servidor<br/>dedicado / bulletproof] B --> C[Configura SO<br/>e serviços] C --> D{Propósito\noperacional} D -->|C2| E[Implanta framework<br/>C2 - Cobalt Strike / Sliver] D -->|Phishing| F[Hospeda clone<br/>de banco / portal gov] D -->|Watering Hole| G[Injeta script<br/>em site comprometido] D -->|Staging| H[Armazena malware<br/>e exploits] E --> I(["TA0011<br/>Command and Control"]) F --> J(["T1566<br/>Phishing"]) G --> K(["T1189<br/>Drive-by Compromise"]) H --> L(["T1105<br/>Ingress Tool Transfer"]) style D fill:#e74c3c,color:#fff style E fill:#e74c3c,color:#fff ``` --- ## Como Funciona **Passo 1 - Aquisição da infraestrutura** O adversário obtém servidores utilizando métodos que dificultam rastreamento: pagamento com criptomoedas, uso de identidades falsas, aproveitamento de períodos de trial gratuito em provedores de cloud (AWS, Azure, GCP, DigitalOcean, Linode), ou contratação de bulletproof hosters especializados que ignoram solicitações de take-down de CERTs e autoridades policiais. Provedores em Rússia, Roménia, Países Baixos e Hong Kong são frequentemente utilizados. **Passo 2 - Configuração e camuflagem** O servidor é configurado com o perfil operacional necessário. Para C2, frameworks como Cobalt Strike, Sliver, Havoc ou Metasploit são instalados com perfis de C2 customizados que imitam tráfego legítimo (HTTPS com certificados válidos, tráfego moldado como CDN ou serviços conhecidos). Para phishing direcionado ao Brasil, são criados certificados TLS válidos para domínios que imitam portais bancários ou do governo federal (ex: `receita-federal-gov[.]br`). **Passo 3 - Integração na cadeia de ataque** O servidor entra em operação como nó específico na infraestrutura ofensiva. Grupos sofisticados como [[g0034-sandworm|Sandworm Team]] e [[g0093-gallium|GALLIUM]] utilizam múltiplas camadas de servidores - proxies frontais (redirectors), servidores de staging intermediários e servidores C2 finais - para dificultar o rastreamento reverso a partir de detecções nos alvos. --- ## Detecção > A detecção ocorre majoritariamente por inteligência de ameaças e análise de infraestrutura externa. Dentro do perímetro, os indicadores são de comúnicação com esses servidores. ### Event IDs relevantes (Windows) | Event ID | Fonte | Relevância | |----------|-------|------------| | 5156 | Security (WFP) | Conexão de rede permitida - identificar beacons periódicos para IPs externos desconhecidos | | 3 | Sysmon | NetworkConnect - processo incomum estabelecendo conexão de saída em portas não-padrão | | 22 | Sysmon | DNSQuery - resolução de domínio com baixa reputação ou recém-registrado (< 30 dias) | | 4688 | Security | Criação de processo de ferramentas de acesso remoto não autorizadas | | 7 | Sysmon | ImageLoaded - DLLs de frameworks C2 carregadas por processos legítimos (process injection) | ### Sigma Rule - Beacon Periódico para Infraestrutura Recém-Registrada ```yaml title: Periodic Outbound Connection to Newly Registered Domain id: c9d5e2f3-6a1b-4c7d-9e8f-4b2a7c1d5e0f status: experimental description: > Detecta padrão de beacon C2 típico de servidores controlados por adversários: conexões periódicas regulares (jitter baixo) para domínios registrados há menos de 30 dias - indicador de infraestrutura de C2 recém-configurada. author: RunkIntel daté: 2026-03-24 logsource: category: network_connection product: windows service: sysmon detection: selection: EventID: 3 Initiated: 'true' DestinationPort: - 443 - 80 - 8080 - 8443 - 4444 - 1337 filter_known_infra: DestinationIp|cidr: - '10.0.0.0/8' - '172.16.0.0/12' - '192.168.0.0/16' filter_legit_processes: Image|contains: - '\svchost.exe' - '\MsMpEng.exe' - '\WindowsUpdaté' condition: selection and not filter_known_infra and not filter_legit_processes fields: - Image - DestinationIp - DestinationPort - DestinationHostname - User falsepositives: - Softwares legítimos de telemetria e atualização - Ferramentas de monitoramento corporativo level: medium tags: - attack.resource-development - attack.t1583.004 - attack.command-and-control - attack.ta0011 ``` --- ## Mitigação | ID | Mitigação | Aplicação para Organizações Brasileiras | |----|-----------|----------------------------------------| | [[m1056-pre-compromise\|M1056 - Pre-compromise]] | Pré-comprometimento | Monitorar ASNs associadas a bulletproof hosters; integrar feeds de reputação de IP (AbuseIPDB, Spamhaus) nos firewalls | | - | Egress Filtering | Restringir tráfego de saída a destinos autorizados; bloquear conexões diretas a IPs sem hostname reverso válido ou com ASNs de alto risco | | - | DNS Filtering | Bloquear resolução de domínios registrados há menos de 30 dias para workstations e servidores não-administrativos | | - | Network Traffic Analysis | Implementar solução NDR (Network Detection and Response) para identificar padrões de beacon - intervalos regulares, payloads de tamanho fixo, conexões persistentes | | - | TLS Inspection | Inspecionar tráfego TLS de saída para detectar C2 sobre HTTPS; verificar certificados com emissores incomuns ou sem cadeia de confiança estabelecida | | - | Threat Intel Integration | Assinar feeds de IOCs de infraestrutura ([[cisa-kev\|CISA KEV]], Abuse.ch, OTX AlienVault) e automatizar bloqueio de IPs/domínios C2 no firewall e proxy | --- ## Threat Actors que Usam ### [[g0093-gallium|GALLIUM]] Grupo chinês de espionagem focado em telecomúnicações e governo. Utiliza servidores dedicados como C2 para campanhas de longa duração - frequentemente mantendo acesso persistente por meses antes de ser detectado. Infraestrutura tipicamente hospedada em provedores asiáticos e europeus com perfis de tráfego que imitam serviços legítimos. ### [[g0094-kimsuky|Kimsuky]] APT norte-coreano especializado em espionagem geopolítica e roubo de propriedade intelectual. Mantém infraestrutura de servidores próprios para campanhas de spear-phishing contra think tanks, institutos de pesquisa e entidades governamentais. Documentado usando servidores na Europa e Ásia para hospedar páginas de phishing imitando portais acadêmicos e governamentais. ### [[g0034-sandworm|Sandworm Team]] Grupo russo (GRU) responsável por alguns dos ataques mais disruptivos já documentados (NotPetya, ataques à rede elétrica ucraniana). Mantém infraestrutura de servidores próprios para operações de sabotagem e espionagem. Utiliza múltiplas camadas de redirecionamento para dificultar atribuição. Relevante para o Brasil dado o papel do país em infraestruturas críticas internacionais. ### [[g1006-earth-lusca|Earth Lusca]] Grupo chinês ativo em espionagem contra governos, energia e telecomúnicações em múltiplas regiões. Documentado usando servidores em provedores de Hong Kong e Europa para hospedar C2 de campanhas direcionadas. Padrão operacional de comprar domínios que imitam serviços legítimos e configurar servidores com certificados TLS válidos para evasão de inspeção SSL. ### [[g1020-mustard-tempest|Mustard Tempest]] Grupo criminoso que combina servidores próprios com malvertising ([[t1583-008-malvertising|T1583.008]]) para distribuir o loader [[s1130-raspberry-robin|Raspberry Robin]]. Os servidores são usados para hospedar páginas de download de software trojanizado e como C2 para o loader durante as fases iniciais da infecção. ### [[g1012-curium|CURIUM]] Grupo iraniano de espionagem focado no Oriente Médio, com técnicas aplicáveis globalmente. Utiliza servidores dedicados para campanhas de engenharia social sofisticadas, hospedando personas falsas de recrutadores e pesquisadores acadêmicos. Perfil relevante como referência de TTPs para monitoramento de ameaças de estado-nação contra o Brasil. --- *Fonte: [MITRE ATT&CK - T1583.004](https://attack.mitre.org/techniques/T1583/004)*