# T1583.005 - Botnet ## Descrição Adversários compram, alugam ou arrendam redes de sistemas comprometidos - as chamadas **botnets** - para apoiar operações ofensivas em larga escala. Uma botnet é um conjunto de máquinas infectadas que podem ser controladas centralmente para executar tarefas coordenadas, como disparos de [[t1566-phishing|Phishing]] massivo, ataques de negação de serviço distribuído (DDoS), ou simplesmente como camada de relay para [[t1090-proxy|Proxy]] de tráfego malicioso. Atores de ameaça utilizam serviços comerciais do tipo *booter/stresser* - plataformas criminosas que alugam capacidade de botnet por assinatura - eliminando a necessidade de construir e manter a infraestrutura própria. Dispositivos de borda (*edge devices*) sem suporte do fabricante (EOL), roteadores SOHO e equipamentos IoT são alvos frequentes de comprometimento para integrar essas redes. Redes ORB (*Operational Relay Box*), compostas por VPS e dispositivos domésticos infectados, são especialmente valorizadas por obscurecer a origem real do tráfego e dificultar atribuição. **Contexto Brasil e LATAM:** O Brasil está entre os países com maior concentração de dispositivos integrantes de botnets globais. Roteadores residenciais e modems de ISPs regionais - muitas vezes sem atualização de firmware há anos - são frequentemente recrutados para botnets como [[mirai-botnet|Mirai]] e variantes, utilizadas tanto em ataques DDoS contra alvos financeiros quanto como proxies para campanhas de credential stuffing. O setor bancário brasileiro sofre impacto direto quando botnets são usadas como plataforma de distribuição de [[t1566-spearphishing-link|spearphishing]] e malware bancário como [[s0531-grandoreiro|Grandoreiro]] e [[mekotio|Mekotio]]. > **Técnica pai:** [[t1583-acquire-infrastructure|T1583 - Acquire Infrastructure]] > **Tática:** Resource Development ## Attack Flow ```mermaid graph TB A[Adversário] --> B[Compra acesso<br/>ao serviço de botnet] B --> C{"T1583.005<br/>Botnet"}:::highlight C --> D[Phishing em massa<br/>T1566] C --> E[DDoS contra alvos] C --> F[Proxy / Hide Infrastructure<br/>T1665] F --> G[C2 oculto<br/>T1090] classDef highlight fill:#e74c3c,color:#fff,stroke:#c0392b ``` ## Como Funciona **Passo 1 - Aquisição da botnet** O adversário acessa fóruns clandestinos ou serviços de *booter/stresser* e adquire acesso a uma rede de bots já operacional, pagando por volume de tráfego, número de nós ou período de assinatura. Alternativamente, o ator pode comprometer diretamente dispositivos vulneráveis (roteadores, câmeras IP, NVRs) para construir uma botnet própria. **Passo 2 - Configuração e integração ao plano de ataque** A botnet é configurada para receber comandos via painel de controle (painel C2), geralmente acessado por [[t1090-proxy|Proxy]] para proteger a identidade do operador. O ator define o tipo de operação: flood DDoS, relay de tráfego C2, ou plataforma de distribuição de mensagens [[t1566-phishing|Phishing]]. **Passo 3 - Execução da operação** Os bots executam as instruções de forma coordenada. Em ataques DDoS, geram tráfego volumétrico contra alvos. Como proxies, roteiam comúnicações do [[t1665-hide-infrastructure|malware implantado]] para o servidor real do atacante, fragmentando o caminho de atribuição forense. ## Detecção ### Event IDs Relevantes | Fonte | Event ID | Descrição | |-------|----------|-----------| | Firewall/IDS | - | Tráfego de saída volumétrico ou irregular para IPs de botnet conhecidos | | Threat Intel Feeds | - | Correlação de IPs/domínios com listas de C2 de botnets (e.g., Feodo Tracker) | | DNS | - | Resolução de domínios DGA (*Domain Generation Algorithm*) em alta frequência | | NetFlow | - | Conexões periódicas para o mesmo IP externo com intervalos regulares (*beaconing*) | | Proxy Logs | - | Requisições HTTP/S para subdomínios incomuns de provedores cloud legítimos | ### Regra Sigma - Detecção de Beaconing Periódico ```yaml title: Possível Beaconing de Botnet - Conexões Periódicas Externas id: b3e1d4f7-92a8-4c3b-bf12-d6e7a1c09f32 status: experimental description: > Detecta padrão de conexões de saída com intervalos regulares (beaconing), comportamento típico de bots aguardando instruções de C2. logsource: category: firewall product: generic detection: selection: event_type: "outbound_connection" timeframe: 10m condition: selection | count() by dst_ip > 8 filter_legit: dst_ip|cidr: - "10.0.0.0/8" - "172.16.0.0/12" - "192.168.0.0/16" falsepositives: - Sistemas com polling legítimo para APIs externas - Agentes de monitoramento (Zabbix, Nagios) level: medium tags: - attack.resource_development - attack.t1583.005 ``` ## Mitigação | ID | Mitigação | Aplicação para Organizações Brasileiras | |----|-----------|----------------------------------------| | [[m1056-pre-compromise\|M1056 - Pre-compromise]] | Ação preventiva pré-comprometimento | Monitorar feeds de threat intel (Feodo Tracker, Abuse.ch) e bloquear IPs/domínios de botnets conhecidos no perímetro; implementar políticas de atualização de firmware em roteadores e dispositivos IoT corporativos | | Segmentação de rede | Controle de acesso | Isolar dispositivos IoT e BYOD em VLANs separadas, sem acesso direto a segmentos críticos; impede que um dispositivo comprometido sejá usado como bot na rede interna | | DNS Filtering | Controle de saída | Usar resolvedores DNS filtrados (Cisco Umbrella, Cloudflare Gateway) para bloquear domínios DGA e domínios C2 catalogados | | NetFlow + SIEM | Detecção | Implementar análise de NetFlow para identificar padrões de beaconing; correlacionar com feeds de IoCs de botnets ativas | | Bloqueio de serviços *booter* | Controle de acesso | Bloquear acesso a sites de booter/stresser conhecidos; monitorar downloads de ferramentas de stress testing | ## Threat Actors e Software Os seguintes atores de ameaça utilizam ou já utilizaram botnets como parte de suas operações de infraestrutura: - **[[g0125-silk-typhoon|HAFNIUM]]** - Grupo de espionagem associado à China, utilizou botnets de dispositivos SOHO comprometidos como camada de anonimização para operações contra alvos governamentais e de defesa. A botnet atuava como rede ORB para ocultar infraestrutura real de C2. - **[[g1023-apt5|APT5]]** - Ator de espionagem vinculado ao estado chinês, conhecido por comprometer dispositivos de borda (VPNs, roteadores) para construir redes de relay persistentes. Opera há mais de 15 anos contra setores de tecnologia e telecomúnicações, incluindo alvos na América Latina. - **[[g0004-apt15|Ke3chang]]** - Grupo APT com foco em entidades governamentais e diplomáticas. Utiliza infraestrutura de botnet para mascarar tráfego de comando e controle de campanhas de espionagem de longa duração. **Software e botnets relevantes no contexto LATAM:** - [[mirai-botnet|Mirai]] e variantes - compostas majoritariamente por dispositivos IoT e roteadores domésticos; Brasil figura entre os países com maior número de IPs infectados - [[s0531-grandoreiro|Grandoreiro]] - trojan bancário brasileiro que utiliza infraestrutura de botnet para distribuição e comunicação C2 - [[mekotio|Mekotio]] - malware bancário focado no Brasil e América Latina com infraestrutura de C2 baseada em domínios gerados dinâmicamente --- *Fonte: [MITRE ATT&CK - T1583.005](https://attack.mitre.org/techniques/T1583/005)*