# T1583.006 - Web Services ## Técnica Pai Esta é uma sub-técnica de [[t1583-acquire-infrastructure|T1583 - T1583 - Acquire Infrastructure]]. ## Descrição Adversários registram e utilizam serviços web legítimos como infraestrutura de suporte para suas operações. Plataformas amplamente adotadas - como GitHub, Google Drive, Dropbox, Telegram, Discord, Pastebin, OneDrive e serviços de CDN - são escolhidas deliberadamente porque seu tráfego se mistura ao ruído normal de redes corporativas, dificultando a detecção por soluções de filtragem e inspeção de tráfego. O uso de serviços populares também impede bloqueios triviais: nenhuma organização pode bloquear o GitHub ou o Google Drive sem impacto operacional severo. Esses serviços são empregados nas fases mais diversas do ciclo de ataque. Na fase de [[t1102-web-service|Web Service]] (C2), o agente malicioso consulta repositórios GitHub ou canais Telegram para receber comandos e atualizar configurações. Na fase de [[t1567-exfiltration-over-web-service|Exfiltration Over Web Service]], dados roubados são enviados para pastas do Google Drive ou OneDrive antes da coleta pelo operador. Em campanhas de [[t1566-phishing|Phishing]], páginas hospedadas em serviços de formulários (Google Forms, Microsoft Forms) ou de armazenamento (SharePoint) são usadas para coletar credenciais, pois o domínio do serviço legítimo passa pela maioria dos filtros de URL. **Contexto Brasil/LATAM:** A penetração elevada de plataformas como Google Workspace, Microsoft 365 e Telegram no mercado corporativo brasileiro torna essa técnica particularmente eficaz na região. Grupos como [[g1051-medusa-ransomware|Medusa Group]] - ransomware com histórico de vítimas brasileiras - utilizam serviços de compartilhamento para hospedar payloads e exfiltrar dados de empresas dos setores financeiro, saúde e educação. O [[g0010-turla|Turla]], grupo russo de espionagem, é notório pelo uso de serviços legítimos como canal de C2, incluindo comentários em posts do Instagram como mecanismo de dead-drop. A técnica é especialmente difícil de mitigar em ambientes que dependem dessas plataformas para produtividade diária. ## Attack Flow ```mermaid graph TB A([Registro em serviço web<br>legítimo - GitHub/Drive/Telegram]) --> B([Hospedagem de payload<br>ou configuração C2]):::highlight B --> C([Entrega via Phishing<br>ou updaté malicioso]) C --> D([C2 via Web Service<br>T1102]) D --> E([Exfiltração via<br>Web Service T1567]) classDef highlight fill:#e74c3c,color:#fff ``` ## Como Funciona 1. **Registro e configuração da infraestrutura:** O adversário cria contas em serviços web populares utilizando identidades descartáveis ou comprometidas (ex: [[t1586-002-email-accounts|contas de e-mail comprometidas]]). Repositórios GitHub privados ou públicos, pastas no Google Drive, canais no Telegram ou buckets no OneDrive são configurados para servir como pontos de staging de payloads, repositórios de configuração de C2, ou destinos de exfiltração. A escolha do serviço é estratégica: plataformas com APIs bem documentadas simplificam a automação do canal de comunicação malicioso. 2. **Integração com o implante:** O agente malicioso implantado na vítima é programado para se comúnicar periodicamente com o serviço web registrado - consultando um arquivo de configuração em repositório GitHub, lendo mensagens de um bot Telegram, ou fazendo polling de um documento no Google Drive. Esse padrão de comunicação imita o tráfego legítimo de aplicações SaaS corporativas, passando por inspeções de proxy que confiam nos certificados TLS dos provedores de nuvem. A técnica é diretamente associada ao uso de [[t1102-web-service|Web Service]] como canal de C2. 3. **Exfiltração e operação contínua:** Dados coletados da rede da vítima - credenciais, documentos, e-mails - são enviados para o serviço web registrado, frequentemente fragmentados e comprimidos para minimizar anomalias de volume. O adversário acessa os dados a partir de qualquer localização sem revelar infraestrutura própria. Quando detectado ou bloqueado em um serviço, a migração para outro provedor é trivial, conferindo resiliência operacional à infraestrutura. Isso complica a resposta a incidentes pois os IoCs tradicionais (IPs de C2) são substituídos por domínios de grandes plataformas. ## Detecção ### Event IDs / Indicadores Relevantes | Fonte | Indicador | Descrição | |-------|-----------|-----------| | Proxy / NGFW | Uploads para `api.github.com`, `drive.google.com`, `graph.microsoft.com` | Volume anômalo ou horários incomuns (fora do expediente) | | DNS | Queries frequentes para `*.github.io`, `pastebin.com`, `cdn.discordapp.com` | Endpoints incomuns para o perfil do host | | Sysmon | Event 3 - Network Connection | Processo não-browser conectando a CDNs de plataformas legítimas | | EDR | Comportamento de processo | Execução de `powershell.exe` ou `curl` com URLs de serviços cloud | | DLP / CASB | Upload de dados sensíveis | Transferência de dados para serviços não aprovados pelo CASB | ### Sigma Rule ```yaml title: Uso Suspeito de Web Service como Infraestrutura C2 id: c9d3e5f2-4b67-5a90-0e1f-a2b3c4d5e6f7 status: experimental description: > Detecta processos não-browser realizando conexões de rede para serviços web populares frequentemente abusados como infraestrutura C2 ou staging. author: RunkIntel daté: 2026-03-24 logsource: category: network_connection product: windows detection: selection: Initiated: 'true' DestinationHostname|contains: - 'api.github.com' - 'raw.githubusercontent.com' - 'pastebin.com' - 'cdn.discordapp.com' - 'api.telegram.org' - 'graph.microsoft.com' filter_browsers: Image|endswith: - '\chrome.exe' - '\msedge.exe' - '\firefox.exe' - '\iexplore.exe' filter_legitimate: Image|contains: - '\GitHub Desktop\\' - '\Microsoft Teams\\' - '\OneDrive.exe' condition: selection and not filter_browsers and not filter_legitimate falsepositives: - Ferramentas de desenvolvimento legítimas (git, CLI tools) - Scripts de automação corporativa usando APIs legítimas - Aplicações SaaS integradas com essas plataformas level: medium tags: - attack.resource_development - attack.t1583.006 - attack.command_and_control - attack.t1102 ``` ## Mitigação | Controle | Implementação Prática para Organizações Brasileiras | |----------|-----------------------------------------------------| | **[[m1056-pre-compromise\|M1056 - Pre-compromise]]** | Limitar ação antes do comprometimento via threat intelligence - monitorar registros de novos repositórios/contas associados a domínios da organização | | **CASB (Cloud Access Security Broker)** | Implantar solução CASB para visibilidade e controle de uploads para serviços cloud não aprovados - identificar exfiltração via Google Drive, OneDrive, Dropbox | | **Inspeção TLS / SSL** | Implementar inspeção de tráfego TLS em proxy corporativo para inspecionar conteúdo enviado a serviços legítimos - verificar uploads volumosos ou em horários anômalos | | **Allowlist de aplicações cloud** | Definir lista de serviços cloud aprovados; bloquear ou alertar em acessos a Pastebin, serviços de bin anônimos e plataformas de hospedagem de código não corporativas | | **Monitoramento de comportamento de processos** | Alertar quando processos não-browser (`powershell.exe`, `cmd.exe`, binários desconhecidos) iniciarem conexões com APIs de plataformas cloud populares | | **Política de DLP** | Configurar regras de DLP para detectar transferências de dados sensíveis (PII, dados financeiros) para destinos cloud não classificados como corporativos | ## Threat Actors Os grupos abaixo têm uso documentado de web services como infraestrutura operacional: - **[[g0010-turla|Turla]]** - Grupo russo de espionagem de longa data; pioneiro no uso criativo de serviços legítimos como C2, incluindo uso de comentários em redes sociais e APIs de plataformas populares para receber instruções. - **[[g0007-apt28|APT28]]** - GRU russo; utiliza GitHub e outros serviços de hospedagem para distribuir payloads e configurações de implantes em operações de espionagem contra alvos governamentais e militares. - **[[g0125-silk-typhoon|HAFNIUM]]** - APT chinês responsável pela exploração massiva do Exchange em 2021; utilizou serviços legítimos de compartilhamento de arquivos para staging e exfiltração de dados. - **[[g1006-earth-lusca|Earth Lusca]]** - Grupo de espionagem chinês com foco em governo, mídia e ONGs; usa múltiplos serviços cloud como canais de C2 e staging em campanhas na Ásia e além. - **[[g0129-mustang-panda|Mustang Panda]]** - APT chinês; frequentemente hospeda componentes de malware em serviços de armazenamento cloud legítimos para distribuição. - **[[g0128-zirconium|ZIRCONIUM]]** - APT41 / chinês; usa GitHub e outros serviços para hospedar stagers e configurações de C2 em operações combinadas de espionagem e crime financeiro. - **[[g0069-mango-sandstorm|MuddyWater]]** - Grupo iraniano; utiliza serviços de compartilhamento de documentos legítimos para distribuir payloads em campanhas contra governo e telecomúnicações. - **[[g1051-medusa-ransomware|Medusa Group]]** - Ransomware com histórico de vítimas brasileiras; usa serviços cloud para exfiltrar dados antes de criptografar - técnica de double extortion. - **[[g1052-contagious-interview|Contagious Interview]]** - Operação norte-coreana; utiliza repositórios GitHub e npm para hospedar pacotes maliciosos em ataques de supply chain contra desenvolvedores. - **[[g0025-apt17|APT17]]** - APT chinês; documentado usando fóruns e serviços web legítimos como dead drops para comunicação com implantes. ## Software Associado A técnica viabiliza o uso das seguintes técnicas e ferramentas na cadeia de ataque: - [[t1102-web-service|Web Service]] (T1102) - uso de serviços registrados como canal de C2, fazendo o implante se comúnicar via APIs de plataformas legítimas - [[t1567-exfiltration-over-web-service|Exfiltration Over Web Service]] (T1567) - exfiltração de dados roubados via uploads para serviços cloud registrados pelo adversário - [[t1566-phishing|Phishing]] (T1566) - hospedagem de páginas de phishing em serviços com certificados TLS confiáveis para evadir filtros de URL - [[t1586-002-email-accounts|Email Accounts]] (T1586.002) - frequentemente usada em conjunto para registrar os serviços web com identidades comprometidas --- *Fonte: [MITRE ATT&CK - T1583.006](https://attack.mitre.org/techniques/T1583/006)*