# T1583.007 - Serverless ## Descrição Adversários adquirem e configuram infraestrutura serverless em provedores de nuvem pública - como Cloudflare Workers, AWS Lambda, Google Cloud Functions ou Google Apps Script - para servir como componente de suas operações ofensivas. A principal vantagem dessa abordagem é a **dificuldade de atribuição**: o tráfego gerado por funções serverless aparece originado de subdomínios legítimos de grandes provedores de nuvem (`.cloudflare.com`, `.amazonaws.com`, `.googleapis.com`), tornando quase impossível distingui-lo de tráfego empresarial convencional. Uma vez provisionada, a função serverless pode operar de duas formas: responder diretamente às máquinas infectadas, atuando como endpoint de [[t1071-application-layer-protocol|Application Layer Protocol]] para comunicação C2; ou funcionar como [[t1090-proxy|Proxy]] reverso, repassando requisições para a infraestrutura real do atacante enquanto oculta o endereço IP verdadeiro. Essa técnica é uma aplicação direta de [[t1665-hide-infrastructure|Hide Infrastructure]], onde a nuvem do adversário se esconde sob a reputação de grandes plataformas cloud globais. **Contexto Brasil e LATAM:** A adoção acelerada de cloud computing por empresas brasileiras nos últimos anos criou um paradoxo defensivo: os mesmos provedores que hospedam sistemas críticos de negócio também hospedam infraestrutura maliciosa. Organizações no Brasil que bloqueiam indiscriminadamente subdomínios da AWS ou Cloudflare causam interrupções operacionais; ao mesmo tempo, permiti-los sem inspeção abre caminho para C2 serverless não detectado. Campanhas de [[t1566-phishing|Phishing]] direcionadas ao setor financeiro brasileiro têm utilizado páginas hospedadas em Workers da Cloudflare para clonar portais bancários com certificado TLS válido, passando por filtros de proxy corporativo. > **Técnica pai:** [[t1583-acquire-infrastructure|T1583 - Acquire Infrastructure]] > **Tática:** Resource Development ## Attack Flow ```mermaid graph TB A[Adversário] --> B[Cria conta cloud<br/>com cartão pré-pago] B --> C{"T1583.007<br/>Serverless"}:::highlight C --> D[Função responde<br/>a implantes infectados] C --> E[Proxy reverso para<br/>servidor C2 real] E --> F[Hide Infrastructure<br/>T1665] D --> G[C2 via Application<br/>Layer Protocol T1071] classDef highlight fill:#e74c3c,color:#fff,stroke:#c0392b ``` ## Como Funciona **Passo 1 - Provisionamento anônimo** O adversário cria uma conta em um provedor cloud usando e-mail descartável e cartão pré-pago ou criptomoeda. Provedores como Cloudflare oferecem planos gratuitos para Workers, eliminando até mesmo a necessidade de pagamento rastreável. A conta é criada sob identidade falsa ou comprada em mercados clandestinos. **Passo 2 - Deploy da função serverless como relay C2** Uma função serverless simples é implantada - frequentemente com menos de 20 linhas de código - configurada para receber requisições HTTP/HTTPS dos implantes e encaminhá-las para o servidor C2 real, ou para responder diretamente com instruções codificadas. O endpoint fica em um subdomínio do provedor (`*.workers.dev`, `*.lambda-url.region.amazonaws.com`), passando como tráfego legítimo nos proxies corporativos. **Passo 3 - Operação sob cobertura cloud legítima** O malware implantado nas vítimas se comúnica exclusivamente com o endpoint serverless. Do ponto de vista do defensor, o tráfego é HTTPS para um CDN ou provedor cloud amplamente utilizado, com certificado TLS válido e reputação de domínio impecável. O servidor C2 real nunca aparece nos logs de rede da vítima. ## Detecção ### Event IDs Relevantes | Fonte | Event ID | Descrição | |-------|----------|-----------| | Proxy/Firewall | - | Requisições POST frequentes para subdomínios cloud sem contexto de aplicação conhecida (`*.workers.dev`, `*.lambda-url.*`) | | DNS | - | Resolução repetida de subdomínios de provedores cloud não utilizados pela organização | | TLS Inspection | - | Inspecionar SNI em conexões HTTPS para subdomínios cloud; identificar padrões incomuns de volume/frequência | | EDR | - | Processos não-browser iniciando conexões HTTPS para CDN/cloud providers | | SIEM | - | Correlação: processo suspeito + destino em subdomínio cloud + frequência regular = possível beaconing | ### Regra Sigma - C2 via Função Serverless ```yaml title: Possível C2 via Infraestrutura Serverless id: f7c2a841-3d5e-4b9f-a102-e8f3c6d71b44 status: experimental description: > Detecta processos não-browser realizando conexões HTTPS regulares para subdomínios de provedores serverless conhecidos, indicando possível uso como relay C2 (T1583.007). logsource: category: network_connection product: windows detection: selection: Initiated: "true" DestinationPort: 443 DestinationHostname|endswith: - ".workers.dev" - ".lambda-url.us-east-1.amazonaws.com" - ".lambda-url.sa-east-1.amazonaws.com" - ".cloudfunctions.net" - ".run.app" filter_browsers: Image|endswith: - "\\chrome.exe" - "\\firefox.exe" - "\\msedge.exe" - "\\iexplore.exe" condition: selection and not filter_browsers falsepositives: - Aplicações legítimas que usam Cloudflare Workers ou Lambda como backend - Ferramentas de desenvolvimento com acesso a funções cloud level: medium tags: - attack.resource_development - attack.t1583.007 - attack.command_and_control - attack.t1090 ``` ## Mitigação | ID | Mitigação | Aplicação para Organizações Brasileiras | |----|-----------|----------------------------------------| | [[m1056-pre-compromise\|M1056 - Pre-compromise]] | Ação preventiva pré-comprometimento | Mapear quais funções serverless e provedores cloud são utilizados legitimamente pela organização; criar allowlist de subdomínios esperados e alertar para qualquer comunicação fora da lista | | TLS Inspection | Inspeção de tráfego | Implementar inspeção SSL/TLS no proxy corporativo para visualizar o conteúdo de conexões HTTPS para provedores cloud; habilitar especialmente para subdomínios não catalogados na allowlist | | DNS Filtering | Controle de saída | Bloquear subdomínios de funções serverless não utilizados pela organização (`.workers.dev`, `.lambda-url.*`) quando não há uso legítimo; exige mapeamento prévio do uso interno | | EDR + Behavioral Analysis | Detecção | Configurar regras EDR para alertar quando processos fora da lista de aplicativos aprovados iniciam conexões HTTPS para CDN/cloud providers em padrão de beaconing | | Inventário de uso cloud | Governança | Manter inventário atualizado de todos os serviços cloud utilizados legalmente pela organização; facilita identificação de conexões anômalas para provedores não aprovados | ## Threat Actors e Software A técnica de serverless como infraestrutura C2 é adotada por atores avançados que precisam de anonimato e resistência a takedown: - **Grupos de ransomware-as-a-service (RaaS)** - Operadores de afiliados utilizam funções serverless como primeiro estágio de relay C2 para isolar a infraestrutura central de seus painéis. Grupos ativos no Brasil como [[lockbit-operators|LockBit]] e [[black-basta|Black Basta]] foram observados com TTPs similares em suas cadeias de C2. - **Atores de espionagem com foco em cloud** - APTs que visam ambientes cloud corporativos frequentemente utilizam [[t1078-valid-accounts|Valid Accounts]] em provedores cloud para provisionar recursos serverless diretamente no ambiente da vítima, tornando ainda mais difícil a detecção. - **Operadores de [[t1566-phishing|Phishing]] bancário** - No contexto brasileiro, campanhas de phishing contra clientes de bancos usam Workers da Cloudflare para hospedar páginas de captura de credenciais, aproveitando o TLS automático e a boa reputação do domínio `cloudflare.com` para escapar de filtros de segurança. **Técnicas correlacionadas:** - [[t1090-proxy|T1090 - Proxy]] - a função serverless frequentemente age como proxy reverso para o C2 real - [[t1665-hide-infrastructure|T1665 - Hide Infrastructure]] - objetivo final do uso de serverless como relay - [[t1071-application-layer-protocol|T1071 - Application Layer Protocol]] - protocolo de comunicação usado sobre o relay serverless - [[t1583-acquire-infrastructure|T1583 - Acquire Infrastructure]] - técnica pai; serverless é uma das formas de aquisição --- *Fonte: [MITRE ATT&CK - T1583.007](https://attack.mitre.org/techniques/T1583/007)*