t1584-001-domains - RunkIntel

# T1584.001 - Domains ## Descrição **T1584.001 - Compromised Infrastructure: Domains** é uma sub-técnica da fase de [[resource-development|Resource Development]] do framework [[mitre-attack|MITRE ATT&CK]]. Nela, adversários **sequestram domínios legítimos** - ou subdomínios de organizações existentes - para conduzir operações ofensivas aproveitando a reputação e o histórico de confiança desses endereços. O sequestro pode ocorrer de diversas formas: comprometer a conta de e-mail do titular para solicitar redefinição de senha no registrador, engenharia social com o suporte técnico do registrador, exploração de brechas no processo de renovação ou comprometer um serviço de nuvem que gerencia DNS (como AWS Route53, Azure DNS ou Cloudflare). Em alguns casos, o adversário assume controle de **subdomínios abandonados** que apontam para recursos desativados - prática conhecida como *subdomain takeover*. Uma variante mais sofisticada é o **domain shadowing**: o adversário cria subdomínios maliciosos sob um domínio legítimo comprometido sem alterar os registros DNS existentes. Como o serviço legítimo continua funcionando normalmente, os subdomínios maliciosos podem operar por longos períodos sem detecção. > **Contexto Brasil/LATAM:** Grupos como [[g0094-kimsuky|Kimsuky]] e [[g0006-apt1|APT1]] utilizam essa técnica para contornar filtros de reputação de domínio amplamente usados por organizações brasileiras (Cisco Umbrella, Zscaler, Forcepoint). Domínios comprometidos de empresas brasileiras de médio porte - com histórico limpo e certificado SSL válido - são alvos preferênciais para hospedar [[t1566-phishing|phishing]] direcionado ao setor financeiro e governamental. O [[sources|CERT.br]] registra casos recorrentes de domain shadowing em provedores de hospedagem nacionais com painéis cPanel comprometidos. **Técnica pai:** [[t1584-compromised-infrastructure|T1584 - Compromised Infrastructure]] --- ## Attack Flow ```mermaid graph TB A([Adversário]) --> B[Reconhecimento de domínios-alvo] B --> C[Comprometer conta do registrador ou DNS] C --> D{Tipo de\nSequestro} D -->|Domain Hijack| E[Tomar controle total do domínio] D -->|Subdomain Takeover| F[Assumir subdomínio abandonado] D -->|Domain Shadowing| G[Criar subdomínios maliciosos ocultos] E --> H(["T1584.001 💀 Domínio Comprometido"]):::highlight F --> H G --> H H --> I[C2 / Phishing / Entrega de Malware] I --> J([Vítima comprometida]) classDef highlight fill:#e74c3c,color:#fff,stroke:#c0392b,font-weight:bold ``` --- ## Como Funciona **Passo 1 - Identificação e Comprometimento** O adversário identifica domínios com boa reputação (Alexa rank, histórico limpo, TLS válido) e compromete o acesso ao painel do registrador via phishing de credenciais, força bruta ou compra em marketplaces de acesso inicial. Registradores populares no Brasil (Registro.br, Hostgator, Locaweb) são alvos frequentes por terem suporte via chat suscetível a engenharia social. **Passo 2 - Configuração da Infraestrutura Maliciosa** Com acesso ao DNS, o adversário adiciona registros A/CNAME para subdomínios novos (domain shadowing) ou redireciona o domínio inteiro para infraestrutura controlada. Certificados TLS são provisionados via Let's Encrypt de forma automatizada, garantindo que o navegador da vítima exiba o cadeado verde sem alertas. **Passo 3 - Operação e Evasão** O domínio comprometido é usado como ponto de [[command-and-control|Command & Control]], página de phishing ou servidor de entrega de [[t1587-001-malware|malware]] (ex: [[s1138-gootloader|Gootloader]]). Como o domínio tem histórico legítimo, ferramentas de reputação baseadas em idade de domínio e categorização web não o bloqueiam. O adversário monitora logs de acesso para remover evidências e rotacionar subdomínios caso algum sejá detectado. --- ## Detecção ### Event IDs Relevantes (Windows / Sysmon) | Fonte | Event ID | Descrição | |-------|----------|-----------| | Sysmon | 22 | DNS Query - monitorar resoluções para domínios recém-criados ou suspeitos | | Windows DNS | 141 | DNS Server - falha de resolução para subdomínio existente (possível takeover) | | Sysmon | 3 | Network Connection - conexões de processos legítimos para domínios incomuns | | Firewall/Proxy | - | Requisições para domínios com registros DNS recém-modificados (< 24h) | | WHOIS/RDAP | - | Mudanças de titularidade, nameservers ou registrante em domínios monitorados | ### Regra Sigma - Domain Shadowing Detection ```yaml title: Possible Domain Shadowing via Newly Created Subdomain id: a3f7d821-4b2e-4c9d-b0f1-e2a5c8d3f9b6 status: experimental description: > Detecta resolução DNS para subdomínios de domínios conhecidos que foram criados recentemente, indicando possível domain shadowing. Útil para organizações que monitoram domínios corporativos via WHOIS/RDAP alerting. author: RunkIntel daté: 2026-03-24 tags: - attack.resource_development - attack.t1584.001 logsource: category: dns product: any detection: selection: dns.question.type: 'A' filter_known: dns.question.name|contains: - '.example.com.br' # substituir pelo domínio monitorado filter_age: # Subdomínio criado há menos de 7 dias (requer enriquecimento com WHOIS) dns.subdomain_age_days|lt: 7 condition: selection and filter_known and filter_age falsepositives: - Infraestrutura legítima de cloud (CDN, balanceadores) criada recentemente - Ambientes de staging e desenvolvimento level: medium fields: - dns.question.name - dns.resolved_ip - source.ip ``` --- ## Mitigação | Controle | Descrição | Aplicação para Organizações Brasileiras | |----------|-----------|----------------------------------------| | [[m1056-pre-compromise\|M1056 - Pre-compromise]] | Monitorar ativamente registros WHOIS e alterações DNS de domínios corporativos | Usar serviços como DomainTools, SecurityTrails ou alertas do Registro.br para notificação de mudanças | | MFA no Registrador | Habilitar autenticação multifator em todas as contas de registrador de domínio | Obrigatório para Registro.br, Hostgator, GoDaddy e outros provedores usados por empresas LATAM | | DNS Security Extensions (DNSSEC) | Assinar zonas DNS para prevenir adulteração de registros | Registro.br suporta DNSSEC - habilitá-lo em domínios críticos (bancos, governo, saúde) | | Subdomain Inventory | Manter inventário atualizado de todos os subdomínios ativos da organização | Ferramentas como Subfinder, Amass ou plataformas SaaS (Censys, Shodan) para varredura periódica | | Bloqueio de Subdomínios Abandonados | Remover ou apontar registros DNS de recursos desativados para endereços controlados | Crítico para empresas que migraram para cloud e deixaram registros CNAME antigos apontando para provedores externos | | Threat Intelligence Feed | Assinar feeds de domínios comprometidos (MISP, abuse.ch, CISA) | Integrar com NGFW/proxy para bloqueio automatizado; [[sources\|CERT.br]] disponibiliza listas de domínios maliciosos | --- ## Threat Actors que Usam | Grupo | Origem | Uso Documentado | |-------|--------|-----------------| | [[g0059-magic-hound\|Magic Hound]] | Irã | Campanha de phishing com domínios de universidades e ONGs comprometidos, direcionados ao governo brasileiro e pesquisadores | | [[g1008-sidecopy\|SideCopy]] | Paquistão | Infraestrutura baseada em domínios comprometidos de empresas de hospedagem para entregar RATs a alvos governamentais | | [[g0134-transparent-tribe\|Transparent Tribe]] | Paquistão | Domain shadowing em domínios governamentais para distribuir [[s0115-crimson-rat\|CrimsonRAT]] em operações de espionagem | | [[g1020-mustard-tempest\|Mustard Tempest]] | Crime organizado | Sequestro de domínios legítimos de PMEs para distribuição do [[s1138-gootloader\|Gootloader]] via SEO poisoning | | [[g0094-kimsuky\|Kimsuky]] | Coreia do Norte | Registros subdomínios em domínios comprometidos para hospedar infraestrutura de C2 e páginas de phishing de spear-phishing | | [[g0006-apt1\|APT1]] | China | Uso de domínios comprometidos como redirectores para ocultar infraestrutura real de C2 | --- ## Software Associado - [[s1138-gootloader|Gootloader]] - loader distribuído via domínios comprometidos com SEO poisoning; altamente ativo no Brasil contra escritórios de advocacia e contabilidade --- *Fonte: [MITRE ATT&CK - T1584.001](https://attack.mitre.org/techniques/T1584/001)*