# T1584.003 - Virtual Private Server ## Descrição Adversários comprometem Servidores Privados Virtuais (VPS) de terceiros para utilizá-los como infraestrutura operacional. Em vez de adquirir servidores diretamente em seu próprio nome - o que criaria registros rastreáveis - os atacantes invadem instâncias de VPS já contratadas por outras organizações ou indivíduos, aproveitando a reputação e a legitimidade do provedor de nuvem subjacente. Isso torna a atribuição significativamente mais difícil, pois o tráfego malicioso aparece originado de endereços IP associados a provedores confiáveis como AWS, Azure, DigitalOcean ou Linode. O comprometimento de um VPS segue padrões conhecidos: exploração de painéis de controle expostos, uso de credenciais vazadas, abuso de APIs de gerenciamento com autenticação fraca ou escalada de privilégios em instâncias já comprometidas. Uma vez no controle do servidor, o adversário o configura como nó de [[t1071-application-layer-protocol|Comando e Controle (C2)]], proxy de tráfego, ponto de staging para payloads ou servidor de [[t1583-003-virtual-private-server|VPS próprio]] dentro de uma cadeia de redirecionamento. O VPS comprometido frequentemente é um elo em uma cadeia mais longa, tornando o rastreamento reverso ao operador real extremamente custoso. **Contexto Brasil/LATAM:** O Brasil concentra um volume expressivo de VPS comprometidos utilizados em campanhas regionais e globais. Provedores de hospedagem nacionais com políticas de abuso menos rigorosas são alvos recorrentes de grupos que buscam infraestrutura de baixo custo e difícil remoção. O grupo [[g1017-volt-typhoon|Volt Typhoon]], associado à China, é documentado pelo uso extensivo de infraestrutura comprometida de terceiros - incluindo roteadores e servidores em países como o Brasil - para construir redes proxy que obscurecem sua origem real. [[g0010-turla|Turla]], grupo russo de espionagem, emprega VPS comprometidos em cadeias de infraestrutura de múltiplos saltos para operações contra alvos governamentais e diplomáticos, incluindo representações na América Latina. --- *Fonte: [MITRE ATT&CK - T1584.003](https://attack.mitre.org/techniques/T1584/003)* ## Attack Flow ```mermaid graph TB A([Reconhecimento<br/>de VPS vulneráveis]) --> B([Comprometimento<br/>do VPS alvo]) B --> C{{"T1584.003<br/>Virtual<br/>Private Server"}}:::highlight C --> D([Configuração<br/>como nó C2<br/>ou proxy]) D --> E([Operações<br/>ofensivas via<br/>infraest. legítima]) classDef highlight fill:#e74c3c,color:#fff,stroke:#c0392b ``` ## Como Funciona 1. **Identificação e comprometimento:** O adversário realiza varreduras em busca de VPS com painéis administrativos expostos (cPanel, Plesk, Webmin), APIs de provedores de nuvem mal configuradas ou serviços com credenciais padrão ou fracas. Listas de credenciais vazadas em breaches anteriores são frequentemente testadas contra painéis SSH, RDP e de gerenciamento. Vulnerabilidades em softwares de virtualização ou painéis de controle também são exploradas. O objetivo é obter acesso root ou equivalente ao servidor sem alertar o legítimo proprietário. 2. **Configuração como infraestrutura operacional:** Com acesso ao VPS, o adversário instala ferramentas de C2 (listeners de frameworks como Cobalt Strike, Sliver ou Havoc), configura proxies reversos (SOCKS5, Chisel, reGeorg) ou estabelece servidores de distribuição de malware e phishing. O servidor legítimo continua operando normalmente para evitar detecção pelo proprietário. Logs são modificados ou suprimidos, e mecanismos de persistência são instalados discretamente (crontabs, serviços systemd ocultos). 3. **Operação e manutenção da cadeia:** O VPS comprometido entra na rotação da infraestrutura do adversário, recebendo comúnicações dos sistemas infectados e retransmitindo comandos. Frequentemente é combinado com [[t1584-002-dns-server|servidores DNS comprometidos]] para resolução dinâmica de C2, e com técnicas de [[t1090-proxy|proxy multicamada]] para dificultar o rastreamento. Quando o servidor é detectado ou removido pelo provedor, o adversário migra para um novo nó previamente comprometido, demonstrando resiliência operacional. ## Detecção A detecção é difícil porque o tráfego originado de VPS comprometidos aparece como comunicação legítima com provedores de nuvem conhecidos. O foco deve ser em anomalias de comportamento de rede e padrões de C2. **Event IDs relevantes (Windows - sistemas infectados comúnicando com VPS C2):** | Event ID | Fonte | Relevância | |----------|-------|------------| | 3 | Sysmon | Network connection - conexões saintes a IPs de provedores de nuvem incomuns | | 22 | Sysmon | DNS query - resolução de domínios gerados algoritmicamente ou com padrão DGA | | 5156 | Security | Windows Filtering Platform - conexões de rede permitidas suspeitas | | 4624 | Security | Logon bem-sucedido - acesso remoto ao VPS comprometido | | 4648 | Security | Logon com credenciais explícitas - lateral movement via VPS | | 1 | Sysmon | Process creation - execução de ferramentas de proxy/tunelamento | **Sigma Rule - detecção de comunicação C2 via infraestrutura de nuvem:** ```yaml title: Comúnicação C2 Suspeita via Provedor de Nuvem (T1584.003) id: b2d4f6a8-1c3e-5g7h-9i2j-4k6l8m0n2p4q status: experimental description: > Detecta conexões de rede incomuns a provedores de cloud que podem indicar comúnicação com VPS comprometido usado como infraestrutura C2 (T1584.003). Foca em processos não-browser estabelecendo conexões persistentes em portas não-padrão a ranges de ASN de provedores de VPS conhecidos. author: RunkIntel daté: 2026-03-24 tags: - attack.resource_development - attack.t1584.003 - attack.command_and_control - attack.t1071 logsource: category: network_connection product: windows detection: selection_suspicious_process: Image|endswith: - '\powershell.exe' - '\cmd.exe' - '\wscript.exe' - '\cscript.exe' - '\mshta.exe' - '\rundll32.exe' selection_non_standard_ports: DestinationPort: - 4444 - 8080 - 8443 - 8888 - 1234 - 31337 filter_legitimate: DestinationHostname|endswith: - '.microsoft.com' - '.windows.com' - '.windowsupdaté.com' condition: (selection_suspicious_process and selection_non_standard_ports) and not filter_legitimate falsepositives: - Ferramentas de desenvolvimento legítimas - Clientes VPN corporativos - Agentes de monitoramento em portas não-padrão level: medium ``` ## Mitigação | Controle | Descrição | Recomendação para Organizações Brasileiras | |----------|-----------|-------------------------------------------| | [[m1056-pre-compromise\|M1056 - Pre-compromise]] | Limitação de exposição pré-comprometimento | Monitorar e reportar ao provedor de hospedagem qualquer abuso identificado; participar de programas de threat sharing com CERT.br | | Filtragem de Egresso | Controle de tráfego sainte | Implementar firewall de egresso com listas de provedores de VPS permitidos; bloquear conexões em portas não-padrão para IPs de nuvem não catalogados | | Análise de Tráfego de Rede | Detecção de beaconing | Implementar NDR/NTA (Network Detection and Response) para identificar padrões de beaconing periódico característico de C2 - comum em operações de grupos como [[g0010-turla\|Turla]] | | Inteligência de Ameaças | IOCs de infraestrutura comprometida | Integrar feeds de IOCs que incluam IPs de VPS maliciosos identificados; Shadow Server e CISA públicam listas regularmente utilizadas por [[g1017-volt-typhoon\|Volt Typhoon]] | | Zero Trust de Rede | Microsegmentação | Aplicar princípio de menor privilégio para conexões de saída; workstations não devem conectar diretamente à internet sem proxy inspecionado | ## Threat Actors - [[g1017-volt-typhoon|Volt Typhoon]]: grupo de espionagem chinês amplamente documentado pelo uso de infraestrutura comprometida de terceiros - incluindo roteadores SOHO e VPS - para construir redes proxy que mascaram origem real das operações. Alvos incluem infraestrutura crítica e entidades governamentais em países do hemisfério ocidental, com presença documentada de infraestrutura em redes brasileiras. - [[g0010-turla|Turla]]: grupo russo de espionagem de longa data, conhecido por cadeias de infraestrutura extremamente sofisticadas com múltiplos saltos via VPS e servidores comprometidos. Opera contra alvos governamentais, diplomáticos e de defesa, com histórico de uso de infraestrutura em países neutros para dificultar atribuição e ação diplomática. ## Software Associado Ferramentas tipicamente implantadas em VPS comprometidos como infraestrutura de C2: - Frameworks de C2 comerciais e open source como Cobalt Strike, Sliver e Havoc frequentemente hospedados em VPS comprometidos para gerenciar implantes em redes-alvo - Ferramentas de proxy e tunelamento como Chisel, reGeorg, e SOCKS5 proxies para criar cadeias de redirecionamento de tráfego - Técnica relacionada: [[t1090-proxy|T1090 - Proxy]] para uso do VPS comprometido como nó intermediário em infraestrutura multicamada - Técnica relacionada: [[t1584-002-dns-server|T1584.002 - DNS Server]] frequentemente combinada para resolução dinâmica de C2 hospedado em VPS comprometido > **Técnica pai:** [[t1584-*|T1584 - Compromise Infrastructure]]