# T1584.004 - Server ## Descrição Adversários comprometem servidores de terceiros para utilizá-los como infraestrutura de suporte às suas operações - em vez de adquirir servidores próprios via [[t1583-004-server|T1583.004 - Server]] ou [[t1583-003-virtual-private-server|Virtual Private Server]]. Ao usar servidores legítimos comprometidos, os atacantes se beneficiam da reputação estabelecida desses sistemas: o tráfego originado de um servidor pertencente a uma empresa legítima é muito menos provável de ser bloqueado por firewalls, proxies e soluções de threat intelligence baseadas em reputação de IP. No contexto brasileiro e latino-americano, essa técnica tem impacto significativo e bidimensional: organizações na região são **tanto alvos quanto vetores involuntários**. Servidores de empresas brasileiras - especialmente de pequenas e médias empresas com baixa maturidade de segurança - são rotineiramente comprometidos por grupos como [[g0032-lazarus-group|Lazarus Group]] e [[g1017-volt-typhoon|Volt Typhoon]] para servir como nós de retransmissão e proxies C2. O [[sources|CERT.br]] registra consistentemente o Brasil entre os países com maior número de sistemas comprometidos utilizados em campanhas globais de ataque. > **Técnica pai:** [[t1584-compromise-infrastructure|T1584 - Compromise Infrastructure]] Servidores comprometidos são utilizados para múltiplos propósitos operacionais: como servidores de Comando e Controle para implantes, como plataformas de staging para entrega de payloads, para operações de **watering hole** via [[t1189-drive-by-compromise|Drive-by Compromise]] e como servidores de e-mail para campanhas de [[t1566-phishing|Phishing]]. Grupos como [[g0010-turla|Turla]] são conhecidos por operar redes de servidores comprometidos em camadas (multi-hop), tornando o rastreamento da infraestrutura real extremamente difícil - uma técnica conhecida como "infrastructure laundering". --- ## Attack Flow ```mermaid graph TB A([Reconhecimento]) --> B([Resource Development]) B --> C{T1584.004\nComprometer Servidor}:::highlight C --> D([C2 via servidor<br/>legítimo comprometido]) C --> E([Watering Hole<br/>T1189]) C --> F([Phishing via<br/>servidor de e-mail<br/>T1566]) D --> G([Implante conecta<br/>ao servidor C2]) E --> H([Vítima acessa<br/>site comprometido]) F --> I([Vítima recebe<br/>e-mail legítimo comprometido]) G --> J([Operação em andamento]) H --> J I --> J classDef highlight fill:#e74c3c,color:#fff,stroke:#c0392b ``` --- ## Como Funciona **Passo 1 - Identificação e Comprometimento do Servidor** O adversário identifica servidores vulneráveis que combinam dois atributos: (a) **reputação confiável** (IP com histórico limpo, sem blacklists, associado a empresa legítima) e (b) **vulnerabilidades exploráveis** (CMS desatualizado como WordPress/Joomla, painéis de administração expostos, serviços com CVEs conhecidos). No Brasil, servidores de universidades (`.edu.br`), prefeituras (`.gov.br`) e pequenas empresas são alvos preferidos dada a baixa maturidade de patching. O comprometimento é realizado via exploits como [[t1190-exploit-public-facing-application|Exploit Public-Facing Application]] ou credenciais obtidas via [[t1589-gather-victim-identity-information|Gather Victim Identity Information]]. **Passo 2 - Instalação da Infraestrutura Maliciosa** Após o comprometimento, o adversário instala silenciosamente a infraestrutura necessária: webshells (ex: China Chopper, AntSword) para acesso persistente, scripts de proxy reverso para retransmitir tráfego C2, ou configura o servidor de e-mail comprometido para disparar phishing com domínio legítimo. [[g1017-volt-typhoon|Volt Typhoon]] é notório por utilizar dispositivos de rede SOHO (roteadores, NAS) comprometidos para criar redes de proxy chamadas de **LOTL (Living off the Land)** - sem instalar malware adicional, usando apenas ferramentas nativas do sistema. **Passo 3 - Operação com Baixo Perfil** O servidor comprometido age como intermediário: implantes nas redes das vítimas comúnicam-se com o servidor C2 comprometido usando protocolos padrão (HTTPS, DNS, SMTP), e o servidor retransmite os comandos para a infraestrutura real do adversário. Esse multi-hop torna a atribuição extremamente difícil - investigações que tentam rastrear o ataque chegam ao servidor comprometido, que pertence a uma vítima inocente, não ao atacante real. [[g0010-turla|Turla]] opera múltiplas camadas desse tipo, chegando a 4-5 saltos de infraestrutura comprometida antes do servidor de controle real. --- ## Detecção ### Event IDs Relevantes (Windows / Linux) | Event ID / Log | Sistema | Evento | |----------------|---------|--------| | 4624 / 4625 | Windows Security | Logon bem-sucedido / falho em servidor exposto | | 4698 | Windows Security | Tarefa agendada criada (persistência pós-comprometimento) | | Syslog auth.log | Linux | Tentativas de SSH de IPs externos incomuns | | Apache/Nginx access.log | Linux | Requisições POST para arquivos PHP/ASPX incomuns (webshell) | | 3 | Sysmon | Conexões de rede de saída iniciadas por processos web | ### Indicadores de Comprometimento de Servidor - Arquivos `.php`, `.asp`, `.aspx` criados em diretórios de conteúdo estático - Processos filhos de `httpd`, `nginx`, `apache2` com execução de `bash`, `sh`, `cmd` - Tráfego de saída para IPs incomuns originado de servidores web de produção - Grandes volumes de e-mails enviados de servidores que normalmente têm baixo volume - Modificação de arquivos de configuração de servidor (`.htaccess`, `nginx.conf`) por usuários não-administrativos ### Sigma Rule ```yaml title: Webshell - Arquivo PHP/ASPX Criado em Diretório Web id: c5e8f1a3-2b7d-4c9e-8f3a-5d7b9e1c3f5a status: stable description: > Detecta criação de arquivos web executáveis em diretórios de conteúdo, indicativo de implantação de webshell após comprometimento de servidor (T1584.004) author: RunkIntel daté: 2026-03-24 logsource: product: linux category: file_event detection: selection: EventType: FileCreaté TargetFilename|contains: - '/var/www/' - '/srv/www/' - '/htdocs/' - '/public_html/' - '/wwwroot/' TargetFilename|endswith: - '.php' - '.php5' - '.phtml' - '.asp' - '.aspx' - '.jsp' filter_legitimate: User: - 'deploy' - 'www-data' - 'apache' ParentImage|endswith: - '/rsync' - '/scp' - '/git' condition: selection and not filter_legitimate fields: - TargetFilename - User - ParentImage - ParentCommandLine falsepositives: - Deploys legítimos de aplicações web - Uploads via painel CMS (WordPress, Joomla) level: high tags: - attack.resource_development - attack.t1584.004 - attack.persistence ``` --- ## Mitigação | ID | Mitigação | Aplicação para Organizações Brasileiras | |----|-----------|----------------------------------------| | [[m1056-pre-compromise\|M1056 - Pre-compromise]] | Dificultar comprometimento inicial | Manter inventário de ativos expostos; usar ferramentas como Shodan/Censys para identificar serviços expostos inadvertidamente; desativar painéis admin acessíveis externamente | | Hardening de Servidores | Reduzir superfície de ataque | Seguir benchmarks CIS para Linux/Windows Server; desabilitar serviços desnecessários; remover versões de server nos headers HTTP para dificultar fingerprinting | | WAF e Monitoramento de Integridade | Detectar webshells e modificações não autorizadas | Implementar WAF (AWS WAF, Cloudflare, ModSecurity) com regras para webshells; usar ferramentas de File Integrity Monitoring (FIM) como OSSEC/Wazuh em servidores web | | Monitoramento de Saída | Detectar uso do servidor como proxy C2 | Regras de egress filtering restritivas; alertar em conexões de saída de processos web para IPs externos não categorizados; integrar feeds de threat intel para bloquear IPs C2 conhecidos | | Resposta a Incidentes | Processo para notificação quando comprometido como vetor | Registrar-se no CERT.br para receber notificações de abuse; ter processo de resposta quando o próprio servidor é reportado como fonte de ataque por terceiros | --- ## Threat Actors e Softwares ### Grupos que Utilizam Esta Técnica **[[g0032-lazarus-group|Lazarus Group]] (Coreia do Norte/RGB)** Um dos grupos mais prolíficos no uso de servidores comprometidos como infraestrutura. Utiliza redes de servidores legítimos comprometidos em múltiplos países para operações de roubo financeiro (bancos LATAM via SWIFT) e espionagem. O grupo comprometeu servidores de instituições financeiras brasileiras como infraestrutura de passagem em campanhas documentadas contra o sistema SWIFT na América Latina. **[[g1017-volt-typhoon|Volt Typhoon]] (China/PLA)** Especializado em LOTL (Living off the Land) usando dispositivos SOHO comprometidos - roteadores domésticos e empresariais, câmeras IP e NAS - como proxy multi-hop. Infraestrutura documentada inclui dispositivos de fabricantes como ASUS, Cisco e Netgear. Relevante para infraestrutura crítica brasileira (energia, telecomúnicações, portos) dado o interesse estratégico chinês na região. **[[g0010-turla|Turla]] (Rússia/FSB)** Opera redes de servidores comprometidos em camadas, chegando a 4-5 saltos. Histórico de comprometer servidores de satelite para criar infraestrutura C2 virtualmente impossível de rastrear. Campanhas documentadas incluem comprometimento de servidores em países neutros para operações contra alvos na Europa e Américas. **[[g0034-sandworm|Sandworm Team]] (Rússia/GRU)** Utiliza servidores comprometidos para staging de malware destrutivo (wipers). Infraestrutura em múltiplos países europeus foi documentada em campanhas contra infraestrutura crítica ucraniana. Capacidade de comprometer servidores em países LATAM como plataforma de staging para operações globais. **[[g0119-indrik-spider|Indrik Spider]] / Evil Corp (Rússia)** Grupo de ransomware que compromete servidores de empresas de médio porte para usar como pivôs em movimentação lateral dentro de redes corporativas. Ativo contra empresas brasileiras nos setores de manufatura, varejo e saúde. Usa servidores comprometidos para distribuição do ransomware [[lockbit|LockBit]] e variantes próprias como WastedLocker. **[[g1006-earth-lusca|Earth Lusca]] (China)** Grupo de espionagem com foco em organizações de pesquisa, governo e mídia. Utiliza servidores web comprometidos para hospedar frameworks de C2 como [[s0154-cobalt-strike|Cobalt Strike]] e ferramentas customizadas. Documentado comprometendo servidores em países da América Latina para operações na região. --- *Fonte: [MITRE ATT&CK - T1584.004](https://attack.mitre.org/techniques/T1584/004)*