t1584-005-botnet - RunkIntel

# T1584.005 - Botnet ## Descrição Adversários comprometem dezenas, centenas ou até milhares de sistemas de terceiros para formar uma **botnet** - uma rede de máquinas infectadas que pode ser coordenada remotamente para executar ações em larga escala. Em vez de alugar uma botnet de serviços comerciais (*booters* ou *stressers*), grupos avançados preferem construir a própria infraestrutura comprometendo roteadores domésticos, câmeras IP, servidores mal configurados e dispositivos IoT. O controle pode ser feito via C2 centralizado ou por arquiteturas peer-to-peer (P2P), tornando a derrubada da botnet significativamente mais difícil. Em alguns casos, adversários realizam o **takeover de botnets existentes**, redirecionando bots para servidores C2 próprios. **Contexto Brasil/LATAM:** O Brasil é historicamente um dos países com maior volume de dispositivos infectados em botnets globais. Roteadores residenciais de marcas populares no mercado brasileiro (Intelbras, TP-Link, Multilaser) frequentemente são alvos de campanhas de comprometimento em massa devido à falta de atualização de firmware. Botnets como Mirai e suas variantes têm infraestrutura significativa no Brasil, utilizada tanto para [[t1498-network-dos|ataques DDoS]] contra bancos e fintechs quanto como plataforma de [[t1566-phishing|Phishing]] e envio de spam malicioso. O grupo [[g1017-volt-typhoon|Volt Typhoon]], ligado à China, utilizou botnets de roteadores SOHO comprometidos - um padrão operacional relevante para provedores de internet e infraestrutura crítica brasileira. > **Técnica pai:** [[t1584-compromise-infrastructure|T1584 - Compromise Infrastructure]] --- ## Attack Flow ```mermaid graph TB A([Reconhecimento]) --> B([Comprometimento em Massa]) B --> C([Instalação de Implante C2]) C --> D{{"T1584.005<br/>Botnet"}} style D fill:#e74c3c,color:#fff D --> E([DDoS - T1498]) D --> F([Phishing em Escala - T1566]) D --> G([Proxy Anônimo - T1090]) D --> H([Entrega de Payload - T1588.001]) ``` --- ## Como Funciona **1. Comprometimento e Recrutamento de Bots** O adversário explora vulnerabilidades em dispositivos acessíveis pela internet - roteadores SOHO, câmeras IP, servidores sem patch - utilizando credenciais padrão, força bruta ou exploits públicos. Após o acesso inicial, um agente de botnet é instalado (via [[t1059-command-scripting-interpreter|scripts de shell]], [[t1105-ingress-tool-transfer|transferência de ferramentas]] ou [[t1195-supply-chain-compromise|comprometimento de cadeia de suprimento]]). O dispositivo passa a responder ao C2 do adversário. **2. Manutenção e Ocultação da Infraestrutura** A botnet é gerenciada via C2 hierárquico ou P2P para dificultar a atribuição. Adversários como [[g1017-volt-typhoon|Volt Typhoon]] usam roteadores comprometidos como **proxies de múltiplos saltos**, roteando tráfego malicioso através de IPs legítimos de provedores de internet. Isso ofusca a origem real dos ataques e complica a detecção por sistemas de reputação de IP. **3. Ativação para Operações Específicas** Com a botnet operacional, o adversário pode disparar campanhas coordenadas: [[t1498-network-dos|ataques DDoS volumétricos]] contra alvos estratégicos, envio de e-mails de [[t1566-phishing|Phishing]] em massa a partir de IPs residenciais legítimos (evitando filtros antispam), ou usar os bots como infraestrutura de relay para operações de intrusão - tornando a rastreabilidade extremamente difícil. --- ## Detecção > **Nota:** T1584.005 é uma técnica de pré-comprometimento (fase PRE). A detecção direta é limitada - o foco é identificar os **efeitos downstream** da botnet na sua rede. ### Event IDs Relevantes (Windows) | Event ID | Log | Indicador | |----------|-----|-----------| | 4625 | Security | Tentativas de autenticação em massa (força bruta) | | 5156 | Security | Conexões de rede de saída para IPs de C2 conhecidos | | 7045 | System | Serviço desconhecido instalado (agente de botnet) | | 4688 | Security | Processo filho anômalo de serviços de rede | ### Regra Sigma - Detecção de Tráfego de Botnet ```yaml title: Outbound C2 Beacon to Known Botnet Infrastructure id: b3f2e1d4-9a87-4c56-bc12-3d7e9f0a1b23 status: experimental description: > Detecta conexões de saída periódicas (beacon) para IPs/domínios associados a infraestrutura de botnet conhecida, especialmente roteadores SOHO comprometidos usados como proxies. logsource: category: network_connection product: windows detection: selection: Initiated: 'true' DestinationPort: - 80 - 443 - 8080 - 8443 - 7547 # TR-069 - explorado em roteadores SOHO - 52869 # UPnP - explorado por Mirai e variantes timeframe: 5m condition: selection | count() by SourceIp > 20 falsepositives: - Atualizações legítimas de firmware - Scanners de segurança internos level: medium tags: - attack.resource_development - attack.t1584.005 ``` --- ## Mitigação | Controle | Ação Recomendada | Relevância para Organizações Brasileiras | |----------|-----------------|------------------------------------------| | [[m1056-pre-compromise\|M1056 - Pre-compromise]] | Monitorar feeds de threat intel (CERT.br, Shadowserver) para IPs da organização listados em botnets | Alta - CERT.br mantém listas de notificação de dispositivos comprometidos no Brasil | | Hardening de Roteadores | Alterar credenciais padrão, desabilitar TR-069/UPnP externo, atualizar firmware regularmente | Crítico para provedores de internet e empresas com filiais remotas | | Segmentação de Rede | Isolar dispositivos IoT e roteadores em VLANs separadas sem acesso a sistemas críticos | Alta para manufatura, varejo e empresas com múltiplas filiais | | Monitoramento de Tráfego Anômalo | Detectar padrões de beacon (conexões periódicas a IPs externos incomuns) via SIEM | Alta - implementar regras baseadas no volume e periodicidade de conexões | | Feeds de Reputação de IP | Integrar listas de IPs de botnets (Spamhaus, Feodo Tracker, abuse.ch) em firewalls e proxies | Alta para bancos e fintechs frequentemente alvo de DDoS via botnets | --- ## Threat Actors + Software ### Grupos que Utilizam Esta Técnica | Ator | Tipo | Contexto de Uso | Relevância LATAM | |------|------|-----------------|------------------| | [[g1017-volt-typhoon\|Volt Typhoon]] | APT (China) | Botnet de roteadores SOHO comprometidos como proxy multi-hop para operações de espionagem contra infraestrutura crítica | Alta - operadoras de telecom e energia no Brasil são alvos potenciais | | [[g0034-sandworm\|Sandworm Team]] | APT (Rússia) | Botnet VPNFilter em roteadores para espionagem e sabotagem; utilizado em ataques à infraestrutura de energia | Média - impacto direto menor, mas proxy para operações globais | | [[g0125-silk-typhoon\|HAFNIUM]] | APT (China) | Uso de servidores comprometidos como relay para operações de exploração do Exchange | Baixa direta, alta indiretal - Exchange amplamente usado no Brasil | | [[g0001-axiom\|Axiom]] | APT (China) | Botnets de longa duração para espionagem corporativa e governamental | Média - governos e empresas de tecnologia brasileiras | ### Malware e Ferramentas Associadas - **Mirai e variantes** (IoT botnet) - amplamente distribuído no Brasil via dispositivos Intelbras/TP-Link - **VPNFilter** - usado pelo [[g0034-sandworm|Sandworm Team]] em roteadores SOHO - **SOHO-based proxy implants** - infraestrutura do [[g1017-volt-typhoon|Volt Typhoon]] - Conexão com [[t1588-001-malware|T1588.001 - Obtenção de Malware]] quando o adversário adquire o agente de botnet de terceiros - Conexão com [[t1090-proxy|T1090 - Proxy]] para uso dos bots como relay de tráfego malicioso --- *Fonte: [MITRE ATT&CK - T1584.005](https://attack.mitre.org/techniques/T1584/005)*