# T1584.006 - Web Services ## Técnica Pai Esta é uma sub-técnica de [[t1584-compromise-infrastructure|T1584 - T1584 - Compromise Infrastructure]]. ## Descrição Adversários comprometem o acesso a serviços web legítimos de terceiros para utilizá-los como infraestrutura de suporte a operações ofensivas. Plataformas populares - como GitHub, Google Drive, Dropbox, Pastebin, OneDrive, Notion, serviços de e-mail e redes sociais - são sequestradas por meio de comprometimento de credenciais de usuários legítimos, abuso de contas gratuitas ou exploração de APIs permissivas. O objetivo é explorar a confiança e a ubiquidade inerente a esses serviços: tráfego em direção a domínios como `github.com` ou `drive.google.com` raramente é bloqueado por firewalls corporativos e práticamente nunca levanta alertas em soluções de filtragem baseadas em reputação de domínio. Serviços web comprometidos são utilizados em múltiplos estágios do ciclo de vida do adversário. Na fase de [[ta0011-command-and-control|Command and Control]], a técnica [[t1102-web-service|T1102 - Web Service]] descreve o uso de plataformas legítimas como canal C2, com implantes consultando repositórios GitHub ou documentos do Google Drive em busca de instruções codificadas. Para exfiltração, a técnica [[t1567-exfiltration-over-web-service|T1567 - Exfiltration Over Web Service]] aproveita os mesmos canais confiáveis para envio de dados roubados. Contas de e-mail corporativas comprometidas em serviços como Google Workspace ou Microsoft 365 são especialmente valiosas para campanhas de [[t1566-phishing|Phishing]], pois o remetente possui domínio legítimo e histórico de reputação positivo, elevando significativamente as taxas de sucesso. **Contexto Brasil/LATAM:** No Brasil, o abuso de serviços web legítimos é uma característica marcante de grupos de ameaça que operam na região. Campanhas de [[t1566-phishing|Phishing]] direcionadas ao setor financeiro brasileiro frequentemente utilizam contas Google comprometidas para hospedar páginas falsas de instituições bancárias, aproveitando o domínio `storage.googleapis.com` para escapar de filtros de URL. O grupo [[g1006-earth-lusca|Earth Lusca]] foi documentado utilizando plataformas de nuvem como repositórios de staging para campanhas na América Latina. Além disso, a popularidade de ferramentas de colaboração como Google Drive e Microsoft OneDrive nas empresas brasileiras cria um volume de tráfego legítimo que serve de cobertura ideal para exfiltração de dados e comunicação C2 encoberta. ## Attack Flow ```mermaid graph TB A([Comprometimento de<br/>conta em serviço legítimo]) --> B([Configuração do<br/>serviço como C2/staging]) B --> C{T1584.006\nWeb Service\nComprometido}:::highlight C --> D([Phishing / Entrega<br/>de payload via serviço]) D --> E([Exfiltração ou<br/>C2 oculto]) classDef highlight fill:#e74c3c,color:#fff ``` ## Como Funciona **1. Preparação** O adversário obtém acesso a uma ou mais contas em serviços web legítimos através de diferentes vetores: credential stuffing com bases de dados de senhas vazadas, compra de credenciais em mercados clandestinos, campanhas de phishing para coleta inicial, ou simplesmente criando novas contas gratuitas com identidades fictícias. Contas pertencentes a usuários reais são preferíveis, pois carregam histórico de atividade e reputação positiva. Em seguida, o adversário configura o serviço para o propósito desejado: repositório GitHub para armazenar configurações C2 codificadas em commits, Google Drive para staging de payloads, ou conta de e-mail corporativo para envio de spear-phishing com alta taxa de entrega. **2. Execução** Na fase ativa, o implante instalado na rede-alvo consulta periodicamente o serviço web comprometido em busca de novas instruções - técnica conhecida como "dead drop resolver". Um repositório GitHub público, por exemplo, pode conter um arquivo README com instruções base64 para o implante, tornando o tráfego completamente indistinguível de acesso legítimo ao GitHub. Paralelamente, o serviço pode ser usado para hospedar e distribuir payloads de segunda fase, exfiltrar dados coletados e coordenar múltiplos implantes via um "canal de notícias" compartilhado. Malware como [[s1138-gootloader|Gootloader]] utiliza exatamente esse modelo de entrega via serviços web comprometidos. **3. Pós-execução** O adversário monitora o serviço comprometido para detectar sinais de bloqueio ou investigação. Caso o serviço sejá encerrado ou a conta sejá suspensa pela plataforma, o implante pode ter configurado múltiplos "dead drops" redundantes em serviços diferentes - garantindo resiliência operacional. Dados exfiltrados são coletados via APIs do serviço e transferidos para infraestrutura controlada pelo atacante. A rastreabilidade é mínima: endereços IP de saída são os data centers do provedor legítimo, e o conteúdo do tráfego é protegido por TLS com certificados válidos do próprio serviço, inviabilizando inspeção sem decriptação. ## Detecção ### Event IDs Relevantes | Plataforma | Event ID / Log | Descrição | |-----------|---------------|-----------| | Proxy / NGFW | Access log | Volume anômalo de dados enviados para serviços de nuvem (Drive, Dropbox, OneDrive) fora de horário comercial | | EDR / Sysmon | Event ID 3 (Network Connection) | Processos suspeitos (`wscript.exe`, `mshta.exe`, `powershell.exe`) consultando APIs de GitHub, Pastebin ou similares | | Office 365 / Google Workspace | Audit log | Logins de localização geográfica inconsistente ou horário incomum em contas corporativas | | DLP | Alerta de exfiltração | Arquivos sensíveis carregados para destinos de nuvem não aprovados pela política corporativa | | DNS | Query log | Consultas frequentes a subdomínios incomuns de serviços legítimos (`raw.githubusercontent.com`, `pastebin.com/raw/`) | ### Regra Sigma ```yaml title: Uso Suspeito de Serviço Web Legítimo como Dead Drop C2 id: 4d8f2b1a-9c3e-4a7f-b5d0-6e2c9a3f8b1d status: experimental description: > Detecta processos de alto risco consultando URLs raw de plataformas como GitHub, Pastebin ou similares, padrão típico de implantes que utilizam serviços web legítimos como dead drop para comandos C2 conforme T1584.006 / T1102. author: RunkIntel daté: 2026-03-24 logsource: category: proxy product: generic detection: selection_dead_drop_domains: dst_domain|contains: - "raw.githubusercontent.com" - "pastebin.com/raw" - "paste.ee" - "hastebin.com" - "ghostbin.com" - "controlc.com" selection_suspicious_agents: http_useragent|re: '^(PowerShell|python-requests|curl|wget|Go-http-client).*' selection_high_frequency: timeframe: 5m condition: selection_dead_drop_domains and selection_suspicious_agents condition_count: selection_dead_drop_domains | count() by src_ip > 10 falsepositives: - Scripts de CI/CD legítimos consultando GitHub Actions - Ferramentas de desenvolvimento que baixam dependências via raw.githubusercontent.com - Automações legítimas de TI level: high tags: - attack.resource_development - attack.t1584.006 - attack.command_and_control - attack.t1102 ``` ## Mitigação | Controle | Descrição | Recomendação para Organizações Brasileiras | |---------|-----------|-------------------------------------------| | [[m1056-pre-compromise\|M1056 - Pre-compromise]] | Dificultar o comprometimento antes que ocorra | Implementar MFA em todas as contas SaaS corporativas; monitorar alertas de login suspeito via SIEM integrado ao IdP | | CASB (Cloud Access Security Broker) | Controle granular de acesso a SaaS | Implementar CASB para monitorar e restringir uploads de dados sensíveis a serviços de nuvem não aprovados | | Proxy com inspeção de conteúdo | Inspecionar APIs de serviços legítimos | Configurar proxy para alertar sobre padrões de acesso a APIs raw de plataformas de pastebin e repositórios públicos | | Política de acesso condicional | Restringir acesso a SaaS por contexto | Bloquear acesso a serviços de nuvem a partir de dispositivos não gerenciados; exigir conformidade de dispositivo | | DLP (Data Loss Prevention) | Prevenir exfiltração via SaaS | Configurar regras DLP para detectar envio de arquivos com dados sensíveis (PII, propriedade intelectual) para destinos não aprovados | | Monitoramento de contas SaaS | Detecção de comprometimento de conta | Configurar alertas para logins de localização impossível, novos dispositivos e acesso em horários atípicos em todas as plataformas SaaS | ## Threat Actors - [[g0010-turla|Turla]] - grupo russo (FSB) pioneiro no uso de serviços web legítimos como C2; documentado utilizando comentários em contas hackeadas do Instagram e repositórios GitHub como canais de controle para seus implantes, aproveitando a técnica [[t1102-web-service|T1102 - Web Service]]. - [[g1006-earth-lusca|Earth Lusca]] - grupo chinês de espionagem que utiliza serviços de nuvem como Google Drive e Dropbox para distribuição de payloads e coleta de dados em campanhas direcionadas a entidades governamentais e de mídia na Ásia e América Latina. - [[g1012-curium|CURIUM]] - grupo iraniano que abusa de plataformas de nuvem para staging de operações; documentado utilizando contas comprometidas em serviços legítimos para hospedar ferramentas e exfiltrar dados de alvos no Oriente Médio. - [[g1035-winter-vivern|Winter Vivern]] - grupo de espionagem alinhado à Rússia/Bielorrússia; utiliza serviços de e-mail e colaboração comprometidos para entregar [[t1566-phishing|Phishing]] de alta credibilidade contra funcionários governamentais europeus, aproveitando a reputação dos domínios legítimos. ## Software Associado - [[s1138-gootloader|Gootloader]] - malware de acesso inicial distribuído via resultados de busca envenenados (SEO poisoning) que frequentemente hospeda seus payloads de segunda fase em serviços web comprometidos ou legítimos para contornar filtros de reputação de URL. Associado à fase de [[t1566-phishing|Phishing]] e entrega de payloads. - A técnica [[t1102-web-service|T1102 - Web Service]] é a contrapartida desta técnica na fase de Command and Control - enquanto T1584.006 descreve o comprometimento do serviço como preparação, T1102 descreve seu uso ativo como canal C2. - A técnica [[t1567-exfiltration-over-web-service|T1567 - Exfiltration Over Web Service]] representa o uso desses serviços comprometidos para exfiltração de dados coletados da vítima. --- *Fonte: [MITRE ATT&CK - T1584.006](https://attack.mitre.org/techniques/T1584/006)*