# T1584.008 - Network Devices ## Técnica Pai Esta é uma sub-técnica de [[t1584-compromise-infrastructure|T1584 - T1584 - Compromise Infrastructure]]. ## Descrição Adversários comprometem dispositivos de rede de terceiros - como roteadores SOHO (small office/home office), switches e appliances de borda - não com o objetivo imediato de obter acesso ao ambiente da vítima primária, mas para utilizá-los como infraestrutura intermediária em operações subsequentes. Esses dispositivos atuam como pivôs, retransmissores de tráfego e pontos de hospedagem de payloads, dificultando enormemente o rastreamento da origem real do ataque. A técnica é classificada na fase de [[ta0042-resource-development|Resource Development]] porque o objetivo central é construir capacidade operacional antes de iniciar o ataque principal. Dispositivos de rede comprometidos são especialmente valiosos porque, em geral, não possuem agentes EDR, logs centralizados ou monitoramento de segurança robusto. Uma vez sob controle, o adversário pode utilizá-los para hospedar payloads de campanhas de [[t1566-phishing|Phishing]], habilitar [[t1659-content-injection|Content Injection]], colher credenciais reutilizáveis via [[t1078-valid-accounts|Valid Accounts]] e, principalmente, sustentar canais de [[ta0011-command-and-control|Command and Control]] ocultos através de [[t1090-proxy|Proxy]] ou redes de [[t1584-005-botnet|Botnet]]. A técnica [[t1665-hide-infrastructure|Hide Infrastructure]] frequentemente se apoia nesse tipo de comprometimento para mascarar a infraestrutura real do atacante. **Contexto Brasil/LATAM:** O Brasil apresenta um cenário particularmente favorável para o abuso desta técnica. A ampla base instalada de roteadores domésticos e corporativos de baixo custo - muitos sem suporte ativo do fabricante e com firmware desatualizado - torna o parque tecnológico nacional um alvo recorrente para grupos como [[g1017-volt-typhoon|Volt Typhoon]] e [[g0007-apt28|APT28]]. Operações de espionagem voltadas ao setor governamental e de infraestrutura crítica brasileira já exploram roteadores comprometidos no próprio país como nós de saída, tornando o tráfego malicioso indistinguível de conexões legítimas originárias do Brasil. Provedores de internet regionais de menor porte, com capacidade de monitoramento mais limitada, são vetores frequentes de comprometimento dessa natureza na América Latina. ## Attack Flow ```mermaid graph TB A([Reconhecimento<br/>de dispositivos expostos]) --> B([Exploração de<br/>vulnerabilidade no firmware]) B --> C{T1584.008\nDispositivo\nComprometido}:::highlight C --> D([Pivô / Proxy<br/>para operações C2]) D --> E([Ataque à<br/>vítima primária]) classDef highlight fill:#e74c3c,color:#fff ``` ## Como Funciona **1. Preparação** O adversário realiza varredura massiva em busca de dispositivos de rede expostos à internet com firmwares vulneráveis conhecidos (ex.: CVEs em equipamentos Cisco, Netgear, TP-Link). São priorizados dispositivos sem patch disponível ou cujos proprietários raramente aplicam atualizações - cenário comum em pequenas e médias empresas brasileiras. O atacante pode utilizar bases de dados de dispositivos expostos para identificar alvos em provedores de internet específicos de regiões de interesse. **2. Execução** A exploração ocorre via vulnerabilidades de execução remota de código no firmware, credenciais padrão não alteradas ou serviços de gerenciamento expostos (Telnet, HTTP, TR-069). Após acesso inicial, o adversário instala implantes persistentes no sistema operacional do roteador - muitas vezes modificando o firmware diretamente - criando backdoors que sobrevivem a reinicializações. O dispositivo passa então a encaminhar tráfego selecionado para a infraestrutura controlada pelo atacante, atuando como nó de [[t1090-proxy|Proxy]] ou integrando uma rede de [[t1584-005-botnet|Botnet]]. **3. Pós-execução** Com o dispositivo integrado à infraestrutura operacional, o adversário o utiliza para hospedar páginas de [[t1566-phishing|Phishing]], retransmitir comandos C2 para implantes na rede-alvo e exfiltrar dados sem revelar a origem real. A técnica [[t1665-hide-infrastructure|Hide Infrastructure]] é aplicada ao rotear o tráfego por múltiplos dispositivos comprometidos em países diferentes, tornando a atribuição extremamente difícil. Credenciais capturadas podem ser reutilizadas como [[t1078-valid-accounts|Valid Accounts]] em etapas posteriores do ataque. ## Detecção ### Event IDs Relevantes | Plataforma | Event ID | Descrição | |-----------|---------|-----------| | Cisco IOS | Syslog `%SEC-6-IPACCESSLOGP` | Conexões inesperadas para portas de gerenciamento (22, 23, 80, 443, 8080) | | Netflow/IPFIX | - | Tráfego de saída incomum em horários atípicos originados do dispositivo | | SNMP Trap | `linkDown` / `linkUp` repetitivo | Indicador de possível manipulação de interface | | Firewall/NGF | Log de política negada | Tentativas de acesso às interfaces de gerenciamento de dispositivos de borda | | Windows Event | 4624 / 4625 | Acessos à console de gerenciamento via jumphost | ### Regra Sigma ```yaml title: Acesso Suspeito a Interface de Gerenciamento de Dispositivo de Rede id: b3e7f92a-1c4d-4f8e-a5b2-9d0e6c3f1a7b status: experimental description: > Detecta tentativas de acesso remoto a interfaces de gerenciamento de dispositivos de rede (SSH, Telnet, HTTP admin) originadas de IPs externos não autorizados, indicativo de tentativa de comprometimento conforme T1584.008. author: RunkIntel daté: 2026-03-24 logsource: category: firewall product: generic detection: selection: dst_port: - 22 - 23 - 80 - 443 - 8080 - 8443 - 8888 dst_ip|cidr: - "10.0.0.0/8" - "172.16.0.0/12" - "192.168.0.0/16" src_ip|not_cidr: - "10.0.0.0/8" - "172.16.0.0/12" - "192.168.0.0/16" filter_known_mgmt: src_ip: - "192.168.1.100" # substituir pelo IP real do servidor de gerenciamento condition: selection and not filter_known_mgmt timeframe: 5m condition_count: selection | count() > 10 falsepositives: - Acesso legítimo de administradores remotos sem VPN - Ferramentas de monitoramento de rede externas level: high tags: - attack.resource_development - attack.t1584.008 ``` ## Mitigação | Controle | Descrição | Recomendação para Organizações Brasileiras | |---------|-----------|-------------------------------------------| | [[m1056-pre-compromise\|M1056 - Pre-compromise]] | Dificultar o comprometimento antes que ocorra | Manter inventário atualizado de todos os dispositivos de borda; assinar boletins do CERT.br para CVEs de firmware | | Segmentação de rede | Isolar dispositivos de gerenciamento | Colocar interfaces de gerenciamento em VLAN dedicada sem acesso direto à internet; exigir VPN para acesso remoto | | Hardening de firmware | Reduzir superfície de ataque | Desabilitar Telnet, HTTP e serviços não utilizados; alterar credenciais padrão imediatamente após implantação | | Monitoramento de integridade | Detectar modificações no firmware | Implementar verificação periódica de hash do firmware contra imagem oficial do fabricante | | Gerenciamento de ciclo de vida | Evitar equipamentos sem suporte | Substituir dispositivos cujo fabricante encerrou suporte de segurança; priorizar equipamentos com suporte ativo a CVEs | | Autenticação multifator | Proteger consoles de gerenciamento | Exigir MFA para acesso a interfaces web e SSH de equipamentos críticos | ## Threat Actors - [[g1017-volt-typhoon|Volt Typhoon]] - grupo de espionagem chinês amplamente documentado pelo uso de roteadores SOHO comprometidos como nós de [[t1090-proxy|Proxy]] em operações contra infraestrutura crítica. Opera em modo "living off the land" para evitar detecção, aproveitando dispositivos legítimos de pequenas empresas como pivôs. - [[g0007-apt28|APT28]] - grupo russo (GRU) que historicamente compromete dispositivos de rede para sustentação de infraestrutura de [[ta0011-command-and-control|Command and Control]] em campanhas de [[ta0009-collection|Collection]] e espionagem contra governos e organizações militares. - [[g0128-zirconium|ZIRCONIUM]] - grupo chinês (APT31) vinculado ao MSS, utiliza dispositivos comprometidos como camada de anonimização em operações de [[ta0042-resource-development|Resource Development]] para atacar entidades governamentais. - [[g0065-leviathan|Leviathan]] - grupo chinês (APT40) com histórico de comprometimento de infraestrutura de rede marítima e naval; usa roteadores comprometidos para exfiltração persistente de dados sensíveis. ## Software Associado Esta subtécnica não está diretamente associada a um malware específico catalogado no MITRE ATT&CK, pois o comprometimento ocorre majoritariamente via modificação de firmware nativo e abuso de funcionalidades legítimas do dispositivo. As seguintes técnicas complementares são frequentemente encadeadas: - [[t1090-proxy|T1090 - Proxy]] - uso do dispositivo comprometido como retransmissor de tráfego C2 - [[t1584-005-botnet|T1584.005 - Botnet]] - integração do dispositivo em rede de bots para operações distribuídas - [[t1665-hide-infrastructure|T1665 - Hide Infrastructure]] - ocultação da infraestrutura real do atacante --- *Fonte: [MITRE ATT&CK - T1584.008](https://attack.mitre.org/techniques/T1584/008)*