# T1584 - Compromise Infrastructure ## Descrição Comprometer infraestrutura de terceiros é uma das estrategias mais eficazes no arsenal de preparação de recursos de um adversário. Em vez de comprar, alugar ou provisionar infraestrutura própria - como descrito em [[t1583-acquire-infrastructure|T1583]] -, o adversário invade ativos já existentes: servidores físicos e em nuvem, domínios registrados, dispositivos de rede, provedores de DNS e serviços web de terceiros. O objetivo é utilizar essa infraestrutura legítima para dar suporte a operações ofensivas, desde o staging de payloads até a operação de canais de Comando e Controle (C2). A principal vantagem estratégica do comprometimento de infraestrutura legítima é a **mistura com tráfego confiável**. Quando o C2 de um atacante opera a partir de um servidor comprometido de uma universidade brasileira, um domínio de empresa com anos de histórico positivo ou um serviço cloud de alta reputação, ferramentas de segurança baseadas em reputação falham em identificar o tráfego como malicioso. Adversários frequentemente combinam esta técnica com [[t1588-004-digital-certificates|Digital Certificates]] para adicionar TLS legítimo ao canal C2, e com [[t1566-phishing|Phishing]] para distribuir malware a partir de domínios comprometidos de alta reputação. Em casos mais sofisticados, a infraestrutura comprometida serve como pivot para realizar [[ta0001-initial-access|Initial Access]] a redes adjacentes - por exemplo, comprometendo roteadores de provedores de acesso para atingir clientes conectados, como na técnica [[t1669-wi-fi-networks|Wi-Fi Networks]]. Além de servidores e domínios, adversários podem comprometer um grande volume de máquinas para formar botnets - redes de dispositivos infectados usados para laundering de tráfego via [[t1090-proxy|Proxy]] e para distribuição de ataques em escala. Câmeras IP, roteadores domésticos, servidores NAS e dispositivos IoT são alvos frequentes por terem segurança precária e permanecerem ativos por longos períodos sem atualização. A infraestrutura comprometida pode inclusive pertencer a outros adversários - situação documentada em que grupos APT sequestram a infraestrutura de grupos menos sofisticados para encobrir origem real. **Contexto Brasil/LATAM:** O Brasil possui um perfil de infraestrutura digital altamente atrativo para comprometimento: milhões de roteadores domésticos e empresariais com firmware desatualizado, grande parque de servidores web em PMEs com configurações permissivas, e provedores de hospedagem regionais com resposta lenta a abusos. Grupos de cibercrime financeiro brasileiros já utilizam extensamente infraestrutura comprometida de terceiros - incluindo hospedagem de páginas de [[t1566-phishing|Phishing]] em sites legítimos invadidos e uso de máquinas comprometidas como proxies para dissimular origem de transações fraudulentas. No espectro de ameaças avançadas, campanhas de espionagem contra alvos governamentais e do setor de energia no Brasil seguem o padrão de aproveitar a infraestrutura comprometida local para evitar detecção por geolocalização de IP. ## Attack Flow ```mermaid graph TB A([🔍 Identificação de<br/>Infraestrutura Vulnerável]) --> B([💥 Comprometimento<br/>de Ativos de Terceiros]):::highlight B --> C([⚙️ Configuração para<br/>Uso Operacional]) C --> D([🚀 Staging de<br/>Payloads / C2]) D --> E([🎯 Operações Contra<br/>Alvo Final]) classDef highlight fill:#e74c3c,color:#fff ``` ## Como Funciona **Passo 1 - Reconhecimento e seleção de alvos de infraestrutura:** O adversário identifica infraestrutura de terceiros que sejá técnicamente vulnerável e que ofereça vantagem operacional - alta reputação de domínio, proximidade geográfica ao alvo final, ou capacidade de tráfego suficiente. Ferramentas de varredura como Shodan, Censys e FOFA são usadas para identificar servidores com serviços expostos e versões vulneráveis. Roteadores de borda de PMEs, servidores web com CMS desatualizado (WordPress, Joomla) e dispositivos de rede com credenciais padrão são os alvos mais comuns. **Passo 2 - Comprometimento e implantação:** O adversário explora a vulnerabilidade identificada para ganhar acesso ao sistema, instala implantes persistentes (webshells, backdoors, agentes C2) e configura o ativo comprometido para o papel desejado na operação. Pode ser um servidor de staging para payloads, um relay de C2 que encaminha tráfego para a infraestrutura real do atacante, um servidor de phishing hospedando páginas falsas, ou um nó de botnet contribuindo com capacidade de proxy. A atividade na infraestrutura comprometida é cuidadosamente limitada para não alertar o dono legítimo. **Passo 3 - Operação e descarte:** Durante a campanha ativa, o adversário usa a infraestrutura comprometida como camada de indireção - toda comunicação C2 passa pelos ativos comprometidos antes de chegar à infraestrutura real controlada pelo atacante. Quando um nó comprometido é detectado e derrubado, o adversário simplesmente move para outro ativo previamente comprometido. O descarte é parte do plano: a infraestrutura comprometida é descartável, e o adversário pode ter dezenas ou centenas de nós em rotação simultânea. ## Detecção **Indicadores de comprometimento de infraestrutura:** | Fonte | Indicador | Descrição | |-------|-----------|-----------| | Web Application Firewall | Requisições anômalas para arquivos PHP/ASP não reconhecidos em diretórios de mídia | Webshell instalada em servidor comprometido | | Firewall / NetFlow | Conexões de saída inesperadas de servidores que normalmente só recebem tráfego | Servidor comprometido agindo como relay C2 | | DNS Passivo | Domínio com histórico limpo passando a resolver para IP de hosting desconhecido | Domínio legítimo comprometido para uso em campanha | | Threat Intel | ASN ou IP de infraestrutura legítima brasileira listado em feeds de C2 | Sinal de que servidor foi comprometido e está sendo usado como relay | | Logs de servidor web | Requisições com User-Agent incomum para endpoints não documentados | Comúnicação de agente C2 com webshell | | SIEM | Pico de tráfego outbound de servidor interno em horário incomum | Exfiltração ou relay C2 em operação | **Sigma Rule - Webshell em Servidor Web:** ```yaml title: Webshell Activity on Web Server id: c4d8f231-7a9b-4e1c-b052-e3a6f1d29b74 status: experimental description: Detecta acesso a arquivos PHP/ASPX suspeitos que podem ser webshells instaladas em infraestrutura comprometida author: RunkIntel daté: 2026-03-24 logsource: product: webserver category: access_log detection: selection_files: cs-uri-stem|endswith: - '.php' - '.aspx' - '.jsp' cs-uri-stem|contains: - '/uploads/' - '/images/' - '/media/' - '/static/' - '/assets/' - '/wp-content/uploads/' selection_methods: cs-method: - 'POST' filter_known_paths: cs-uri-stem|contains: - '/wp-admin/' - '/admin/' condition: selection_files and selection_methods and not filter_known_paths falsepositives: - Aplicações web legítimas com upload de arquivos PHP em diretórios de mídia - APIs legítimas que aceitam POST em diretórios de upload level: high tags: - attack.resource_development - attack.t1584 - attack.t1505.003 ``` ## Mitigação | Controle | Medida | Contexto para Organizações Brasileiras | |----------|--------|----------------------------------------| | [[m1056-pre-compromise\|M1056 - Pre-compromise]] | Monitorar proativamente a própria infraestrutura como potencial alvo de comprometimento para uso em campanhas | Organizações brasileiras com servidores públicos devem monitorar seus próprios IPs em feeds de threat intel | | Hardening de servidores web | Remover CMS desatualizados, desabilitar execução de scripts em diretórios de upload, implementar WAF | Alta prevalência de WordPress comprometido no Brasil - atualização e monitoramento de integridade de arquivos são críticos | | Gestão de vulnerabilidades em dispositivos de borda | Atualizar firmware de roteadores e firewalls; trocar credenciais padrão; desabilitar administração remota não necessária | Roteadores de operadoras brasileiras frequentemente distribuídos com senhas padrão - alvo fácil para botnet | | Monitoramento de integridade de arquivos (FIM) | Detectar criação de novos arquivos em diretórios web, especialmente com extensões executáveis | Implementar FIM em servidores web; alertar para criação de .php em diretórios de upload | | Segmentação de rede e saída controlada | Limitar conexões de saída de servidores web apenas a destinos necessários; bloquear conexões arbitrárias outbound | Relay C2 requer que o servidor comprometido faça conexões outbound - saída controlada interrompe o relay | | Participação em programas de notificação | Registrar-se no CERT.br para receber notificações de comprometimento de IPs próprios | O CERT.br opera sistema de notificação de abuso para ASNs brasileiros - notificações rápidas permitem resposta antes de escalar | ## Sub-técnicas - [[t1584-001-domains|T1584.001 - Domains]] - [[t1584-002-dns-server|T1584.002 - DNS Server]] - [[t1584-003-virtual-private-server|T1584.003 - Virtual Private Server]] - [[t1584-004-server|T1584.004 - Server]] - [[t1584-005-botnet|T1584.005 - Botnet]] - [[t1584-006-web-services|T1584.006 - Web Services]] - [[t1584-007-serverless|T1584.007 - Serverless]] - [[t1584-008-network-devices|T1584.008 - Network Devices]] ## Threat Actors Esta técnica é transversal - usada por práticamente todos os grupos APT e de cibercrime de alta sofisticação como etapa padrão de preparação operacional. Alguns exemplos documentados: - **Grupos de cibercrime financeiro brasileiro** - Utilizam extensamente servidores web comprometidos (especialmente WordPress) como hospedagem de páginas de [[t1566-phishing|Phishing]] bancário. A infraestrutura comprometida local é preferida por reduzir latência e dificultar atribuição geográfica. - **Grupos APT com foco em LATAM** - Documentados usando servidores comprometidos de universidades e órgãos governamentais brasileiros como relays C2, aproveitando a reputação limpa e a dificuldade de resposta rápida dessas organizações. - Grupos vinculados às técnicas de [[t1583-002-dns-server|DNS Server]] próprio frequentemente combinam com comprometimento de infraestrutura DNS legítima para criar redundância no canal C2. ## Software Associado Implantes e ferramentas comumente encontrados em infraestrutura comprometida: - **Webshells (China Chopper, WSO, b374k)** - Backdoors web instalados em servidores comprometidos, frequentemente encontrados em sites brasileiros usados como staging de payloads ou como relay para [[t1566-phishing|Phishing]]. - **Cobalt Strike / Metasploit** - Frameworks de C2 cujos listeners são frequentemente hospedados em infraestrutura comprometida de terceiros para dificultar takedown e atribuição. - **Mirai e variantes** - Botnet que compromete dispositivos IoT, câmeras IP e roteadores com credenciais padrão; massivamente presente no Brasil devido ao grande parque de dispositivos vulneráveis. Usada para [[t1090-proxy|Proxy]] e DDoS como serviço. Relacionadas: [[t1583-acquire-infrastructure|Acquire Infrastructure]], [[t1588-004-digital-certificates|Digital Certificates]], [[t1090-proxy|Proxy]], [[t1566-phishing|Phishing]], [[ta0001-initial-access|Initial Access]] --- *Fonte: [MITRE ATT&CK - T1584](https://attack.mitre.org/techniques/T1584)*