# T1587.004 - Exploits ## Técnica Pai Esta é uma sub-técnica de [[t1587-develop-capabilities|T1587 - T1587 - Develop Capabilities]]. ## Descrição Exploits (Desenvolvimento de Exploits) é uma subtécnica da família [[t1587-develop-capabilities|T1587 - Develop Capabilities]] em que adversários desenvolvem internamente seus próprios exploits para vulnerabilidades em hardware ou software, em vez de adquiri-los no mercado ou reutilizar PoCs públicos. O desenvolvimento de exploits proprietários confere ao adversário **exclusividade operacional**: uma vulnerabilidade explorada por código inédito não é detectada por assinaturas de IDS/IPS existentes, não está indexada em bases de CVEs e não aciona alertas de scanners de vulnerabilidade convencionais. Isso torna a técnica especialmente valiosa em campanhas de espionagem de longo prazo, onde a furtividade é prioritária. O processo envolve desde pesquisa de vulnerabilidade (fuzzing, análise de patches, engenharia reversa de binários) até o desenvolvimento e teste do exploit em laboratório, podendo incluir contratação de pesquisadores externos ou aquisição de informações sobre vulnerabilidades via [[t1588-006-vulnerabilities|T1588.006 - Vulnerabilities]]. > **Contexto Brasil/LATAM:** A capacidade de desenvolvimento de exploits é predominantemente concentrada em grupos estatais (China, Rússia, Coreia do Norte, Irã) e em operadores de acesso inicial (IABs) que vendem exploits 0-day no mercado negro. No contexto brasileiro, o maior risco está em grupos que desenvolvem exploits contra sistemas amplamente utilizados no país - plataformas de internet banking, ERPs nacionais (TOTVS, Senior Sistemas), e vulnerabilidades em equipamentos de rede de ISPs brasileiros. O [[g1017-volt-typhoon|Volt Typhoon]] é um exemplo de grupo que desenvolve exploits contra roteadores e equipamentos de borda de rede, infraestrutura crítica para empresas de telecomúnicações na América Latina. --- ## Attack Flow ```mermaid graph TB A([Adversário]) --> B[Pesquisa de<br/>Vulnerabilidade<br/>T1588.006] B --> C[Fuzzing /<br/>Análise de Patch] C --> D{Desenvolvimento\nde Exploit\nT1587.004}:::highlight D --> E[Exploit Proprietário<br/>0-day / N-day] E --> F[Exploit Público-<br/>Facing App<br/>T1190] E --> G[Escalação de<br/>Privilégios<br/>T1068] E --> H[Execução no<br/>Cliente<br/>T1203] classDef highlight fill:#e74c3c,color:#fff,font-weight:bold ``` --- ## Como Funciona **Passo 1 - Descoberta da vulnerabilidade:** O adversário identifica uma falha explorável por meio de fuzzing automatizado, análise diferencial de patches (comparar binário antes e depois de um patch para localizar a correção e inferir o bug), engenharia reversa ou pesquisa de segurança interna. Em alguns casos, a informação é adquirida via [[t1588-006-vulnerabilities|T1588.006]] - comprando ou trocando detalhes de vulnerabilidade com outros atores. Grupos patrocinados por estados dispõem de equipes dedicadas de pesquisa de vulnerabilidade. **Passo 2 - Desenvolvimento e weaponização:** Com a vulnerabilidade identificada, a equipe desenvolve o exploit - código que aciona o comportamento não intencional de forma confiável e controlável. Este processo envolve ajuste de offsets de memória, bypass de mitigações (ASLR, DEP/NX, CFG), desenvolvimento de shellcode e testes de estabilidade. O exploit pode ser encapsulado em um documento Office, uma requisição HTTP maliciosa, um pacote de rede ou qualquer vetor de entrega adequado ao alvo. **Passo 3 - Implantação nas fases de ataque:** O exploit desenvolvido é utilizado em múltiplas fases do ciclo de vida do ataque: acesso inicial via [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]], execução via [[t1203-exploitation-for-client-execution|T1203 - Exploitation for Client Execution]], escalação de privilégios via [[t1068-exploitation-privilege-escalation|T1068]], evasão de defesas via [[t1211-exploitation-for-defense-evasion|T1211]], acesso a credenciais via [[t1212-exploitation-for-credential-access|T1212]] ou movimentação lateral via [[t1210-exploitation-of-remote-services|T1210]]. --- ## Detecção > [!warning] Detecção na fase PRE é práticamente impossível > O desenvolvimento de exploits ocorre inteiramente fora do ambiente da vítima. A detecção eficaz concentra-se nos indicadores de uso do exploit: comportamento anômalo de processos, crashes controlados, shellcode em memória e conexões de C2 após execução bem-sucedida. **Event IDs relevantes (detecção do uso do exploit, não do desenvolvimento):** | Event ID | Fonte | Descrição | |----------|-------|-----------| | 4688 | Windows Security | Processo filho inesperado gerado por aplicação de usuário (ex: Word spawning PowerShell) | | 1 | Sysmon | Processo criado com PPID anômalo - process injection / exploit de cliente | | 8 | Sysmon | CreateRemoteThread - injeção de shellcode em processo remoto | | 17/18 | Sysmon | Pipe criado/conectado - shellcode usando named pipe para C2 | | 3 | Sysmon | Conexão de rede de processo incomum após exploração bem-sucedida | | 4625 | Windows Security | Falha de autenticação em massa - indicador de exploit de força bruta ou de credenciais | **Regra Sigma - Processo filho suspeito originado de aplicativo de usuário:** ```yaml title: Processo Filho Suspeito de Aplicativo de Usuário (Exploit Client-Side) id: 3a7f2b8c-1d4e-4a9f-b0c2-5e6d7a8b9012 status: experimental description: > Detecta criação de processos intérpretes de script (PowerShell, cmd, wscript) como filhos diretos de aplicativos de usuário como Word, Excel, Acrobat. Padrão comum de exploração via T1587.004 / T1203. logsource: category: process_creation product: windows detection: selection_parent: ParentImage|endswith: - '\WINWORD.EXE' - '\EXCEL.EXE' - '\POWERPNT.EXE' - '\AcroRd32.exe' - '\Acrobat.exe' - '\iexplore.exe' - '\msedge.exe' selection_child: Image|endswith: - '\powershell.exe' - '\cmd.exe' - '\wscript.exe' - '\cscript.exe' - '\mshta.exe' condition: selection_parent and selection_child falsepositives: - Macros legítimas em ambientes que as utilizam ativamente level: high tags: - attack.resource_development - attack.t1587.004 - attack.t1203 - attack.t1190 ``` --- ## Mitigação > [!tip] Gestão de vulnerabilidades é a principal defesa > Reduzir a jánela de exposição entre o patch de fornecedor e a aplicação no ambiente é o controle mais eficaz. Exploits proprietários perdem valor quando a vulnerabilidade alvo é corrigida. | Controle | Descrição | Prioridade para Orgs Brasileiras | |----------|-----------|----------------------------------| | [[m1056-pre-compromise\|M1056 - Pre-compromise]] | Limitar a superfície de ataque exposta públicamente - reduzir serviços expostos na internet | Alta | | Gestão de patches acelerada | Aplicar patches críticos em até 48h - especialmente para CVEs com EPSS > 0.5 ou em CISA KEV | Alta | | Exploit Mitigation (WDEP/CFG/CET) | Habilitar todas as mitigações de exploração no Windows (DEP, ASLR, CFG, CET) via Exploit Protection | Alta | | Sandboxing de aplicações | Isolar aplicações de usuário (Office, PDF) com Windows Sandbox ou AppContainer | Alta | | Segmentação de rede | Limitar conectividade de saída de workstations - bloquear conexões diretas de internet de hosts de usuário | Alta | | Threat Intelligence de 0-days | Assinar feeds de inteligência que reportam exploits em uso antes da divulgação pública (ex: CISA KEV, Mandiant) | Média | | EDR com proteção em memória | Detectar shellcode em memória, ROP chains e injeção de código via proteção comportamental | Alta | --- ## Threat Actors e Software > [!note] Grupos com capacidade de desenvolvimento de exploits próprios **[[g1017-volt-typhoon|Volt Typhoon]]** - Grupo de espionagem chinês com foco em infraestrutura crítica dos EUA e aliados. Desenvolveu exploits contra roteadores SOHO e appliances de borda de rede (Cisco, Netgear, ASUS), utilizando acesso "living off the land" para se manter invisível. Alvos na América Latina incluem provedores de telecomúnicações e entidades de infraestrutura crítica. **[[g1048-unc3886|UNC3886]]** - Grupo de espionagem nexo China especializado em dispositivos de rede e hypervisors. Desenvolveu exploits para VMware vCenter e ESXi, bem como para appliances Fortinet, afetando organizações financeiras e governamentais globalmente, incluindo o Brasil. **[[g0065-leviathan|Leviathan]]** (APT40/BRONZE MOHAWK) - Grupo de espionagem chinês com foco em setores marítimo, defesa e tecnologia. Desenvolve exploits contra aplicações web e serviços de acesso remoto amplamente utilizados, incluindo VPNs e gateways de acesso - infraestrutura crítica para empresas de energia e defesa na América Latina. **Técnicas derivadas utilizadas após o exploit:** - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - uso do exploit para acesso inicial - [[t1068-exploitation-privilege-escalation|T1068 - Exploitation for Privilege Escalation]] - escalonamento após acesso inicial - [[t1210-exploitation-of-remote-services|T1210 - Exploitation of Remote Services]] - movimento lateral via exploit - [[t1203-exploitation-for-client-execution|T1203 - Exploitation for Client Execution]] - execução via documento malicioso --- *Fonte: [MITRE ATT&CK - T1587.004](https://attack.mitre.org/techniques/T1587/004)*