t1587-develop-capabilities

# T1587 - Develop Capabilities ## Descrição Adversários podem construir internamente capacidades ofensivas para uso em operações de ataque, em vez de adquirir, baixar gratuitamente ou roubar ferramentas prontas. Esse processo envolve identificar requisitos operacionais e desenvolver soluções sob medida, como [[t1587-001-malware|malware]] personalizado, [[t1587-004-exploits|exploits]] para vulnerabilidades específicas, [[t1587-002-code-signing-certificates|certificados de assinatura de código]] e [[t1587-003-digital-certificates|certificados digitais]] auto-assinados. O desenvolvimento interno de capacidades é uma marca registrada de grupos APT (Advanced Persistent Threat) patrocinados por estados, pois permite maior controle operacional, evasão de detecção por soluções baseadas em assinaturas e atribuição mais difícil para investigadores. O desenvolvimento de capacidades pode ocorrer em múltiplas fases do ciclo de vida do adversário - desde a criação de infraestrutura inicial (malware de acesso inicial) até ferramentas de pós-exploração (implantes, frameworks C2) e utilitários de exfiltração. Diferentes habilidades podem ser necessárias em cada etapa, e grupos sofisticados podem contar com equipes especializadas internas ou contratar desenvolvedores externos, desde que mantenham exclusividade sobre as ferramentas produzidas. O uso de contratados é considerado uma extensão das capacidades do grupo, desde que o adversário mantenha controle sobre os requisitos e a exclusividade das ferramentas. **Contexto Brasil/LATAM:** O desenvolvimento de capacidades exclusivas está fortemente presente em campanhas direcionadas ao Brasil. O grupo norte-coreano [[g0094-kimsuky|Kimsuky]] desenvolve implantes customizados para campanhas de espionagem em setores governamentais e de defesa, enquanto o [[g1036-moonstone-sleet|Moonstone Sleet]] constrói jogos e aplicativos falsos como vetores de entrega de malware proprietário. No cenário do cibercrime local, grupos brasileiros especializados em fraude bancária investem no desenvolvimento de trojans bancários modulares (como variantes do Grandoreiro e Javali) que exploram o ecossistema financeiro exclusivo do país - Pix, boletos bancários e o sistema de autenticação de múltiplos fatores dos grandes bancos -, demonstrando que o desenvolvimento de capacidades customizadas não é privilégio exclusivo de atores estado-nação. ## Attack Flow ```mermaid graph TB A([Identificação de requisitos operacionais]) -->|Lacunas de ferramentas| B([Desenvolvimento interno / contratação]):::highlight B -->|Malware customizado| C(Malware) B -->|Exploits zero-day| D(Exploits) B -->|Certificados falsos| E(Code Signing Certs) C --> F([Deploy em campanhas ativas]) D --> F E --> F classDef highlight fill:#e74c3c,color:#fff ``` ## Como Funciona 1. **Análise de requisitos e lacunas:** O grupo avalia quais etapas do ataque planejado não podem ser cobertas por ferramentas disponíveis públicamente (Metasploit, Cobalt Strike) sem risco de detecção ou atribuição. Isso inclui: necessidade de evasão de EDRs específicos do alvo, exploração de sistemas legados prevalentes no setor público brasileiro, ou funcionalidades únicas como interceptação de tokens de autenticação bancária do Pix. 2. **Desenvolvimento e teste:** O código malicioso é desenvolvido em ambientes isolados, geralmente espelhando a infraestrutura do alvo. Frameworks de C2 customizados são construídos sobre protocolos legítimos (HTTPS, DNS, Slack APIs) para mascarar tráfego. Certificados de assinatura de código são obtidos via [[t1587-002-code-signing-certificates|T1587.002]] ou [[t1587-003-digital-certificates|T1587.003]] para contornar controles de execução. O uso de [[t1588-007-artificial-intelligence|IA generativa]] para refinar o código e gerar variantes com ofuscação diferente é uma tendência crescente. 3. **Validação e staging:** Antes do uso em operações reais, as capacidades desenvolvidas são testadas contra soluções de segurança comuns (VirusTotal, sandboxes conhecidas) para garantir evasão. Versões modulares permitem atualizações rápidas quando componentes específicos são detectados, estendendo a vida útil operacional do implante. ## Detecção **Event IDs relevantes:** | Fonte | Event ID | Descrição | |-------|----------|-----------| | Windows Security | 4688 | Criação de processos - compiladores (csc.exe, cl.exe, gcc) em sistemas não-dev | | Sysmon | 11 | FileCreaté - arquivos .exe/.dll criados por processos de compilação inesperados | | Sysmon | 7 | ImageLoad - carregamento de DLLs de compiladores em contextos suspeitos | | Network/Proxy | - | Download de SDKs, frameworks de desenvolvimento ou dependências em hosts não autorizados | | Certificaté Transparency | - | Emissão de certificados para domínios registrados recentemente por entidades desconhecidas | **Sigma Rule - Compilação de código em hosts não-desenvolvedor:** ```yaml title: Compilação de Código Suspeita em Host Não-Desenvolvedor id: b7e2d4f1-9c3a-4e8b-a1f5-2d6c9e0b3a7f status: experimental description: > Detecta uso de compiladores nativos do Windows (csc.exe, vbc.exe) ou ferramentas de build em hosts que não fazem parte do grupo de máquinas de desenvolvimento, podendo indicar desenvolvimento ou compilação de malware in-loco por um adversário com acesso ao sistema. author: RunkIntel daté: 2026/03/24 tags: - attack.resource-development - attack.t1587 logsource: category: process_creation product: windows detection: selection_compilers: Image|endswith: - '\csc.exe' - '\vbc.exe' - '\jsc.exe' - '\msbuild.exe' filter_dev_machines: ComputerName|contains: - 'DEV' - 'BUILD' - 'CI' condition: selection_compilers and not filter_dev_machines falsepositives: - Softwares legítimos que compilam código em tempo de execução (.NET JIT, scripts PowerShell) - Atualizações de sistema que envolvem compilação de componentes level: medium ``` ## Mitigação | Controle | Ação Recomendada | Prioridade para Orgs Brasileiras | |----------|-----------------|----------------------------------| | [[m1056-pre-compromise\|M1056 - Pre-compromise]] | Monitorar repositórios públicos (GitHub, GitLab) em busca de código que referencie infraestrutura da organização ou use nomes de produtos internos | Alta - grupos brasileiros de cibercrime frequentemente hospedam código em repos públicos | | Application Control | Bloquear execução de compiladores (csc.exe, msbuild.exe, gcc) em hosts fora do grupo de máquinas de desenvolvimento via AppLocker ou WDAC | Alta - impede compilação in-loco de malware mesmo que um adversário tenha acesso inicial | | Certificaté Pinning | Implementar certificaté pinning em aplicações críticas para dificultar o uso de certificados auto-assinados ou emitidos por CAs não confiáveis | Média - especialmente relevante para apps bancários e sistemas de gestão | | Threat Intelligence Feed | Assinar feeds de IoC que incluam hashes de malware customizado associado a grupos que operam na LATAM (CERT.br, OTX AlienVault) | Alta - detecção precoce de novos implantes antes da distribuição em larga escala | | Sandbox de e-mail e arquivos | Analisar dinâmicamente todos os anexos recebidos em sandboxes com capacidade de detectar evasão - malware customizado tende a ser indetectável por AV baseado em assinaturas | Alta - padrão mínimo para qualquer organização brasileira com exposição externa | ## Threat Actors - **[[g0094-kimsuky|Kimsuky]]** - APT norte-coreano com longo histórico de desenvolvimento de ferramentas customizadas para espionagem. Desenvolve implantes dedicados para operações de longo prazo, incluindo keyloggers, backdoors e ferramentas de exfiltração de documentos. Ativo em campanhas contra organizações de defesa, think tanks e setores governamentais. Seu arsenal customizado é regularmente atualizado para contornar detecção. - **[[g1052-contagious-interview|Contagious Interview]]** - Subgrupo norte-coreano focado em desenvolvedores de software e profissionais de criptomoedas. Desenvolve aplicações falsas de entrevista e SDKs maliciosos que simulam ferramentas legítimas de videoconferência, instalando implantes customizados no processo de "teste técnico" da vaga falsa. Demonstra capacidade de desenvolvimento multiplataforma (Windows, macOS, Linux). - **[[g1036-moonstone-sleet|Moonstone Sleet]]** - APT norte-coreano que se destaca pelo desenvolvimento de jogos, softwares de treinamento e aplicativos de gerenciamento de tarefas falsos como vetores. Desenvolveu um jogo de tanques funcional como isca que instalava malware em segundo plano - nível de investimento em desenvolvimento que ilustra a sofisticação da técnica. ## Sub-técnicas - [[t1587-001-malware|T1587.001 - Malware]] - [[t1587-002-code-signing-certificates|T1587.002 - Code Signing Certificates]] - [[t1587-003-digital-certificates|T1587.003 - Digital Certificates]] - [[t1587-004-exploits|T1587.004 - Exploits]]