# T1588.002 - Tool ## Técnica Pai Esta é uma sub-técnica de [[t1588-obtain-capabilities|T1588 - T1588 - Obtain Capabilities]]. ## Descrição Na fase de **Desenvolvimento de Recursos**, adversários adquirem ferramentas que serão utilizadas durante as operações de ataque. Essa aquisição pode ocorrer de diversas formas: compra de licenças comerciais, download de utilitários de código aberto disponíveis públicamente, roubo de ferramentas de terceiros (inclusive de outros grupos criminosos) ou até mesmo a quebra de licenças de avaliação de softwares pagos. O ponto central dessa técnica é que as ferramentas obtidas não foram originalmente desenvolvidas com intenção maliciosa - diferenciando-as do [[t1587-001-malware|malware]] customizado. Ferramentas legítimas como [[s0154-cobalt-strike|Cobalt Strike]], [[mimikatz|Mimikatz]], [[psexec|PsExec]], Metasploit e frameworks de red team são frequentemente reproveitadas por adversários para executar comportamentos pós-comprometimento: movimentação lateral, escalada de privilégios, exfiltração e persistência. A popularidade dessas ferramentas entre equipes de segurança ofensiva as torna difíceis de bloquear categoricamente, pois o uso legítimo coexiste com o malicioso no mesmo ambiente corporativo. Adversários também utilizam ferramentas para fins de teste de evasão - por exemplo, submetendo amostras de malware a soluções de antivírus e [[t1562-impair-defenses|EDR]] para válidar se a detecção é evitada antes de lançar o ataque real. Isso cria um ciclo de feedback no qual os atacantes refinam suas técnicas antes da operação principal. **Contexto Brasil/LATAM:** No Brasil, grupos como [[g1004-lapsus|LAPSUS$]] utilizaram ferramentas amplamente disponíveis - como Ngrok para túnel reverso e ferramentas de acesso remoto comerciais - em seus ataques a empresas de tecnologia e telecomúnicações latino-americanas. O mercado de ferramentas de acesso remoto trojanizado (RATs comerciais com backdoor) é especialmente ativo em fóruns de cibercrime voltados ao ecossistema LATAM. Grupos de [[campaign|campanhas]] financeiramente motivadas na região frequentemente recorrem a ferramentas como [[s0385-njrat|njRAT]] e [[s1087-asyncrat|AsyncRAT]], adquiridas em fóruns da dark web por valores irrisórios. ## Attack Flow ```mermaid graph TB A[Reconhecimento<br/>de Alvo] --> B[Aquisição<br/>de Ferramenta] B --> C{T1588.002\nTool}:::highlight C --> D[Teste e<br/>Evasão] D --> E[Implantação<br/>na Operação] classDef highlight fill:#e74c3c,color:#fff ``` ## Como Funciona ### 1. Preparação - Seleção e Aquisição O adversário identifica quais capacidades são necessárias para os objetivos da operação (acesso inicial, movimento lateral, exfiltração) e seleciona ferramentas adequadas. A aquisição pode ocorrer via download direto de repositórios públicos (GitHub, GitLab), compra em fóruns underground, roubo de ferramentas de outras organizações ou cracking de versões trial de produtos como [[s0154-cobalt-strike|Cobalt Strike]]. ### 2. Execução - Adaptação e Configuração Antes do uso, as ferramentas passam por customização para reduzir a probabilidade de detecção: renomeação de binários, alteração de strings identificadoras, empacotamento com packers (ver [[t1027-002-software-packing|T1027.002]]) ou tunelamento por protocolos legítimos. Ferramentas de C2 comerciais são configuradas com infraestrutura de redirecionamento para dificultar a atribuição. ### 3. Pós-execução - Cobertura de Rastros Após o uso, adversários removem artefatos das ferramentas do sistema comprometido, apagam logs relevantes e em alguns casos destroem a infraestrutura de C2 para dificultar a análise forense. A ferramenta em si raramente é deixada no sistema após a missão ser concluída. ## Detecção **Event IDs relevantes (Windows):** | Event ID | Fonte | O que monitora | |----------|-------|----------------| | 4688 | Security | Criação de processos - detecta execução de ferramentas conhecidas | | 7045 | System | Novo serviço instalado - Cobalt Strike e similares criam serviços | | 4663 | Security | Acesso a objetos - uso de PsExec e ferramentas de admin remoto | | 1 | Sysmon | ProcessCreaté - hash, linha de comando e processo pai | | 22 | Sysmon | DNSEvent - resolução de C2 domains por ferramentas de C2 | **Sigma Rule - Detecção de Ferramenta de Red Team:** ```yaml title: Execução de Ferramenta de Red Team Conhecida id: a9c4b3d2-1e5f-4a8b-9c2d-3f6e7a8b9c0d status: experimental description: > Detecta a execução de ferramentas comuns de red team/ofensivas frequentemente reproveitadas por adversários em ambientes corporativos. author: RunkIntel daté: 2026-03-24 logsource: category: process_creation product: windows detection: selection: Image|endswith: - '\mimikatz.exe' - '\psexec.exe' - '\psexec64.exe' - '\cobaltrike.exe' - '\beacon.exe' - '\meterpreter.exe' Image|contains: - 'cobaltstrike' - 'metasploit' condition: selection falsepositives: - Equipes de red team internas com aprovação prévia documentada - Ferramentas de pentest em ambientes de laboratório isolados level: high tags: - attack.resource_development - attack.t1588.002 ``` ## Mitigação | Controle | Mitigação | Aplicação Prática para Organizações Brasileiras | |----------|-----------|------------------------------------------------| | [[m1056-pre-compromise\|M1056 - Pre-compromise]] | Difícil de detectar antes do uso | Monitorar fóruns underground brasileiros e LATAM para identificação de ferramentas sendo discutidas contra setores específicos | | Application Allowlisting | Bloquear binários não autorizados | Implementar política de allowlist com AppLocker ou WDAC - especialmente crítico em servidores de aplicação | | EDR Comportamental | Detectar comportamento, não assinatura | Soluções de EDR com análise comportamental identificam uso malicioso de ferramentas legítimas mesmo sem assinatura conhecida | | Monitoramento de Rede | Detectar C2 de ferramentas conhecidas | Inspeção de tráfego TLS com decriptação para identificar padrões de beaconing de Cobalt Strike e similares | | Threat Intelligence | IOCs de ferramentas ativas | Assinar feeds de inteligência com TTPs e IOCs de ferramentas utilizadas por grupos ativos no Brasil | ## Threat Actors - [[g0105-darkvishnya|DarkVishnya]] - Grupo especializado em ataques a bancos do Leste Europeu; utilizou ferramentas comerciais implantadas fisicamente em redes bancárias - [[g0010-turla|Turla]] - APT russo com histórico extenso de uso de ferramentas open source adaptadas para fins de espionagem - [[g0100-inception-framework|Inception]] - Grupo de espionagem que empregou ferramentas de acesso remoto para campanhas de longa duração - [[g0059-magic-hound|Magic Hound]] - APT iraniano com foco em espionagem; utilizou ferramentas públicas combinadas com malware customizado - [[g1002-bitter|BITTER]] - Grupo de espionagem sul-asiático com uso intensivo de RATs e ferramentas públicas modificadas - [[g0094-kimsuky|Kimsuky]] - APT norte-coreano com amplo repertório de ferramentas reproveitadas para coleta de inteligência - [[g0098-blacktech|BlackTech]] - Grupo asiático com foco em propriedade intelectual; frequentemente usa ferramentas de acesso remoto legítimas - [[g0069-mango-sandstorm|MuddyWater]] - APT iraniano que utiliza ferramentas de administração remota legítimas como vetor de persistência - [[g1004-lapsus|LAPSUS$]] - Grupo com forte presença LATAM; utilizou ferramentas de acesso remoto amplamente disponíveis em ataques de alto perfil - [[g0077-leafminer|Leafminer]] - Grupo de espionagem com uso extensivo de ferramentas públicas para reconhecimento e acesso ## Software Associado - [[s0681-lizar|Lizar]] - Framework de pós-exploração modular utilizado como substituto do Cobalt Strike por grupos financeiramente motivados; detectado em campanhas contra instituições financeiras --- *Fonte: [MITRE ATT&CK - T1588.002](https://attack.mitre.org/techniques/T1588/002)*