# T1588.005 - Exploits ## Descrição Adversários adquirem exploits prontos - comprando, roubando ou baixando de fontes públicas e privadas - para utilizar em operações de ataque sem a necessidade de desenvolver capacidades ofensivas próprias. Um exploit é um código ou técnica que se aproveita de uma vulnerabilidade em software ou hardware para causar comportamento não intencional, tipicamente resultando em execução de código arbitrário, escalada de privilégios ou negação de serviço. No ecossistema de ameaças brasileiro e latino-americano, a aquisição de exploits é prática comum tanto entre grupos APT patrocinados por Estados (como [[g0094-kimsuky|Kimsuky]] da Coreia do Norte) quanto entre grupos de ransomware financeiramente motivados. O mercado de exploits no Brasil é movimentado principalmente por fóruns clandestinos em português, com exploits para vulnerabilidades em sistemas amplamente usados no país - como SAP (muito adotado em empresas brasileiras), sistemas bancários legados e soluções de gestão fiscal como **NFe/SEFAZ** - sendo itens de alto valor. > **Técnica pai:** [[t1588-obtain-capabilities|T1588 - Obtain Capabilities]] O ciclo de vida de um exploit adquirido inclui fases distintas do ataque: o exploit de acesso inicial via [[t1190-exploit-public-facing-application|Exploit Public-Facing Application]], execução de código via [[t1203-exploitation-for-client-execution|Exploitation for Client Execution]], e elevação de privilégios via [[t1068-exploitation-privilege-escalation|Exploitation for Privilege Escalation]]. Grupos também utilizam exploits para evasão de defesas via [[t1211-exploitation-for-defense-evasion|Exploitation for Defense Evasion]], acesso a credenciais via [[t1212-exploitation-for-credential-access|Exploitation for Credential Access]] e movimentação lateral via [[t1210-exploitation-of-remote-services|Exploitation of Remote Services]]. Um fenômeno relevante para o contexto LATAM é o **exploit brokerage**: grupos como o Kimsuky comprometem ativamente pesquisadores de segurança para roubar exploits em desenvolvimento - uma prática documentada pelo Google TAG que afeta a comunidade de pesquisa de vulnerabilidades no Brasil e na Argentina. --- ## Attack Flow ```mermaid graph TB A([Reconhecimento]) --> B([Resource Development]) B --> C{T1588.005\nObtain Exploits}:::highlight C --> D([Acesso Inicial<br/>T1190]) C --> E([Execução de Cliente<br/>T1203]) C --> F([Escalada de Privilégio<br/>T1068]) D --> G([Movimentação Lateral<br/>T1210]) E --> G F --> H([Persistência +<br/>Exfiltração]) G --> H classDef highlight fill:#e74c3c,color:#fff,stroke:#c0392b ``` --- ## Como Funciona **Passo 1 - Aquisição do Exploit** O adversário obtém o exploit por diferentes vias: (a) **compra** em marketplaces de exploits como Exodus Intelligence, Zerodium ou fóruns clandestinos em português (BR-based darknet); (b) **download** de PoCs públicos em repositórios como GitHub, Exploit-DB ou Packet Storm após divulgação de CVE; (c) **roubo** via comprometimento de pesquisadores de segurança ou empresas especializadas. Grupos APT como [[g0094-kimsuky|Kimsuky]] são conhecidos por atacar pesquisadores de segurança para roubar exploits não públicados, usando perfis falsos em redes sociais e convites para "colaborações". **Passo 2 - Adaptação e Armamento** Exploits brutos raramente funcionam diretamente em ambientes de produção. O adversário realiza o **weaponization**: adapta o exploit para o alvo específico (versão do sistema, arquitetura, mitigações como DEP/ASLR/CFG), integra-o a frameworks como [[s0154-cobalt-strike|Cobalt Strike]] ou [[metasploit|Metasploit]], e testa em ambientes similares ao alvo antes da operação real. Exploits para sistemas brasileiros frequentemente necessitam adaptação para versões de software mantidas por SERPRO, Dataprev ou fornecedores nacionais. **Passo 3 - Utilização Operacional** O exploit é disparado contra o alvo no momento adequado da operação - geralmente após reconhecimento extensivo do ambiente. Em campanhas de espionagem (como as do [[g1003-ember-bear|Ember Bear]]), o exploit é usado para ganhar acesso inicial a redes governamentais ou de infraestrutura crítica. Em campanhas de ransomware, exploits são usados para escalada de privilégios após o acesso inicial, permitindo comprometer controladores de domínio antes da execução do payload de criptografia. --- ## Detecção ### Event IDs Relevantes (Windows) | Event ID | Canal | Evento | |----------|-------|--------| | 1 | Sysmon | Criação de processo suspeito após aplicação exposta | | 3 | Sysmon | Conexão de rede a partir de processo não-esperado | | 7 | Sysmon | Carregamento de DLL não assinada | | 4688 | Security | Criação de novo processo (auditoria de processos) | | 10 | Sysmon | Acesso a processo (típico de exploits de privilege escalation) | ### Indicadores de Exploração em Andamento - Processos filhos inesperados de aplicações de serviço (IIS, Apache, Tomcat, Exchange) - `cmd.exe` ou `powershell.exe` como filho de `w3wp.exe`, `java.exe` ou `mssql.exe` - Leituras de memória cruzada entre processos de diferentes integridade - Crashes frequentes em aplicações após tentativas de conexão externas - PoCs públicos para CVEs recentes executados < 72h após divulgação ### Sigma Rule ```yaml title: Processo Suspeito Filho de Serviço Web - Possível Exploração id: b7d3e4f2-9c1a-4b8d-a2e5-3f6c8d0e2a4b status: experimental description: > Detecta criação de shells ou ferramentas de recon como processos filhos de serviços web/banco de dados, indicativo de exploração bem-sucedida (T1588.005) author: RunkIntel daté: 2026-03-24 logsource: product: windows category: process_creation detection: selection_parent: ParentImage|endswith: - '\w3wp.exe' - '\tomcat.exe' - '\java.exe' - '\sqlservr.exe' - '\httpd.exe' selection_child: Image|endswith: - '\cmd.exe' - '\powershell.exe' - '\wscript.exe' - '\cscript.exe' - '\mshta.exe' - '\certutil.exe' condition: selection_parent and selection_child fields: - ParentImage - Image - CommandLine - User - Computer falsepositives: - Scripts de manutenção legítimos invocados por servidores de aplicação - Deploy pipelines que executam scripts via serviço web level: high tags: - attack.resource_development - attack.t1588.005 - attack.execution - attack.t1190 ``` --- ## Mitigação | ID | Mitigação | Aplicação para Organizações Brasileiras | |----|-----------|----------------------------------------| | [[m1056-pre-compromise\|M1056 - Pre-compromise]] | Dificultar aquisição antes do ataque | Não é possível impedir compra de exploits; foco em reduzir superfície de ataque e aplicar patches com urgência (especialmente CVEs no CISA KEV) | | Gerenciamento de Vulnerabilidades | Programa de patching estruturado | Priorizar CVEs com `epss-score > 0.5` e status CISA KEV; ambientes regulados (BACEN, ANATEL, ANS) devem seguir cronograma máximo de 30 dias | | Segmentação de Rede | Reduzir impacto de exploração bem-sucedida | Isolar sistemas legados brasileiros (SAP ECC 6.0, sistemas TOTVS antigos) em VLANs com acesso mínimo necessário | | Mitigações de Exploração | DEP, ASLR, CFG, Exploit Guard | Habilitar Windows Defender Exploit Guard em todos os servidores; configurar políticas via Group Policy para ambientes Windows Server 2019+ | | Monitoramento de PoCs | Alertar em CVEs com PoC público | Assinar feeds como `github.com/nomi-sec/PoC-in-GitHub` e correlacionar com ativos expostos; integrar com CSPM para cloud | --- ## Threat Actors e Softwares ### Grupos que Utilizam Esta Técnica **[[g1003-ember-bear|Ember Bear]] (UNC2589 - Rússia/GRU)** Grupo APT russo ligado ao GRU com foco em Ucrânia e países da OTAN, incluindo operações de inteligência econômica contra empresas de energia e manufatura. Utiliza exploits para acesso inicial em campanhas de destruição de dados (wiper) e espionagem industrial. Monitorado pelo [[sources|CERT.br]] dado o impacto potencial em subsidiárias de empresas europeias com presença no Brasil. **[[g0094-kimsuky|Kimsuky]] (Coreia do Norte/RGB)** Grupo de espionagem norte-coreano focado em think tanks, governo e setor de defesa. Notório por comprometer pesquisadores de segurança para roubar exploits zero-day - o Google TAG documentou múltiplas campanhas usando perfis falsos no LinkedIn e Twitter/X para atrair pesquisadores. Ativo contra organiza​ções com vínculos com programas nucleares ou sanções econômicas; relevante para setores de energia e financeiro no Brasil dado o interesse norte-coreano em evasão de sanções. ### Fontes Comuns de Exploits (Contexto CTI) - **Exploit-DB / Packet Storm** - repositórios públicos de PoCs; monitorar CVEs críticos publicados - **Fóruns clandestinos em PT-BR** - mercados focados em exploits para sistemas fiscais e bancários brasileiros - **Brokers privados** - Zerodium, Exodus Intelligence (n-day e zero-day); usado principalmente por APTs patrocinados por Estados --- *Fonte: [MITRE ATT&CK - T1588.005](https://attack.mitre.org/techniques/T1588/005)*