# T1588 - Obtain Capabilities ## Descrição Em vez de desenvolver suas próprias capacidades ofensivas internamente, adversários frequentemente optam por adquiri-las de fontes externas - sejá comprando, baixando gratuitamente ou roubando. Essas capacidades incluem [[t1588-001-malware|malware]] pronto para uso, [[t1588-005-exploits|exploits]] para vulnerabilidades conhecidas, [[t1588-004-digital-certificates|certificados digitais]], [[t1588-003-code-signing-certificates|certificados de assinatura de código]] e até informações sobre [[t1588-006-vulnerabilities|vulnerabilidades]] ainda não divulgadas públicamente. Essa abordagem reduz o custo e o tempo de preparação de uma operação, ao mesmo tempo que dificulta a atribuição técnica dos ataques. O mercado para essas capacidades é vasto e acessível. Adversários podem adquirir ferramentas em fóruns criminosos da dark web, como marketplaces de malware-as-a-service (MaaS), ou negociar diretamente com corretores de acesso inicial e vendedores especializados em offensive security. Além de comprar, grupos mais sofisticados roubam capacidades de outros atores - inclusive de concorrentes no ecossistema de ameaças - saqueando repositórios privados, interceptando comúnicações ou comprometendo a infraestrutura de outros grupos. A sub-técnica [[t1588-007-artificial-intelligence|T1588.007 - Artificial Intelligence]] representa uma evolução recente: o uso de modelos de linguagem e IA generativa para acelerar o desenvolvimento ou personalização de capacidades ofensivas. **Contexto Brasil/LATAM:** O Brasil é um dos mercados mais ativos de cibercrime do mundo, e a técnica T1588 está profundamente enraizada na operação de grupos como o [[red-eyes-group|Red Eyes Group]] e gangues de ransomware que operam na região. Plataformas de MaaS como o [[s0531-grandoreiro|Grandoreiro]] e bankers brazileiros são regularmente vendidos ou alugados em fóruns fechados, abastecendo campanhas contra o setor financeiro nacional. Grupos como o [[g1004-lapsus|LAPSUS$]], de origem sul-americana, demonstraram sofisticação ao obter credenciais e ferramentas de terceiros para escalar operações contra alvos globais. A obtenção de [[t1588-004-digital-certificates|certificados digitais]] legítimos para assinar malware é prática documentada em campanhas de spear-phishing contra empresas e órgãos governamentais brasileiros. ## Attack Flow ```mermaid graph TB A([Planejamento<br/>do ataque]) --> B([Identificação<br/>de capacidades<br/>necessárias]) B --> C{{"T1588<br/>Obtain<br/>Capabilities"}}:::highlight C --> D([Compra / Download<br/>/ Roubo]) D --> E([Capacidade<br/>pronta para uso<br/>em operações]) classDef highlight fill:#e74c3c,color:#fff,stroke:#c0392b ``` ## Como Funciona 1. **Identificação da necessidade:** O adversário avalia quais capacidades são necessárias para a operação planejada - acesso inicial, persistência, evasão de detecção, exfiltração - e determina se é mais vantajoso adquiri-las externamente do que desenvolver internamente, considerando custo, tempo e risco de exposição. 2. **Aquisição da capacidade:** O adversário acessa marketplaces criminosos (dark web, Telegram, fóruns fechados), repositórios públicos de ferramentas ofensivas (adaptadas para uso malicioso) ou contatos diretos com vendedores especializados. A aquisição pode envolver criptomoedas, escambo de informações ou roubo direto de outras operações. Certificados digitais podem ser obtidos com identidades falsas ou roubados de empresas comprometidas. 3. **Adaptação e staging:** Após adquirir a capacidade, o adversário a adapta ao alvo específico - personalizando configurações de C2, reconfigurando [[t1588-001-malware|malware]] com novos servidores de controle, integrando [[t1588-005-exploits|exploits]] ao arsenal operacional e verificando evasão contra soluções de segurança. A capacidade adquirida é então armazenada em infraestrutura preparada, como [[t1584-003-virtual-private-server|VPS comprometidos]] ou servidores próprios, pronta para uso nas fases seguintes da operação. ## Detecção A técnica T1588 ocorre majoritariamente fora do perímetro da organização-alvo (fase PRE), o que torna a detecção direta extremamente limitada. O foco deve ser na correlação de indicadores indiretos durante as fases subsequentes do ataque. **Event IDs relevantes (Windows):** | Event ID | Fonte | Relevância | |----------|-------|------------| | 4688 | Security | Criação de processo - execução de ferramenta adquirida | | 7045 | System | Instalação de novo serviço - implantação de capacidade | | 4657 | Security | Modificação de registro - persistência de malware adquirido | | 1 | Sysmon | Process creation - linha de comando de ferramentas ofensivas | | 3 | Sysmon | Network connection - comunicação C2 de malware comercial | | 22 | Sysmon | DNS query - resolução de domínios de infraestrutura C2 | **Sigma Rule - detecção de ferramentas ofensivas conhecidas:** ```yaml title: Execução de Ferramenta Ofensiva Conhecida (Obtain Capabilities) id: a7c3e2f1-0b4d-4a8e-9c1f-2d5b6e7f8a9b status: experimental description: > Detecta execução de ferramentas comumente obtidas por adversários via T1588, incluindo frameworks de C2 e RATs comerciais utilizados em campanhas na América Latina. author: RunkIntel daté: 2026-03-24 tags: - attack.resource_development - attack.t1588 - attack.t1588.001 - attack.t1588.002 logsource: category: process_creation product: windows detection: selection_tools: Image|endswith: - '\cobalt_strike_artifact.exe' - '\beacon.exe' - '\meterpreter.exe' - '\njrat.exe' - '\asyncrat.exe' selection_cmdline: CommandLine|contains: - 'msfvenom' - 'cobalt strike' - 'cobaltstrike' - 'sliver' - 'havoc' condition: selection_tools or selection_cmdline falsepositives: - Ambientes de laboratório de segurança ofensiva (red team) - Treinamentos de pentest internos level: high ``` ## Mitigação | Controle | Descrição | Recomendação para Organizações Brasileiras | |----------|-----------|-------------------------------------------| | [[m1056-pre-compromise\|M1056 - Pre-compromise]] | Mitigação proativa antes do comprometimento | Monitorar dark web e fóruns por menções à organização ou credenciais vazadas; usar serviços de threat intelligence como alertas de breach | | Threat Intelligence de Mercado | Monitorar marketplaces criminosos | Assinar feeds de inteligência que rastreiam venda de acesso a redes brasileiras; integrar IOCs de campanhas regionais (CERT.br, Shadow Server) | | Detecção por Comportamento | Focar no comportamento pós-aquisição | Implantar EDR com regras específicas para ferramentas de C2 comerciais (Cobalt Strike, Sliver, Havoc) - comuns em incidentes de ransomware no Brasil | | Validação de Certificados | Verificar integridade de assinaturas digitais | Implementar políticas de controle de aplicativos (WDAC/AppLocker) que rejeitem executáveis assinados por autoridades desconhecidas ou revogadas | | Hunting Proativo | Caçar capacidades antes da detonação | Realizar threat hunting periódico buscando artefatos de frameworks ofensivos em endpoints e tráfego de rede não catalogado | ## Threat Actors Esta técnica é amplamente utilizada por grupos que operam contra alvos brasileiros e latino-americanos, especialmente aqueles que preferem velocidade operacional à singularidade técnica. - **Grupos de ransomware** que atacam o Brasil frequentemente adquirem acesso inicial de brokers especializados (Initial Access Brokers) em vez de comprometer sistemas diretamente, combinando T1588 com [[t1190-exploit-public-facing-application|T1190]] e [[t1566-phishing|T1566]]. - [[g1004-lapsus|LAPSUS$]]: grupo sul-americano conhecido por adquirir credenciais e acessos em fóruns criminosos para escalar ataques a grandes corporações globais - prática diretamente alinhada a esta técnica. - Grupos de cibercrime financeiro brasileiros - como operadores de banking trojans - regularmente compram e vendem variantes de malware como o [[s0531-grandoreiro|Grandoreiro]] e similares em fóruns fechados nacionais. ## Software Associado Capacidades comumente obtidas via T1588 e utilizadas em campanhas na região: - [[t1588-001-malware|T1588.001 - Malware]]: banking trojans, RATs e ransomware adquiridos em marketplaces criminosos - [[t1588-002-tool|T1588.002 - Tool]]: frameworks de C2 como Cobalt Strike (licenças piratas ou crackeadas), Sliver e Havoc - [[t1588-003-code-signing-certificates|T1588.003 - Code Signing Certificates]]: certificados roubados ou emitidos com identidades falsas para assinar payloads - [[t1588-004-digital-certificates|T1588.004 - Digital Certificates]]: certificados TLS para infraestrutura C2 que mimetiza serviços legítimos - [[t1588-005-exploits|T1588.005 - Exploits]]: exploits para vulnerabilidades como [[cve-2021-44228|CVE-2021-44228 (Log4Shell)]] adquiridos antes da correção massiva - [[t1588-006-vulnerabilities|T1588.006 - Vulnerabilities]]: informações sobre vulnerabilidades zero-day compradas de corretores especializados ## Sub-técnicas - [[t1588-001-malware|T1588.001 - Malware]] - [[t1588-002-tool|T1588.002 - Tool]] - [[t1588-003-code-signing-certificates|T1588.003 - Code Signing Certificates]] - [[t1588-004-digital-certificates|T1588.004 - Digital Certificates]] - [[t1588-005-exploits|T1588.005 - Exploits]] - [[t1588-006-vulnerabilities|T1588.006 - Vulnerabilities]] - [[t1588-007-artificial-intelligence|T1588.007 - Artificial Intelligence]]