t1608-002-upload-tool

# T1608.002 - Upload Tool ## Técnica Pai Esta é uma sub-técnica de [[t1608-stage-capabilities|T1608 - T1608 - Stage Capabilities]]. ## Descrição Upload Tool é uma subtécnica da família [[t1608-stage-capabilities|T1608 - Stage Capabilities]] em que adversários disponibilizam ferramentas legítimas ou de código aberto em infraestrutura própria ou comprometida, tornando-as acessíveis para uso durante as fases operacionais do ataque. Diferente de malware desenvolvido sob medida, as ferramentas enviadas por esse método geralmente têm usos legítimos - utilitários de administração remota, frameworks de teste de penetração ou coletores de credenciais. O adversário "transforma" uma ferramenta benigna em arma ao colocá-la em um servidor web acessível ao alvo, preparando-se para acionar [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] no momento oportuno. > **Contexto Brasil/LATAM:** Grupos que atacam o setor financeiro e governamental brasileiro frequentemente pré-posicionam ferramentas como [[s0154-cobalt-strike|Cobalt Strike]], Mimikatz e ngrok em servidores comprometidos hospedados em provedores de cloud brasileiros ou em instâncias do tipo VPS na América Latina. Isso reduz a latência de download e dificulta o bloqueio geográfico por parte das equipes de defesa. O [[g1051-medusa-ransomware|Medusa Group]], ativo em ataques de ransomware contra empresas brasileiras, utiliza essa abordagem para pré-posicionar seus loaders antes de acionar o estágio de execução. --- ## Attack Flow ```mermaid graph TB A([Adversário]) --> B[Adquire Infraestrutura T1583 / T1584] B --> C{Upload Tool\nT1608.002}:::highlight C --> D[Servidor Web GitHub / PaaS] D --> E[Vítima faz download T1105] E --> F[Execução T1059] F --> G[Movimento Lateral T1021] classDef highlight fill:#e74c3c,color:#fff,font-weight:bold ``` --- ## Como Funciona **Passo 1 - Preparação da infraestrutura:** O adversário obtém ou compromete um servidor acessível à internet - sejá via [[t1583-acquire-infrastructure|T1583 - Acquire Infrastructure]] (VPS, domínio registrado) ou [[t1584-compromise-infrastructure|T1584 - Compromise Infrastructure]] (servidor de terceiro invadido). Plataformas PaaS como GitHub, GitLab ou serviços de storage na nuvem também são utilizados, pois apresentam maior reputação e menor chance de bloqueio por soluções de proxy corporativo. **Passo 2 - Upload da ferramenta:** A ferramenta - que pode ser PsExec, Mimikatz, um payload do [[s0154-cobalt-strike|Cobalt Strike]] ou um RAT comercial - é carregada no servidor de staging. Em alguns casos, adversários modificam levemente os binários para evasão de hash e assinatura, mas mantêm a funcionalidade original intacta. **Passo 3 - Acionamento durante o ataque:** Uma vez que o adversário obtém acesso inicial ao ambiente alvo (via phishing, exploit, etc.), ele aciona [[t1105-ingress-tool-transfer|Ingress Tool Transfer]] para puxar a ferramenta do servidor de staging diretamente para a vítima, usando PowerShell, `certutil`, `bitsadmin` ou `curl`. A ferramenta então é executada localmente, habilitando as próximas fases do ataque. --- ## Detecção > [!warning] Detecção é difícil na fase PRE > Esta técnica ocorre fora do perímetro da vítima. A detecção direta requer monitoramento de threat intelligence externa (feeds de C2, reputação de domínio). Internamente, o foco deve ser na etapa subsequente: o download da ferramenta pelo host comprometido. **Event IDs relevantes (quando a ferramenta é baixada pela vítima):** | Event ID | Fonte | Descrição | |----------|-------|-----------| | 4688 | Windows Security | Criação de processo - detectar `certutil -urlcache`, `bitsadmin /transfer`, `curl` | | 7045 | System | Novo serviço instalado - ferramenta instalada como serviço | | 3 | Sysmon | Conexão de rede de processo incomum baixando binário | | 1 | Sysmon | Criação de processo com linha de comando suspeita | | 11 | Sysmon | FileCreaté em diretório temporário após download | **Regra Sigma - Download de ferramenta via certutil:** ```yaml title: Certutil Download de Ferramenta Remota id: b37e0f3b-c2a1-4b1a-9d2f-0e5a7c8b1234 status: experimental description: > Detecta uso do certutil para baixar arquivos de servidores externos, padrão comum em T1608.002 / T1105 (Upload Tool / Ingress Tool Transfer). logsource: category: process_creation product: windows detection: selection: CommandLine|contains: - 'certutil' - '-urlcache' - '-split' - '-f' CommandLine|contains: - 'http' condition: selection falsepositives: - Administradores usando certutil legitimamente para download de certificados level: high tags: - attack.resource_development - attack.t1608.002 - attack.t1105 ``` --- ## Mitigação > [!tip] Foco na detecção downstream > Como T1608.002 ocorre fora do ambiente da vítima, a mitigação mais eficaz é bloquear o download da ferramenta e o seu uso, não o upload em si. | Controle | Descrição | Prioridade para Orgs Brasileiras | |----------|-----------|----------------------------------| | [[m1056-pre-compromise\|M1056 - Pre-compromise]] | Dificultar reconhecimento - não expor informações que ajudem o adversário a planejar o staging | Média | | Proxy Web com TLS Inspection | Inspecionar tráfego HTTPS para detectar downloads de binários PE de servidores externos | Alta | | Bloqueio de ferramentas de download nativas | Restringir uso de `certutil`, `bitsadmin`, `mshta`, `regsvr32` via AppLocker ou WDAC | Alta | | Threat Intelligence de C2 | Assinar feeds de reputação de domínio e IP para bloquear servidores de staging conhecidos | Alta | | EDR com detecção comportamental | Detectar processos criando arquivos PE em `%TEMP%` ou `%APPDATA%` após conexão de rede | Alta | | Controle de integridade de software | Allowlisting via Windows Defender Application Control (WDAC) para bloquear execução de binários não assinados | Média | --- ## Threat Actors e Software > [!note] Grupos que utilizam T1608.002 **[[g1051-medusa-ransomware|Medusa Group]]** - Grupo de ransomware ativo em ataques contra empresas brasileiras de médio e grande porte, nos setores de saúde, manufatura e varejo. Utiliza servidores comprometidos no Brasil para hospedar seus loaders e [[s0154-cobalt-strike|Cobalt Strike]] beacons antes de acionar o download nas vítimas via PowerShell. **[[g0027-threat-group-3390|Threat Group-3390]]** (APT27/Emissary Panda) - Grupo de espionagem vinculado à China, ativo desde 2010. Realiza upload de ferramentas como PlugX e China Chopper em servidores web comprometidos, utilizados como pontos de staging para campanhas de espionagem contra governos e setor de energia - incluindo alvos na América Latina. **Ferramentas frequentemente pré-posicionadas via T1608.002:** - [[s0154-cobalt-strike|Cobalt Strike]] - framework C2 comercial amplamente abusado - [[mimikatz|Mimikatz]] - coleta de credenciais Windows - [[psexec|PsExec]] - execução remota via SMB - ngrok / frp - tunelamento reverso para evasão de firewall --- *Fonte: [MITRE ATT&CK - T1608.002](https://attack.mitre.org/techniques/T1608/002)*