# T1608 - Stage Capabilities ## Descrição **Stage Capabilities** representa a fase de preparação logística em que o adversário posiciona ferramentas, exploits, malware, certificados e infraestrutura de suporte **antes** de iniciar o ataque propriamente dito. É a diferença entre um ator amador que improvisa e um grupo APT que planejá cada etapa com precisão cirúrgica. Após desenvolver ou obter capacidades ofensivas (via [[t1587-develop-capabilities|Develop Capabilities]] ou [[t1588-obtain-capabilities|Obtain Capabilities]]), o adversário precisa hospedá-las em locais acessíveis ao alvo ou à própria infraestrutura de ataque. Isso inclui upload de malware, instalação de certificados TLS para C2 cifrado, preparação de páginas de phishing com payload embutido, e posicionamento de ferramentas em servidores intermediários para transferência posterior. > **Contexto Brasil / LATAM:** Grupos de ransomware que operam no Brasil - como afiliados do [[lockbit|LockBit]], [[black-basta|Black Basta]] e operadores do [[g1051-medusa-ransomware|Medusa Group]] - realizam staging extensivo antes de cada intrusão. Isso inclui subir stagers em servidores VPS brasileiros (para reduzir latência e escapar de bloqueios geográficos), hospedar implantes em plataformas de nuvem regionais como UOL Host e Locaweb, e configurar domínios `.com.br` para páginas de phishing direcionadas a marcas locais. O [[g0129-mustang-panda|Mustang Panda]] - ativo em campanhas de espionagem contra governo e entidades diplomáticas no Brasil - faz uso intensivo de staging via GitHub e Pastebin para entregar payloads de segunda fase, aproveitando que essas plataformas raramente são bloqueadas por proxies corporativos. > [!warning] Fase invisível ao defensor > Stage Capabilities ocorre **inteiramente fora do perímetro da vítima**. Nenhum alerta é gerado nos sistemas defensivos internos durante esta fase - a visibilidade só surge na fase de execução ou movimentação lateral. --- ## Attack Flow ```mermaid graph TB A([Desenvolver<br/>Capacidades T1587]) --> C{T1608\nStage Capabilities} B([Obter<br/>Capacidades T1588]) --> C C:::active --> D[Upload Malware<br/>T1608.001] C --> E[Upload Tool<br/>T1608.002] C --> F[Instalar Certificado<br/>T1608.003] C --> G[Drive-by Target<br/>T1608.004] C --> H[Link Target<br/>T1608.005] C --> I[SEO Poisoning<br/>T1608.006] D --> J([Acesso Inicial<br/>T1189 / T1566]) E --> J F --> K([C2 Cifrado<br/>T1573]) G --> J H --> J I --> J classDef active fill:#e74c3c,color:#fff,stroke:#c0392b ``` --- ## Como Funciona ### Passo 1 - Seleção da plataforma de staging O adversário escolhe onde hospedar suas capacidades com base em dois critérios: **acessibilidade ao alvo** (o alvo consegue alcançar o servidor?) e **resistência a derrubada** (o servidor é resiliente a takedowns?). Opções comuns incluem infraestrutura própria comprada via [[t1583-acquire-infrastructure|Acquire Infrastructure]], servidores comprometidos ([[t1584-compromise-infrastructure|Compromise Infrastructure]]), serviços de nuvem pública (AWS S3, GitHub, Pastebin, Google Drive) e plataformas de PaaS. Serviços legítimos são preferidos por misturarem tráfego malicioso com tráfego normal. ### Passo 2 - Posicionamento das capacidades Com a infraestrutura definida, o adversário faz o upload ou configura cada componente necessário para a campanha: malware de primeiro estágio ([[t1608-001-upload-malware|T1608.001]]), ferramentas de pós-exploração ([[t1608-002-upload-tool|T1608.002]]), certificados TLS para comunicação C2 segura ([[t1608-003-install-digital-certificate|T1608.003]]), páginas web com exploit ([[t1608-004-drive-by-target|T1608.004]]), páginas de phishing com link malicioso ([[t1608-005-link-target|T1608.005]]) ou resultados de busca envenenados por SEO ([[t1608-006-seo-poisoning|T1608.006]]). ### Passo 3 - Validação e ativação Antes de lançar a campanha, o adversário válida que todos os recursos estão acessíveis e funcionais: testa a entrega do payload, confirma que o certificado TLS está válido, verifica se os domínios resolvem corretamente, e garante que as páginas de phishing carregam sem erros. Somente após essa válidação o ataque é iniciado - com [[t1189-drive-by-compromise|Drive-by Compromise]], [[t1566-phishing|Phishing]] ou [[t1105-ingress-tool-transfer|Ingress Tool Transfer]]. --- ## Detecção > [!info] Detecção indireta > Como o staging ocorre fora do perímetro defensivo, a detecção primária depende de **threat intelligence externa** (domínios recém-registrados, IPs suspeitos, hashes de malware) e de **comportamento pós-staging** quando a vítima interage com a infraestrutura preparada. ### Event IDs relevantes (Windows) | Event ID | Fonte | Descrição | |----------|-------|-----------| | 3 | Sysmon | Network Connection - download de arquivo de domínio/IP com baixo histórico | | 7 | Sysmon | Image Loaded - DLL carregada de path temporário ou incomum após download | | 11 | Sysmon | File Creaté - criação de executável ou script em `%TEMP%`, `%APPDATA%` | | 22 | Sysmon | DNS Query - resolução de domínio com idade < 30 dias (novo domínio) | | 4688 | Security | Process Creaté - execução de arquivo baixado recentemente | ### Sigma Rule - Download e execução de payload de infraestrutura de staging ```yaml title: Stage Capabilities - Execução de arquivo baixado de infraestrutura suspeita id: b7c2a1d4-3e9f-4a82-bc51-2d3e4f5a6b78 status: experimental description: > Detecta execução de binário ou script criado em diretório temporário logo após conexão de rede, padrão associado a staging de capacidades (T1608) e transferência de ferramenta (T1105). author: RunkIntel daté: 2026-03-24 references: - https://attack.mitre.org/techniques/T1608 logsource: category: process_creation product: windows detection: selection_path: Image|contains: - '\AppData\Local\Temp\' - '\AppData\Roaming\' - '\Users\Public\' - '\ProgramData\' Image|endswith: - '.exe' - '.dll' - '.ps1' - '.vbs' - '.js' filter_known_legit: Image|contains: - '\Microsoft\' - '\Windows\System32\' condition: selection_path and not filter_known_legit falsepositives: - Instaladores legítimos que extraem arquivos em %TEMP% - Atualizações automáticas de software level: medium tags: - attack.resource-development - attack.t1608 - attack.defense-evasion - attack.t1105 ``` --- ## Mitigação | Controle | Descrição | Aplicabilidade Brasil | |----------|-----------|----------------------| | [[m1056-pre-compromise\|M1056 - Pre-compromise]] | Monitorar domínios semelhantes, IPs recém-alocados e certificados TLS emitidos para nomes suspeitos via CT logs | Relevante para SOCs de bancos, telecom e governo | | Bloqueio de serviços de nuvem não autorizados | Políticas de proxy que bloqueiam Pastebin, GitHub Raw, Discord CDN e outras plataformas usadas como staging | Adotado por grandes corporações; desafiador em PMEs | | Threat Intelligence de indicadores de staging | Assinar feeds de CTI (CISA KEV, [[sources\|CERT.br]], OTX) para receber IoCs de infraestrutura de staging ativa | Custo-benefício elevado para qualquer organização | | Certificaté Transparency Monitoring | Monitorar emissão de certificados TLS para domínios semelhantes à organização (homóglifos, typosquatting) | Essencial para bancos e fintechs com marcas conhecidas | | DNS Filtering e RPZ | Bloquear resolução de domínios com baixa reputação ou registrados recentemente | Barato e altamente eficaz para ambientes corporativos | | Controle de egresso de rede | Whitelist de destinos autorizados para comunicação de servidores; alertar em conexões fora do padrão | Fundamental para ambientes de infraestrutura crítica | --- ## Sub-técnicas - [[t1608-001-upload-malware|T1608.001 - Upload Malware]] - [[t1608-002-upload-tool|T1608.002 - Upload Tool]] - [[t1608-003-install-digital-certificate|T1608.003 - Install Digital Certificaté]] - [[t1608-004-drive-by-target|T1608.004 - Drive-by Target]] - [[t1608-005-link-target|T1608.005 - Link Target]] - [[t1608-006-seo-poisoning|T1608.006 - SEO Poisoning]] ## Threat Actors e Software Associados | Ator | Contexto de uso | |------|----------------| | [[g0129-mustang-panda\|Mustang Panda]] | Staging via GitHub e Google Drive para entrega de PlugX e Cobalt Strike contra alvos diplomáticos | | [[g0016-apt29\|APT29]] | Staging extensivo em infraestrutura cloud para operações de espionagem de longa duração | | [[lockbit-ransomware\|LockBit]] | Staging de ransomware e ferramentas em servidores VPS antes de cada intrusão | | [[g1051-medusa-ransomware\|Medusa Group]] | Staging de implantes em infraestrutura comprometida de terceiros para ataque ao Brasil | | [[g0046-fin7\|FIN7]] | Staging de Carbanak e frameworks de C2 em servidores de hosting comprometidos | **Técnicas relacionadas:** [[t1587-develop-capabilities|T1587 - Develop Capabilities]], [[t1588-obtain-capabilities|T1588 - Obtain Capabilities]], [[t1583-acquire-infrastructure|T1583 - Acquire Infrastructure]], [[t1584-compromise-infrastructure|T1584 - Compromise Infrastructure]], [[t1189-drive-by-compromise|T1189 - Drive-by Compromise]], [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]], [[t1573-002-asymmetric-cryptography|T1573 - Encrypted Channel]] --- *Fonte: [MITRE ATT&CK - T1608](https://attack.mitre.org/techniques/T1608)*