- Novembro 9, 2025
1. Acesso Inicial (Initial Access)
Técnicas Observadas (MITRE ATT&CK)
- Exploit Public-Facing Application (T1190)
- External Remote Services (T1133)
Indicadores (IoCs / sinais de deteção)
Aplicações web / IIS
- Uploads inesperados de ficheiros .aspx, .ashx, .asmx
- Ficheiros recentes em:
- C:\inetpub\wwwroot\<site>\
- Portals\_default\
- DesktopModules\
Webshells comuns
- shell.aspx
- login.aspx
- default.aspx
- admin.aspx
WSUS
- Tráfego externo inesperado para o serviço
- Exceções ou falhas anómalas nos logs do WSUS
- Comunicação de saída do WSUS para a Internet sem justificação operacional
2. Execução (Execution)
Técnicas Observadas
- PowerShell (T1059.001)
- Command and Scripting Interpreter (T1059)
Indicadores
PowerShell
- Uso frequente de:
- -enc
- -nop
- -w hidden
Ferramentas de download
- Invoke-WebRequest
- curl.exe
- bitsadmin
- certutil
Processos suspeitos
- w3wp.exe a lançar:
- cmd.exe
- powershell.exe
- rundll32.exe
- Serviços WSUS a iniciar processos não esperados
3. Persistência (Persistence)
Técnicas Observadas
- Windows Services (T1543.003)
- Scheduled Tasks (T1053)
- Web Shell (T1505.003)
Indicadores
Serviços suspeitos
- Windows Update Monitor
- System Health
- Telemetry Service
Localização de binários
- %ProgramData%\
- %AppData%\
- C:\Users\Public\
Tarefas agendadas
- Execução recorrente de powershell.exe ou cmd.exe
Servidores web
- Alterações inesperadas em web.config
- Ficheiros web criados recentemente fora de ciclos normais de deploy
4. Escalada de Privilégios (Privilege Escalation)
Técnicas Observadas
- Exploitation for Privilege Escalation (T1068)
- Access Token Manipulation (T1134)
Indicadores
RasMan
- Criação de processos com NT AUTHORITY\SYSTEM sem contexto administrativo legítimo
- Relações parent/child anómalas nos logs de criação de processos
Drivers
- Execução de binários locais seguida de elevação imediata de privilégios
- Uso em cadeias: acesso inicial → EoP → payload final
5. Bypass a soluções de segurança (Defense Evasion)
Técnicas Observadas
- Obfuscated/Encrypted Files or Information (T1027)
- Impair Defenses (T1562)
Indicadores
- Tentativas de parar serviços de:
- Antivirus
- EDR
- Logging
- Scripts e payloads codificados em Base64
- Uso intensivo de pastas temporárias
6. Comando e Controlo (C2)
Técnicas Observadas
- Web Protocols (HTTPS) (T1071.001)
- DNS (T1071.004)
Indicadores
Rede
- Comunicação HTTPS para domínios recém-registados
- Beaconing regular (intervalos constantes)
- Servidores (WSUS/IIS) a iniciar tráfego externo inesperado
DNS
- Subdomínios longos ou aleatórios
- TTL muito baixo
7. Movimento Lateral (Lateral Movement)
Técnicas Observadas
- Valid Accounts (T1078)
- SMB / Admin Shares (T1021.002)
- WMI (T1047)
Indicadores
- Logins administrativos fora do horário laboral
- Acessos administrativos a partir de equipamentos dos utilizadores
- Execução remota via:
- wmic process call create
- psexec
8. Exfiltração (Exfiltration)
Técnicas Observadas
- Exfiltration Over C2 Channel (T1041)
Indicadores
- Criação de ficheiros:
- .zip
- .7z
- .rar
- Uploads HTTPS repetidos para destinos não habituais
- Leitura massiva de dados antes do tráfego de saída
9. Impacto (Impact)
Técnicas Observadas
- Ransomware (T1486)
- Inhibit System Recovery (T1490)
Indicadores
- Execução de:
vssadmin delete shadows /all /quiet
wmic shadowcopy delete
– Criação massiva/renomeação de ficheiros
– Notas de resgate em múltiplos diretórios
Cadeia de Ataque Mais Comum em Outubro de 2025
- Exploração de servidor (WSUS / aplicação web)
- Execução remota
- Persistência (serviço, tarefa ou webshell)
- Escalada para SYSTEM
- Comunicação C2
- Movimento lateral
- Exfiltração e/ou ransomware
Recomendações Operacionais
- Isolar e segmentar WSUS e servidores web
- Bloquear tráfego de saída não necessário em servidores
- Alertar para PowerShell ofuscado
- MFA obrigatório para contas administrativas
- Monitorização contínua de criação de serviços e tarefas
- Threat hunting alinhado com MITRE ATT&CK
