RECOMENDAÇÃO 06/2026

1. O CTIR Gov identificou uma possível campanha ativa do tipo "hands-on-keyboard" utilizando o framework Cobalt Strike contra órgãos públicos. O atacante utiliza técnicas avançadas de mascaramento de processos e foca no comprometimento de contas de serviço de infraestrutura de armazenamento (ex: SnapDrive) para realizar movimentação lateral. O impacto principal é a exfiltração de dados e o risco iminente de implantação de ransomware.

2. O incidente apresenta um fluxo operacional que exige atenção imediata das equipes de monitoramento (SOC):

• Vetor de Persistência e Execução: O atacante implanta o beacon do Cobalt Strike mascarado como um binário legítimo do sistema no caminho `C:\Windows\debug\svchost.exe`. Este é um indicador de alta confiança para Mascaramento (T1036.005 - MITRE), pois o `svchost.exe` legítimo nunca opera a partir deste diretório.

• Abuso de Identidade: Houve o uso indevido da conta de serviço snapdrive (solução NetApp). Atacantes priorizam essas contas para ganhar acesso direto a volumes de storage e backups, permitindo a Inibição da Recuperação do Sistema (T1490 - MITRE).

• Movimentação Lateral: O framework Cobalt Strike utiliza SMB Beacons para se propagar internamente através da porta TCP 445, frequentemente criando serviços remotos temporários para execução de código.

• Atores Relacionados: O perfil da invasão é compatível com grupos de Ransomware-as-a-Service (RaaS) como o RansomHub, conhecido por mapear redes extensivamente antes da detonação final.

3. Sugere-se as seguintes ações de prevenção e hardening:

• Controle de Execução (M1038 - MITRE): Implementar regras de AppLocker ou WDAC para impedir a execução de binários a partir de diretórios de escrita do usuário ou debug (`\debug\`, `\Temp\`, `\PerfLogs\`).

• Segmentação de Rede (M1030 - MITRE): Bloquear a comunicação direta entre estações de trabalho na porta 445. O tráfego SMB deve ser permitido apenas para fluxos estritamente necessários (ex: acesso a File Servers e Domain Controllers).

• Gestão de Identidade Privilegiada (M1026 - MITRE): Isolar ferramentas de gerenciamento de storage (SnapDrive/NetApp) em Estações de Trabalho de Acesso Privilegiado (PAWs).

• Monitoramento de Processos: Criar alertas para o processo `svchost.exe` executando sem argumentos de linha de comando ou realizando conexões de rede externas, especialmente a partir de caminhos não padrão.

• Auditoria de Logon: Monitorar logins de contas de serviço (como SnapDrive) em horários atípicos ou em máquinas que não fazem parte do ecossistema de backup/storage.

4. Os Indicadores de Comprometimento (IOCs) associados com essa campanha são:

• Arquivo Suspeito:** `C:\Windows\debug\svchost.exe`
• Detecção Sugerida:** Win64/CobaltStrike.CB!MTB
• Protocolos de C2:** HTTP/S (Malleable C2) e SMB (Lateral)

5. Para identificar o mascaramento do processo svchost em seus sistemas (REGRA YARA):

<widget id='Win64_Svchost_Masquerading_DebugDir' rule_content='rule Win64_Svchost_Masquerading_DebugDir {
    meta:
        description = "Detecta svchost.exe em caminhos suspeitos como C:\\Windows\\debug\\"
        author = "Intel Overview Agent"
        date = "2026-04-17"
        threat_level = "Critical"
        mitre_technique = "T1036.005 (Masquerading)"

    strings:
        $p1 = "\\Windows\\debug\\svchost.exe" nocase
        $p2 = "\\Users\\" nocase
        $p3 = "\\ProgramData\\" nocase
        $p4 = "\\Temp\\" nocase
        $filename = "svchost.exe" nocase

    condition:
        uint16(0) == 0x5A4D and // MZ Header
        $filename and
        (
            $p1 or $p2 or $p3 or $p4
        )
}' rule_type='YARA' source='CURATED' />

6. Em caso de suspeita ou confirmação de incidente relacionado aos vetores de ataque descritos, o órgão deve reportar a ocorrência de imediato ao CTIR Gov (ctir@ctir.gov.br).

[TLP:CLEAR]