# Juntando o quebra cabeças e entendendo a anatomia

Cruzamento do endereço IP suspeito, identificado como maior gerador de conexões, com as informações de inteligência da plataforma [https://virustotal.com](https://virustotal.com) e o desenvolvimento de pensamento analítico sobre os ativos que compõe o cenário.

<p class="callout info">**Análise de reputação do endereço IP identificado:**</p>

VirusTotal confirmou a ligação da reputação desse CIDR do endereços IP com casos de malware, incluindo domínio maliciosos que estes IPs já foram vinculados, e através de informações indexadas em uma terceira plataforma de inteligência, apontada nos indicadores, que ao ser consultada detalhou ainda mais, como sendo um "malware" ligado a uma "Botnet".

![image.png](https://manuais.ifsp.edu.br/uploads/images/gallery/2025-12/scaled-1680-/RJRimage.png)

![image.png](https://manuais.ifsp.edu.br/uploads/images/gallery/2025-12/scaled-1680-/hb3image.png)

<p class="callout info">**Que tipo de dispositivo da rede originou tais requisições e quais as características sistêmicas desse dispositivo?**</p>

Dispositivo identificado, conforme a gestão de ativos, incluindo sua localização, como uma TvBox MXQ-PRO 4K, confirmado de forma presencial e visual. O dispositivo possui sistema operacional Android na versão 10.1.

![image.png](https://manuais.ifsp.edu.br/uploads/images/gallery/2025-12/scaled-1680-/PV8image.png)

<p class="callout info">**Com o conjunto de informações que temos até aqui, existe algo em fontes abertas que pode refinar ainda mais nossa detecção?**</p>

Recapitulando através de palavras-chave, quais as informações que temos até aqui?

### <span style="color: rgb(186, 55, 42);">**MALWARE + ANDROID + TVBOX + BOTNET**</span>

O que podemos fazer com estas palavras-chave? Busca em fontes abertas na internet, como por exemplo o próprio buscado do Google, e.... **INFORMAÇÕES VALIOSAS!**

![image.png](https://manuais.ifsp.edu.br/uploads/images/gallery/2025-12/scaled-1680-/YNfimage.png)

Com as informações obtidas em fontes abertas, foi possível identificar precisamente que o modelo da TvBox que estamos analisando, e confirmar que ele possui ligação com a Botnet "ANDROID BADBOX 2.0", pois pertencia a um grupo de dispositivos sabidamente comprometidos, com estudo detalhado por pesquisadores de segurança da informação:

[https://www.bleepingcomputer.com/news/security/badbox-malware-disrupted-on-500k-infected-android-devices/](https://www.bleepingcomputer.com/news/security/badbox-malware-disrupted-on-500k-infected-android-devices/)

[https://www.humansecurity.com/learn/blog/satori-threat-intelligence-disruption-badbox-2-0/](https://www.humansecurity.com/learn/blog/satori-threat-intelligence-disruption-badbox-2-0/)

![image.png](https://manuais.ifsp.edu.br/uploads/images/gallery/2025-12/scaled-1680-/bSDimage.png)

- <p class="callout info">**Reforçando as informações colhidas - Estatística de dispositivos infectados por esta Botnet - <span style="text-decoration: underline;">Geral e por Países:</span>**</p>

![image.png](https://manuais.ifsp.edu.br/uploads/images/gallery/2025-12/scaled-1680-/Ju2image.png)

Fonte: https://dashboard.shadowserver.org

**Brasil liderando o número de infecções globais.**

<p class="callout warning">**Como este dispositivo pode operar de maneira maliciosa para comprometer a infraestrutura onde estava inserido?**</p>

- <p class="callout info">**Indicadores de <span style="text-decoration: underline;">EVASÃO</span> de defesas detectados:**</p>
    
    
    - **Durante a detecção e contenção, pode haver a alteração dos Indicadores de Comprometimento (IoC) de rede que identiicam o servidor de Comando e controle do Malware (Ip, geolocalização, ASN, Domínios, etc), como no exemplo abaixo, mas não se limitando apenas a estes:**

<span style="text-decoration: underline;"><span style="color: rgb(224, 62, 45); text-decoration: underline;">**DE:** </span></span>

<span style="text-decoration: underline;">**![image.png](https://manuais.ifsp.edu.br/uploads/images/gallery/2025-12/scaled-1680-/RJRimage.png)**</span>

<span style="text-decoration: underline;"><span style="color: rgb(224, 62, 45); text-decoration: underline;">**PARA:**</span></span>

![image.png](https://manuais.ifsp.edu.br/uploads/images/gallery/2025-12/scaled-1680-/rDPimage.png)

- - **Uso de um único dispositivo, com permissionamento excessivo, para se deslocar lateralmente na rede interna, utilizando protocolos autorizados para mascaramento e não despertar alertas/suspeitas.**
        - Dispositivos TvBox podem ser conectadas a um servidor de conteúdo para apresentação de propagandas ou conteúdos internos, nesse cenário, os dispositivos comprometidos, mantém o envio das requisições ao servidor de conteúdo que originalmente teriam permissão, mascarando o tráfego sobre protocolos legítimo, porém, se comparado com o tráfego legítimo, tem quantidades anormais de conexões.
        - Este host interno (servidor de conteúdo), teria um cenário de vulnerabilidades em aplicações, serviços, e permissões excessivas no acesso à rede privilegiada, que permitiriam aos dispositivos maliciosos executar comandos através dele e a partir daí analisar e comprometer outros dispositivos da infraestrutura em outras redes internas (técnica de pivoting).

![image.png](https://manuais.ifsp.edu.br/uploads/images/gallery/2025-12/scaled-1680-/Csgimage.png)

- <p class="callout info">**Indicadores de <span style="text-decoration: underline;">COMPROMETIMENTO</span> do ambiente detectados:**</p>
    
    
    - Em mais uma ação de evasão, horas após os primeiros indícios no ambiente analisando em *timeline*, é possível observar que para não ser detectado, o malware evitaria o tráfego para outras sub-redes, que seria inspecionado pelo firewall, comprometendo hosts/serviços da mesma sub-rede onde está inserido, possivelmente explorando vulnerabilidades de serviços desatualizados nos hosts, com comandos ordenados pelo servidor de comando e controle (C2) externo do malware, através dos dispositivos TvBox locais comprometidos, usando seu servidor legítimo local de conteúdos como pivoting para chegar a hosts da rede onde este servidor está inserido.
    - Nesse cenário de exploração interna, o tráfego ocorreu de host para host de uma mesma sub-rede, sem troca de rede e posteriormente outros hosts da mesma sub-rede passam a tentar se conectar com servidor de comando e controle de malware, externamente, sendo aqui um ponto de detecção.

![image.png](https://manuais.ifsp.edu.br/uploads/images/gallery/2025-12/scaled-1680-/ht4image.png)

- A detecção de explorações nesta camada de uma sub-rede / host para host, poderia ser realizada com ferramentas de *Endpoint Detection and Response* (EDRs), *eXtended Detection and Response* (XDRs) com agentes de resposta ativa, *Host-based Intrusion Prevention/Detection System* (HIDS/HIPS), que monitoram o tráfego, e os hosts dentro de uma mesma sub-rede, através de agentes de resposta ativa.

- <p class="callout info">**Representação gráfica:**</p>

![image.png](https://manuais.ifsp.edu.br/uploads/images/gallery/2025-12/scaled-1680-/uIcimage.png)