c0018 - RunkIntel

# C0018 - AvosLocker com Sliver C2 > [!danger] C0018 - AvosLocker via Log4Shell: Sliver como Alternativa ao Cobalt Strike > **Período:** Fevereiro - Marco 2022 (1 mes) | **Ator:** Afiliados nao identificados do [[s1053-avoslocker|AvosLocker]] > **Acesso inicial:** Log4Shell ([[cve-2021-44228|CVE-2021-44228]]) em VMware Horizon > **Destaque:** Primeiro uso documentado do [[s0633-sliver|Sliver]] como C2 alternativo ao Cobalt Strike em ransomware ## Visão Geral C0018 foi uma intrusão de ransomware de um mes que resultou na implantação bem-sucedida do [[s1053-avoslocker|AvosLocker]] em uma rede corporativa comprometida. O vetor de acesso inicial foi a exploração de vulnerabilidades **Log4Shell** ([[cve-2021-44228|CVE-2021-44228]], [[cve-2021-45046|CVE-2021-45046]]) em servidores VMware Horizon Unified Access Gateway expostos - um dos alvos mais comuns de Log4Shell em 2022. O aspecto mais notavel da campanha C0018 e o uso do framework **[[s0633-sliver|Sliver]]** como C2 principal (renomeado para `vmware_kb.exe` para mascaramento) - substituindo ou complementando o [[s0154-cobalt-strike|Cobalt Strike]]. Esta foi uma das primeiras campanhas de ransomware documentadas com Sliver, antecipando uma tendencia significativa: a migracao de operadores para frameworks C2 open-source de menor perfil para evadir deteccoes maduras contra Cobalt Strike. As ferramentas de movimento lateral incluiram AnyDesk e PDQ Deploy (ferramenta de deployment corporativo legitima) para propagar o [[s1053-avoslocker|AvosLocker]] e outras ferramentas pela rede. O [[mimikatz|Mimikatz]] foi usado para dump de credenciais do controlador de dominio. A criptografia final foi realizada com o [[s1053-avoslocker|AvosLocker]] mascarado com o nome da empresa vitima como filename. ## Attack Flow ```mermaid graph TB A["🌐 Acesso Inicial Log4Shell em VMware Horizon CVE-2021-44228 + CVE-2021-45046"] --> B["🎯 Implantação de C2 Sliver payload renomeado para vmware_kb.exe"] B --> C["🔍 Reconhecimento SoftPerfect Network Scanner + System/Network Discovery"] C --> D["🔑 Credenciais Mimikatz dump credenciais do controlador de dominio"] D --> E["🔄 Movimento Lateral RDP em portas nao-padrao AnyDesk + PDQ Deploy"] E --> F["📡 C2 Secundario Cobalt Strike como canal de backup"] F --> G["🔒 Ransomware AvosLocker com nome da empresa criptografia completa da rede"] ``` ## Timeline da Campanha ```mermaid timeline title C0018 - Intrusão de Um Mes Fev 2022 - Semana 1 : Log4Shell explora VMware Horizon exposto : Sliver C2 implantado e ativo Fev 2022 - Semana 2 : Reconhecimento interno com SoftPerfect Scanner : Mimikatz para credenciais de AD Fev 2022 - Semana 3 : Movimento lateral via RDP portas nao-padrao : PDQ Deploy distribuindo ferramentas pela rede Mar 2022 - Semana 1 : AvosLocker distribuido via PDQ Deploy : Criptografia completa da rede corporativa ``` ## Técnicas Utilizadas | Técnica | ID | Uso na Campanha | |---------|-----|-----------------| | Exploit Public-Facing App | [[t1190-exploit-public-facing-application\|T1190]] | Log4Shell em VMware Horizon Unified Access Gateway | | Match Legitimaté Name | [[t1036-005-match-legitimate-resource-name-or-location\|T1036.005]] | Sliver renomeado para `vmware_kb.exe`; AvosLocker com nome da empresa | | Non-Standard Port | [[t1571-non-standard-port\|T1571]] | RDP em portas 28035, 32467, 41578, 46892 para evadir monitoramento | | Remote Desktop Protocol | [[t1021-001-remote-desktop-protocol\|T1021.001]] | RDP para acesso lateral entre hosts | | Remote Desktop Software | [[t1219-002-remote-desktop-software\|T1219.002]] | AnyDesk para transferencia de ferramentas | | Lateral Tool Transfer | [[t1570-lateral-tool-transfer\|T1570]] | AnyDesk e PDQ Deploy para mover ferramentas na rede | | Network Service Discovery | [[t1046-network-service-discovery\|T1046]] | SoftPerfect Network Scanner para mapeamento de rede | | Data Encrypted for Impact | [[t1486-data-encrypted-for-impact\|T1486]] | AvosLocker criptografando arquivos na rede comprometida | | PowerShell | [[t1059-001-powershell\|T1059.001]] | Scripts PowerShell codificados em Base64 para execução | | Command Obfuscation | [[t1027-010-command-obfuscation\|T1027.010]] | PowerShell scripts com encoding Base64 | | Software Deployment Tools | [[t1072-software-deployment-tools\|T1072]] | PDQ Deploy usado para mover e executar AvosLocker | | Web Protocols | [[t1071-001-web-protocols\|T1071.001]] | HTTP para comúnicacoes C2 do Sliver e Cobalt Strike | ## CVEs Explorados | CVE | CVSS | Produto | Uso | |-----|------|---------|-----| | [[cve-2021-44228\|CVE-2021-44228]] | 10.0 | Apache Log4j2 | Log4Shell - acesso inicial via VMware Horizon | | [[cve-2021-45046\|CVE-2021-45046]] | 9.0 | Apache Log4j2 | Bypass de mitigação do CVE-2021-44228 | ## Software Utilizado - [[s0633-sliver|Sliver]] - Framework C2 open-source em Go (BishopFox) usado como alternativa ao Cobalt Strike - [[s0154-cobalt-strike|Cobalt Strike]] - Framework C2 secundario para backup de acesso - [[mimikatz|Mimikatz]] - Dump de credenciais do controlador de dominio - [[s1053-avoslocker|AvosLocker]] - Ransomware final (RaaS) com dupla extorsao - SoftPerfect Network Scanner - Ferramenta de escaneamento de rede - AnyDesk - Ferramenta de acesso remoto para transferencia de ferramentas - PDQ Deploy - Ferramenta de deployment corporativo usada para distribuir ransomware ## Relevância LATAM/Brasil - O [[s1053-avoslocker|AvosLocker]] afetou organizacoes brasileiras em 2022-2023, especialmente nos setores de manufatura, saúde e servicos - O Log4Shell ([[cve-2021-44228|CVE-2021-44228]]) ainda afeta sistemas VMware Horizon e outras aplicações Java nao-patcheadas no Brasil - o risco persiste anos após a divulgacao - O uso do [[s0633-sliver|Sliver]] como alternativa ao Cobalt Strike indica que frameworks C2 open-source estao sendo cada vez mais adotados por afiliados de ransomware no Brasil - defensores devem atualizar regras de detecção para Sliver, Havoc e Brute Ratel - O uso de ferramentas corporativas legitimas (PDQ Deploy, AnyDesk) para distribuição de ransomware dificulta detecção - monitorar uso anomalo de ferramentas de deployment e critico ## Mitigacoes Recomendadas - Aplicar patches Log4j urgentemente em todos os sistemas Java (especialmente VMware Horizon, vCenter) - Monitorar e alertar para uso de ferramentas de deployment (PDQ Deploy, PsExec) fora de jánelas de manutenção - Detectar Sliver C2 via assinaturas de rede (JARM fingerprinting, headers HTTP anomalos) - Implementar MFA em todas as conexoes RDP externas e internas - Bloquear ou monitorar AnyDesk, TeamViewer e ferramentas RAT comerciais em ambientes corporativos ## Referências - [MITRE ATT&CK - C0018](https://attack.mitre.org/campaigns/C0018) - [DFIR Report - AvosLocker Analysis](https://thedfirreport.com/) - [CISA - StopRansomware AvosLocker (Updaté)](https://csirt.cynet.ac.cy/latest-alerts/alerts/stopransomware-avoslocker-ransomware-update/) - [Microsoft - Sliver C2 Leveraged by Threat Actors](https://www.microsoft.com/en-us/security/blog/2022/08/24/looking-for-the-sliver-lining-hunting-for-emerging-command-and-control-frameworks/)