g0041-strider - RunkIntel

# Strider (ProjectSauron) > [!warning] **Strider** é um grupo de ameaça atribuído a **Ocidente (provável agência de inteligência ocidental)** ativo desde **2011**. > **Strider**, rastreado pela Microsoft como **ProjectSauron**, é considerado um dos grupos de espionagem cibernética mais técnicamente sofisticados já descobertos. Operou **completamente sem detecção por cinco anos** (2011–2016) contra alvos governamentais de alto valor em Rússia, China, Irã e outros países. Seu malware central, o [[s0125-remsec]], demonstra nível de engenharia comparable apenas ao [[g0020-equation-group]] e ao Regin. --- ## Visão Geral | Campo | Valor | |-------|-------| | **Aliases** | ProjectSauron (Microsoft), Strider (Symantec) | | **Origem** | Provável agência de inteligência ocidental | | **Período Ativo** | Outubro 2011 – Agosto 2016 | | **Exposição** | Kaspersky Lab + Symantec (agosto 2016 - simultâneo) | | **Vítimas Conhecidas** | 36 computadores em 7 organizações (Symantec); 30+ organizações (Kaspersky) | | **Motivação** | Espionagem de longo prazo - coleta de inteligência estratégica | --- ## Diagrama de Kill Chain ```mermaid graph TB A["🎯 Reconhecimento Mapeamento de infraestrutura e sistemas críticos"] --> B["💉 Acesso Inicial Exploração de vulnerabilidades zero-day personalizadas"] B --> C["🔑 Persistência Remsec como filtro LSA em controladores domínio"] C --> D["📡 Movimento Lateral Internal Proxy para segmentos isolados de rede"] D --> E["💾 Exfiltração Dados via USB ou proxy + sistema arquivos oculto"] E --> F["🔐 Cobertura Limpeza mínima; footprint customizado por vítima"] ``` ## Atribuição Strider é atribuído a uma **agência de inteligência ocidental de nível estado**, com base em: - Targeting geográfico (alvos primários: Rússia, China, Irã - adversários ocidentais) - Nível de recursos técnicos consistente com orçamento governamental ilimitado - Arquitetura de malware com engenharia profissional e customização por vítima - **Vínculos possíveis**: Uma vítima havia sido previamente infectada pelo [[s0019-regin]] (outro APT ocidental atribuído ao GCHQ/NSA); links tentativos com o grupo Flamer (Oriente Médio) > ⚠️ **Nota de cautela**: Atribuição definitiva não foi estabelecida públicamente. Pesquisadores da Kaspersky, incluindo Eugene Kaspersky, levantaram a possibilidade de que a sofisticação do Strider rivaliza ou supera o [[g0020-equation-group]]. --- ## Descoberta O grupo foi detectado **simultaneamente** pela Kaspersky Lab e Symantec em agosto de 2016 - uma coincidência rara que indicou que ambas as empresas identificaram o grupo de forma independente através de diferentes artefatos: - **Kaspersky**: Detectou biblioteca executável registrada como filtro de senha Windows carregada na memória de um controlador de domínio - com acesso a credenciais em texto claro - **Symantec**: Engine comportamental detectou anomalias em sistemas de clientes --- ## Arsenal: Remsec (Backdoor.Remsec) O [[s0125-remsec]] é o implante central do Strider - um backdoor modular escrito em **Lua** (linguagem de scripting incomum para malware): ### Características Técnicas | Aspecto | Detalhe | |---------|---------| | **Linguagem** | Lua - permite modificação de comportamento sem recompilação | | **Arquitetura** | Totalmente modular - 50+ tipos de plugins carregados sob demanda | | **Persistência** | Memory-resident; módulos executáveis em memória de sistema | | **Cifragem** | RC5-CBC, AES-CBC com chaves hardcoded, RC4, Salsa20 + base64 | | **Assinatura** | Disfarçado como componentes legítimos (Microsoft, Symantec, Kaspersky, HP, VMware) | | **Customização** | Binários únicos por vítima - dificulta correlação entre incidentes | --- ## Técnicas e Capacidades ### Password Filter DLL (T1556.002) Técnica de coleta de credenciais extremamente sofisticada: - O Remsec registrava-se em **controladores de domínio** como filtro LSA (Local Security Authority) do Windows - Cada vez que um usuário ou administrador fazia login ou trocava senha, o filtro malicioso recebia as credenciais em **texto claro** - Completamente invisível para ferramentas de segurança convencionais - Fornecia acesso privilegiado contínuo a todas as credenciais da organização ### Hidden File System (T1564.005) Semelhante ao [[g0020-equation-group]], o Strider utilizava um **sistema de arquivos virtual oculto** armazenado como arquivo em disco: - Inacessível ao sistema operacional e ferramentas forenses padrão - Utilizado para armazenar implantes, dados coletados e configuração de C2 - Sobrevive a análises superficiais de disco ### Internal Proxy (T1090.001) Para exfiltrar dados de segmentos de rede **sem acesso direto à Internet**: - Implantava servidores proxy locais em máquinas com acesso dual (rede local + Internet) - Dados de sistemas air-gapped ou isolados eram roteados internamente até o ponto de saída - Evitava anomalias de tráfego em sistemas de monitoramento de rede ### USB Exfiltration (T1052.001) Módulo especializado para **exfiltração por redes air-gapped** via USB: - Movia dados de sistemas sem Internet para sistemas conectados através de dispositivos removíveis - Técnica complementar ao Internal Proxy para penetração total de redes segregadas ### Keylogging e Coleta Sistemática - Captura de input de teclado em todos os sistemas comprometidos - Descoberta de arquivos e diretórios; exfiltração seletiva de documentos de alto valor - Reconhecimento de rede: configuração de rede, processos, software de segurança instalado - Manipulação de firewall Windows (adição/remoção de regras, desabilitação) ### Privilege Escalation - Exploração de drivers vulneráveis: **Outpost Sandbox** ou **avast! Virtualization** drivers - Obtenção de privilégios kernel-mode via drivers legítimos com vulnerabilidades conhecidas --- ## Segurança Operacional Excepcional O que distingue o Strider de práticamente todos os outros APTs: 1. **Customização por vítima**: Cada implante é único - impossível correlacionar entre vítimas usando apenas assinaturas 2. **Footprint mínimo**: Módulos carregados apenas quando necessários; nada persiste desnecessáriamente em disco 3. **Mascaramento como vendors**: Componentes disfarçados como software legítimo de segurança (Kaspersky, Symantec, Microsoft) 4. **Cinco anos sem detecção**: Operou de 2011 a 2016 sem triggerar nenhum sistema de segurança conhecido 5. **Scripting em Lua**: Escolha incomum que tornava análise e reverse engineering significativamente mais difícil --- ## Conexões no Ecossistema APT | Conexão | Evidência | |---------|-----------| | **[[g0020-equation-group]]** | Nível de sofisticação comparable; possívelmente mesma família de agências ocidentais | | **[[s0019-regin]]** | Uma vítima do Strider havia sido previamente infectada pelo Regin (atribuído GCHQ/NSA) | | **Flamer/Flame** | Links tentativos de infraestrutura; Flamer também atribuído a ocidente | > A sobreposição com Regin e Flamer sugere que o Strider pode ser parte de um **ecossistema maior** de ferramentas ofensivas ocidentais, possívelmente compartilhado entre aliados de inteligência. --- ## Perfil de Alvos **Setores comprometidos:** - Agências de governo e ministérios - Organizações militares - Centros de pesquisa científica (especialmente tecnologia dual-use) - Operadoras de telecomúnicações - Instituições financeiras **Países com vítimas confirmadas:** - **Rússia** - foco primário, múltiplas organizações - **China** - setor aeronáutico/aéreo - **Suécia** - alvos governamentais - **Bélgica** - embaixada comprometida - **Irã** - múltiplos alvos estratégicos - **Ruanda** - governo --- ## Relevância para o Brasil e LATAM O Strider não tem histórico confirmado de ataques contra alvos brasileiros ou latinoamericanos. Sua preferência geográfica (Rússia, China, Irã) reflete alinhamento de espionagem estatal ocidental. Porém, a sofisticação técnica do grupo - especialmente a capacidade de operar completamente indetectado por cinco anos - torna-o referência crítica para defesa de infraestruturas críticas brasileiras em telecomúnicações e governo. Agências brasileiras devem monitorar indicadores de atividade comparáveis. ## Referências - [Kaspersky - ProjectSauron: top level cyber-espionage platform (2016)](https://securelist.com/faq-the-projectsauron-apt/75533/) - [Symantec - Strider: Cyberespionage Group Turns Eye of Sauron on Targets (2016)](https://www.broadcom.com/support/security-center/attacksignatures/detail?asid=22923) - [MITRE ATT&CK - G0041](https://attack.mitre.org/groups/G0041/) - [Malpedia - ProjectSauron](https://malpedia.caad.fkie.fraunhofer.de/actor/projectsauron) - Relacionado: [[g0020-equation-group]], [[s0019-regin]], [[g0016-apt29]], [[s0125-remsec|Remsec]]