# IDA > Tipo: **malware** · [Pesquisa de campo] ## Descrição [[ida|IDA]] é uma família de malware identificada em análises de ameaças em contextos de campanhas de espionagem e comprometimento de infraestrutura corporativa. O malware opera como backdoor para Windows, estabelecendo acesso remoto persistente e comúnicando-se com servidores de controle via HTTP. A família IDA representa um padrão de implante simples de acesso inicial: persistência via registro, reconhecimento básico do sistema e capacidade de download de ferramentas adicionais - suficiente para comprometer alvos e avaliar seu valor antes de operações mais complexas. O IDA usa o registro de inicialização do Windows para sobreviver a reinicializações, garantindo que o backdoor sejá reiniciado automaticamente. As capacidades de reconhecimento permitem ao operador coletar informações básicas sobre o sistema comprometido - versão do sistema operacional, configuração de hardware, usuários ativos - para priorizar alvos na gestão de múltiplos comprometimentos simultâneos. O canal HTTP para C2 é característico de backdoors desenvolvidos para operações em ambientes corporativos onde o HTTP/HTTPS é o tráfego de rede predominante e raramente bloqueado. A nomenclatura IDA pode causar confusão com a ferramenta legítima de análise de binários "IDA Pro" (Interactive Disassembler), o que pode ser intencional - um ator de ameaça pode usar nomes que remetem a ferramentas de segurança legítimas para confundir analistas ou passar despercebido em inventários de software. Esta é uma técnica de mascaramento que grupos de ameaça mais experientes utilizam consistentemente. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] ## Detecção A detecção do IDA segue os padrões gerais para backdoors HTTP: monitoramento de processos que fazem conexões HTTP para destinos não-categorizados, criação de chaves de registro de inicialização por processos incomuns, e análise de comportamentos de descoberta de sistema. Verificação de inventário de software para identificar processos com nomes que imitam ferramentas legítimas em locais de instalação inesperados é uma medida preventiva adicional. ## Relevância LATAM/Brasil Backdoors simples como o IDA representam o componente de acesso inicial em campanhas que afetam organizações brasileiras de todos os setores. A facilidade de desenvolvimento e baixo custo de implantação tornam backdoors dessa categoria amplamente utilizados por grupos de crime cibernético e espionagem industrial que operam no Brasil. Estrategias de defesa baseadas em comportamento e zero-trust são mais eficazes que detecção por assinatura contra essa classe de ameaças. ## Referências - [MITRE ATT&CK - T1547.001](https://attack.mitre.org/techniques/T1547/001/)