s0501-pipemon - RunkIntel

# PipeMon > Tipo: **malware** · S0501 · [MITRE ATT&CK](https://attack.mitre.org/software/S0501) ## Descrição [[s0501-pipemon|PipeMon]] é um backdoor modular de múltiplos estágios utilizado pelo [[g0044-winnti-group|Winnti Group]], descoberto pela ESET em 2020 durante investigações de ataques contra desenvolvedores de videogames no Leste Asiático. A nomenclatura "PipeMon" deriva do uso intensivo de named pipes do Windows como canal de comunicação inter-processos ([[t1559-inter-process-communication|IPC]]) entre seus múltiplos módulos, uma escolha que dificulta a detecção por soluções baseadas em inspeção de rede. O mecanismo de persistência do PipeMon é particularmente sofisticado: ele registra um print processor malicioso ([[t1547-012-print-processors|T1547.012]]) no Windows Spooler, garantindo execução a cada reinicialização do sistema com privilégios de SYSTEM sem necessidade de modificar chaves de Run típicas. O malware utiliza injeção de DLL ([[t1055-001-dynamic-link-library-injection|T1055.001]]), spoofing de PID pai ([[t1134-004-parent-pid-spoofing|T1134.004]]) e bypass de UAC ([[t1548-002-bypass-user-account-control|T1548.002]]) para escalar privilégios e evadir defesas. Toda a comunicação C2 é realizada via named pipes com criptografia simétrica ([[t1573-001-symmetric-cryptography|T1573.001]]). O [[g0044-winnti-group|Winnti Group]] (também rastreado como APT41 em algumas classificações) é um ator de espionagem alinhado à China com foco em roubo de propriedade intelectual de empresas de gaming, tecnologia e farmacêuticas. O PipeMon representa a evolução modular do arsenal do grupo, com capacidades equivalentes às de frameworks C2 comerciais como [[s0154-cobalt-strike|Cobalt Strike]], porém com menor taxa de detecção por AV. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1134-002-create-process-with-token|T1134.002 - Creaté Process with Token]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1112-modify-registry|T1112 - Modify Registry]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1055-001-dynamic-link-library-injection|T1055.001 - Dynamic-link Library Injection]] - [[t1547-012-print-processors|T1547.012 - Print Processors]] - [[t1095-non-application-layer-protocol|T1095 - Non-Application Layer Protocol]] - [[t1548-002-bypass-user-account-control|T1548.002 - Bypass User Account Control]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1124-system-time-discovery|T1124 - System Time Discovery]] - [[t1573-001-symmetric-cryptography|T1573.001 - Symmetric Cryptography]] - [[t1134-004-parent-pid-spoofing|T1134.004 - Parent PID Spoofing]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1106-native-api|T1106 - Native API]] ## Grupos que Usam - [[g0044-winnti-group|Winnti Group]] ## Detecção **Fontes de dados recomendadas:** - **Windows Event ID 7 (System) - Print Spooler:** Registro de novos print processors em `HKLM\SYSTEM\CurrentControlSet\Control\Print\Environments\Windows x64\Print Processors\` - caminho atípico é indicativo de PipeMon - **Sysmon Event ID 17/18 (PipeEvent):** Criação e conexão de named pipes com nomes incomuns fora do padrão de aplicativos legítimos - **Sysmon Event ID 8 (CreateRemoteThread):** Injeção de thread em processos legítimos como `spoolsv.exe` - **EDR:** Processo `spoolsv.exe` realizando operações de rede ou spawning de processos filhos - comportamento anômalo para o Windows Spooler **Regras de detecção:** - Sigma: `sysmon_susp_print_processor_reg.yml` - registro de novo print processor em chave de registro do Spooler com DLL não assinada - YARA: Detecção baseada em strings internas do PipeMon e estrutura de headers de named pipe (ESET Research - repositório público) ## Relevância LATAM/Brasil O [[g0044-winnti-group|Winnti Group]] tem como alvos prioritários empresas de videogames e tecnologia com propriedade intelectual valiosa. O Brasil possui um dos maiores mercados de gaming da América Latina, com estúdios e distribuidoras que podem ser alvos de roubo de código-fonte, certificados de assinatura de código e dados de usuários. Além disso, empresas farmacêuticas brasileiras - setor igualmente visado pelo Winnti Group - são alvos potenciais dado o histórico do grupo de roubo de fórmulas e dados de pesquisa clínica. ## Referências - [MITRE ATT&CK - S0501](https://attack.mitre.org/software/S0501) - [ESET Research - PipeMon: A Backdoor with Print Processor Persistence](https://www.welivesecurity.com/2020/05/21/no-game-over-winnti-group/) - Maio 2020