s0504-anchor - RunkIntel

# Anchor > Tipo: **malware** · S0504 · [MITRE ATT&CK](https://attack.mitre.org/software/S0504) ## Descrição [[s0504-anchor|Anchor]] é uma família de malware backdoor modular utilizada pelo [[g0102-conti-group|Wizard Spider]] em conjunto com o [[s0266-trickbot|TrickBot]] desde pelo menos 2018. O Anchor é implantado exclusivamente em alvos de alto perfil previamente selecionados pelo grupo após comprometimento inicial via TrickBot, sendo reservado para vítimas consideradas de alto valor - tipicamente grandes empresas financeiras, hospitais e governos. Existe em variantes para Windows e Linux (Anchor_DNS e Anchor_Linux). O Anchor utiliza DNS como canal primário de C2 ([[t1071-004-dns|T1071.004]]), enviando e recebendo comandos encapsulados em queries DNS para dificultar a detecção por firewalls e proxies que não inspecionam tráfego DNS. Também suporta HTTP ([[t1071-001-web-protocols|T1071.001]]) como canal alternativo. Para persistência, instala-se como serviço Windows ([[t1543-003-windows-service|T1543.003]]) ou usa tarefas agendadas ([[t1053-005-scheduled-task|T1053.005]]). O binário usa assinatura de código ([[t1553-002-code-signing|T1553.002]]) e ofuscação ([[t1027-obfuscated-files-or-information|T1027]]) para dificultar a análise, e inclui guardrails de execução ([[t1480-execution-guardrails|T1480]]) que verificam o ambiente antes de ativar o backdoor. O [[g0102-conti-group|Wizard Spider]] é o grupo por trás do TrickBot e do ransomware [[s0446-ryuk|Ryuk]]/[[conti|Conti]]. O Anchor foi documentado em ataques contra o setor de saúde e financeiro durante 2019-2021, servindo como pré-cursor para implantação de ransomware Ryuk em ambientes corporativos de alto valor. A versão Linux (Anchor_Linux) demonstrou a capacidade do grupo de atacar servidores Unix/Linux além do ambiente Windows tradicional. **Plataformas:** Linux, Windows ## Técnicas Utilizadas - [[t1095-non-application-layer-protocol|T1095 - Non-Application Layer Protocol]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1480-execution-guardrails|T1480 - Execution Guardrails]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1053-005-scheduled-task|T1053.005 - Scheduled Task]] - [[t1053-003-cron|T1053.003 - Cron]] - [[t1059-004-unix-shell|T1059.004 - Unix Shell]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1553-002-code-signing|T1553.002 - Code Signing]] - [[t1071-004-dns|T1071.004 - DNS]] - [[t1543-003-windows-service|T1543.003 - Windows Service]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] ## Grupos que Usam - [[g0102-conti-group|Wizard Spider]] ## Detecção - **Análise de tráfego DNS**: monitorar alto volume de queries DNS para subdomínios aleatórios ou TXT records incomuns originados de estações de trabalho - padrão de C2 via DNS tunneling usado pelo Anchor_DNS. - **Sysmon Event ID 1** (Process Creation) + **Event ID 7** (Image Loaded): alertar sobre serviços Windows recém-criados que carregam DLLs fora de `System32` ou `Program Files`. - **EDR telemetria**: detectar comúnicações de processos de serviço Windows com domínios externos em portas não padrão; o Anchor usa portas altas incomuns em alguns modos de operação. - **Referência Sigma**: `net_dns_high_freq_queries.yml` - detecção de DNS tunneling por alto volume de queries; e `sysmon_create_service_shell.yml` para criação suspeita de serviço. ## Relevância LATAM/Brasil O [[g0102-conti-group|Wizard Spider]] é um grupo de crime cibernético com histórico de ataques contra hospitais, bancos e empresas de grande porte em todo o mundo, incluindo a América Latina. Hospitais brasileiros sofreram ataques de ransomware [[s0446-ryuk|Ryuk]] e [[conti|Conti]] - ambos implantados após comprometimento por TrickBot e Anchor - durante a pandemia de COVID-19 em 2020-2021. O modelo de "big game hunting" do Wizard Spider representa uma ameaça direta ao setor de saúde, financeiro e industrial brasileiro que mantém sistemas de alto valor em rede. ## Referências - [MITRE ATT&CK - S0504](https://attack.mitre.org/software/S0504)