s0588-goldmax - RunkIntel

# GoldMax > Tipo: **backdoor C2** · S0588 · [MITRE ATT&CK](https://attack.mitre.org/software/S0588) ## Descrição [[s0588-goldmax|GoldMax]] (também conhecido como SUNSHUTTLE) é um backdoor C2 de segundo estágio escrito em Go, com variantes para Windows e Linux práticamente idênticas em funcionalidade. Desenvolvido pelo [[g0016-apt29|APT29]] (Nobelium), o [[s0588-goldmax|GoldMax]] foi descoberto em 2021 durante a investigação da operação [[solarwinds-compromise|SolarWinds Compromise]] e é provavelmente utilizado pelo grupo desde pelo menos meados de 2019. O malware representa o implante persistente de longo prazo que o APT29 instalou em ambientes comprometidos via atualização maliciosa do SolarWinds Orion. O [[s0588-goldmax|GoldMax]] implementa múltiplas técnicas avançadas de evasão: verifica o tempo do sistema para evitar execução em sandboxes e ambientes de análise com clock manipulado ([[t1497-003-time-based-checks|T1497.003]]), adiciona "junk data" aleatório às comúnicações de rede ([[t1001-001-junk-data|T1001.001]]) para dificultar análise de tráfego, utiliza criptografia assimétrica (Elliptic Curve) para proteger comúnicações, e disfarça seus processos com nomes que imitam componentes legítimos do Windows ([[t1036-005-match-legitimate-resource-name-or-location|T1036.005]]). A funcionalidade de ignorar interrupções de processo ([[t1564-011-ignore-process-interrupts|T1564.011]]) garante resiliência contra tentativas de encerramento. A descoberta do [[s0588-goldmax|GoldMax]] como parte do toolkit SolarWinds foi particularmente reveladora pela escala do comprometimento: o [[g0016-apt29|APT29]] utilizou a atualização maliciosa do SUNBURST para implantar GoldMax em redes de organizações governamentais e corporativas de alto valor em múltiplos países, permanecendo indetectado por meses. A análise do GoldMax revelou código Go de alta qualidade, indicando desenvolvedores altamente qualificados com acesso a recursos significativos. **Plataformas:** Windows, Linux ## Técnicas Utilizadas - [[t1053-005-scheduled-task|T1053.005 - Scheduled Task]] - [[t1027-002-software-packing|T1027.002 - Software Packing]] - [[t1564-011-ignore-process-interrupts|T1564.011 - Ignore Process Interrupts]] - [[t1124-system-time-discovery|T1124 - System Time Discovery]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1053-003-cron|T1053.003 - Cron]] - [[t1573-002-asymmetric-cryptography|T1573.002 - Asymmetric Cryptography]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1001-001-junk-data|T1001.001 - Junk Data]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1036-005-match-legitimate-resource-name-or-location|T1036.005 - Match Legitimaté Resource Name or Location]] - [[t1497-003-time-based-checks|T1497.003 - Time Based Checks]] ## Grupos que Usam - [[g0016-apt29|APT29]] ## Detecção > [!tip] Indicadores de Detecção > - Verificar instalações do SolarWinds Orion para presença de atualização maliciosa SUNBURST (hashes públicados pela Microsoft e SolarWinds) > - Detectar binários Go com características de ofuscação e verificações de tempo em sistemas críticos > - Monitorar tarefas agendadas criadas por processos suspeitos ou com nomes que imitam tarefas legítimas do sistema > - Alertar sobre comúnicações de rede com padrões de "junk data" em cabeçalhos HTTP (análise de entropia) > - Implementar hunting ativo para indicadores do APT29 em ambientes que utilizaram SolarWinds Orion ## Relevância LATAM/Brasil O SolarWinds Orion foi amplamente utilizado por organizações brasileiras para monitoramento de infraestrutura de TI, tornando o [[s0588-goldmax|GoldMax]] e o toolkit SolarWinds uma ameaça diretamente relevante para o Brasil. A Microsoft e a SolarWinds públicaram guias de verificação de comprometimento que organizações brasileiras usuárias do software devem ter executado. O caso SolarWinds é o exemplo mais proeminente de ataque à cadeia de suprimentos de software - um vetor de ataque que a ANPD (Autoridade Nacional de Proteção de Dados) e órgãos de segurança brasileiros passaram a monitorar mais ativamente após o incidente. ## Referências - [MITRE ATT&CK - S0588](https://attack.mitre.org/software/S0588) - [Microsoft MSTIC - GoldMax Analysis](https://www.microsoft.com/security/blog/2021/03/04/goldmax-goldfinder-sibot-analyzing-nobelium-malwares-toolkit/)