s0673-darkpulsar - RunkIntel

# DarkPulsar > Tipo: **backdoor** · [MITRE ATT&CK](https://attack.mitre.org/software/) ## Descrição [[s0673-darkpulsar|DarkPulsar]] é um backdoor de alto nível desenvolvido pela NSA (Agência de Segurança Nacional dos EUA) e vazado públicamente pelo grupo Shadow Brokers em abril de 2017, juntamente com outros exploits e ferramentas como [[eternalblue|EternalBlue]] e [[doublепульsar|DoublePulsar]]. Após o vazamento, o [[s0673-darkpulsar|DarkPulsar]] foi adotado por múltiplos atores de ameaça, incluindo grupos associados a estados-nação e operadores de cibercrime, tornando-se uma ferramenta de espionagem amplamente disponível na comunidade de atacantes. O [[s0673-darkpulsar|DarkPulsar]] é um implante de persistência implantado em sistemas Windows, operando como serviço do sistema para garantir execução permanente. O malware implementa capacidades avançadas de controle: impersonation de tokens de segurança do Windows para executar ações com privilégios de qualquer usuário, manipulação de contas locais e execução remota de comandos. A Kaspersky descobriu evidências de uso do DarkPulsar em campanhas contra organizações nucleares, telecomúnicações e TI no Oriente Médio e Rússia entre 2017 e 2019. O vazamento do arsenal da NSA pelo Shadow Brokers representa um dos eventos mais significativos na história da cibersegurança: ferramentas desenvolvidas com investimento de centenas de milhões de dólares tornaram-se públicas e foram rapidamente reutilizadas por grupos sem relação com seus criadores originais. O [[s0673-darkpulsar|DarkPulsar]], junto com o [[eternalblue|EternalBlue]] - que alimentou o [[wannacry|WannaCry]] e o [[s0368-notpetya|NotPetya]] - demonstra o risco catastrófico de armazenamento de exploits ofensivos sem controles adequados. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1078-003-local-accounts|T1078.003 - Local Accounts]] - [[t1543-003-windows-service|T1543.003 - Windows Service]] - [[t1134-001-token-impersonation-theft|T1134.001 - Token Impersonation/Theft]] - [[t1098-account-manipulation|T1098 - Account Manipulation]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] ## Detecção - Monitorar criação de novos serviços do Windows por processos não relacionados a instalações legítimas ([[t1543-003-windows-service|T1543.003]]) - Detectar impersonation de token de segurança por processos sem uso legítimo ([[t1134-001-token-impersonation-theft|T1134.001]]) - Alertar sobre modificações em contas locais do sistema ([[t1098-account-manipulation|T1098]]) - Verificar presença de serviços com nomes genéricos ou suspeitos em sistemas críticos - Implementar regras YARA baseadas nas assinaturas conhecidas do DarkPulsar identificadas pela Kaspersky ## Relevância LATAM/Brasil O [[s0673-darkpulsar|DarkPulsar]] e as ferramentas vazadas pelo Shadow Brokers foram amplamente adotados por grupos de ransomware e espionagem que atacaram alvos globalmente, incluindo o Brasil. O [[wannacry|WannaCry]] e o [[s0368-notpetya|NotPetya]], que utilizaram exploits do mesmo vazamento, causaram danos significativos a organizações brasileiras em 2017. O DarkPulsar, como backdoor persistente, pode estar presente em sistemas brasileiros que foram comprometidos nos anos seguintes ao vazamento sem que os defensores o tenham detectado e removido. Organizações com sistemas Windows legados especialmente são vulneráveis. ## Referências - [Kaspersky - DarkPulsar Analysis](https://securelist.com/darkpulsar/88199/) - [Shadow Brokers Leak - Context](https://www.schneier.com/blog/archives/2017/04/the_shadow_brok.html)