s1052-deadeye - RunkIntel

# DEADEYE > [!danger] Resumo > Launcher in-memory utilizado pelo [[g0096-apt41|APT41]] em intrusoes em redes governamentais estaduais dos EUA (2021-2022). Entrega o backdoor [[lowkey|LOWKEY]] após decriptografar o payload com chave derivada do hostname/dominio DNS da vitima (environmental keying). Empacotado com VMProtect e fragmentado em múltiplos arquivos de disco para dificultar análise forense e coleta de amostras. Duas variantes: DEADEYE.EMBED (payload embutido no binario) e DEADEYE.APPEND (payload apendado ao overlay do arquivo). ## Visão Geral O [[s1052-deadeye|DEADEYE]] e um launcher de malware (MITRE S1052) desenvolvido e utilizado exclusivamente pelo [[g0096-apt41|APT41]] (também rastreado como BARIUM, Wicked Panda, Brass Typhoon e G0096 pelo MITRE). O Mandiant identificou o DEADEYE pela primeira vez em maio de 2021, durante uma intrusão em rede governamental estadual dos EUA que marcou o inicio de uma campanha persistente rastreada como C0017 - comprometendo pelo menos seis redes governamentais estaduais americanas entre maio de 2021 e fevereiro de 2022. A função primaria do DEADEYE e atuar como launcher: decriptografar e executar em memoria o backdoor passivo [[lowkey|LOWKEY]], sem deixar artefatos no disco. O mecanismo de environmental keying e particularmente sofisticado - as amostras do DEADEYE usam o nome do host e/ou dominio DNS da maquina vitima como entrada para gerar a chave de decriptografia via funções WinAPI `GetComputerNameA` e/ou `GetComputerNameExA`. Isso significa que o binario so executa corretamente no sistema alvo específico - se analisado em sandbox ou em outro host, o payload permanece criptografado e inacessivel, tornando análise estática e dinâmica em ambientes nao-alvo essencialmente inutil. O APT41 emprega estratégia de anti-análise em múltiplas camadas: empacotamento com VMProtect para dificultar engenharia reversa, e fragmentacao do binario VMProtect em múltiplos arquivos de disco. Essa fragmentacao reduz a probabilidade de todos os fragmentos serem adquiridos durante investigação forense, e impede que ferramentas EDR análisem o payload completo em memoria durante o carregamento. Duas variantes foram documentadas pelo Mandiant: **DEADEYE.EMBED** (payload embutido dentro do binario compilado, encontrado em Alternaté Data Stream de arquivo local) e **DEADEYE.APPEND** (payload apendado ao overlay do arquivo - variante mais antiga). A variante EMBED representa evolução técnica, pois o uso de Alternaté Data Stream esconde a existencia do payload de ferramentas de listagem convencional. A nomenclatura dos arquivos DEADEYE em sistemas comprometidos frequentemente comeca com USERS, SYSUSER e SYSLOG para parecer legitimo. A persistência e obtida via modificacao de tarefas agendadas Windows existentes (comando `schtasks /change`) que rodam no contexto SYSTEM, usando a lolbin `shell32.dll!ShellExec_RunDLLA`. **Plataformas:** Windows ## Como Funciona 1. **Acesso Inicial**: APT41 explora aplicações web públicas - CVE-2021-44207 (USAHerds) e CVE-2021-44228 (Log4Shell) foram os vetores primarios em C0017 2. **Staging com DUSTPAN**: Em alguns casos, o dropper [[s1158-dustpan|DUSTPAN]] e executado primeiro para carregar Cobalt Strike BEACON que prepara o ambiente 3. **Deploy do DEADEYE**: Binario DEADEYE fragmentado em múltiplos arquivos de disco com nomes como SYSLOG.dat, USERS.bin para evasão 4. **Environmental Keying**: DEADEYE executa `GetComputerNameA` / `GetComputerNameExA` para obter hostname e dominio DNS - usados como chave de decriptografia 5. **Decriptografia**: Payload (LOWKEY) e decriptografado em memoria; se o host nao for o alvo correto, a decriptografia falha silenciosamente 6. **Execução in-memory**: LOWKEY.PASSIVE e carregado diretamente na memoria sem tocar o disco 7. **Persistência**: Tarefas agendadas Windows existentes sao modificadas via `schtasks /change` para persistência com privilegio SYSTEM ## Cadeia de Infecção ```mermaid graph TB A["Acesso Inicial CVE-2021-44207 USAHerds CVE-2021-44228 Log4Shell"] --> B["Reconhecimento dsquery.exe AD enumeration systeminfo net config"] B --> C["DUSTPAN Dropper Cobalt Strike BEACON staging inicial"] C --> D["Deploy DEADEYE Binario fragmentado em disco nomes SYSLOG SYSUSER USERS"] D --> E["Environmental Keying GetComputerNameA hostname como chave crypto"] E --> F["Decriptografia in-memory Payload so executa no host alvo correto"] F --> G["LOWKEY.PASSIVE Backdoor passivo em memoria sem porta aberta no disco"] G --> H["Persistência schtasks /change em tarefas SYSTEM existentes"] ``` ## Variantes DEADEYE ```mermaid graph TB A["DEADEYE Launcher APT41 S1052 MITRE"] --> B["DEADEYE.APPEND Variante original"] A --> C["DEADEYE.EMBED Variante evolutiva"] B --> D["Payload apendado ao overlay do arquivo fim do binario PE"] C --> E["Payload em Alternaté Data Stream de arquivo local NTFS oculto"] A --> F["Anti-Análise Compartilhado"] F --> G["VMProtect packing dificulta reversao"] F --> H["Fragmentacao em disco multiplos arquivos parciais"] F --> I["Environmental keying hostname como chave falha em sandbox"] ``` ## Tacticas, Técnicas e Procedimentos (TTPs) | Tática | Técnica | Descrição | |--------|---------|-----------| | Evasão | [[t1480-001-environmental-keying\|T1480.001]] | Hostname e dominio DNS como chave de decriptografia | | Evasão | [[t1027-002-software-packing\|T1027.002]] | VMProtect para dificultar engenharia reversa | | Evasão | [[t1027-obfuscated-files-or-information\|T1027]] | Binario fragmentado em múltiplos arquivos de disco | | Evasão | [[t1036-005-match-legitimate-name\|T1036.005]] | Nomes de arquivo SYSLOG, SYSUSER, USERS para evasão | | Persistência | [[t1053-005-scheduled-task\|T1053.005]] | Modificacao de tarefas agendadas SYSTEM existentes | | Execução | [[t1218-011-rundll32\|T1218.011]] | shell32.dll ShellExec_RunDLLA para execução | | Persistência | [[t1574-002-dll-side-loading\|T1574.002]] | Import Address Table (IAT) de PE Windows legitimos | | Transferencia | [[t1105-ingress-tool-transfer\|T1105]] | certutil.exe para download de componentes | ## Tarefas Agendadas Documentadas (C0017) | Caminho da Tarefa | Contexto | |-------------------|----------| | `\Microsoft\Windows\PLA\Server Manager Performance Monitor` | Persistência DEADEYE | | `\Microsoft\Windows\Ras\ManagerMobility` | Persistência DEADEYE | | `\Microsoft\Windows\WDI\SrvSetupResults` | Persistência DEADEYE | | `\Microsoft\Windows\WDI\USOShared` | Persistência DEADEYE | Todas as tarefas utilizadas sao tarefas Windows **existentes e legitimas** modificadas via `schtasks /change` para carregar o launcher. Essa abordagem evita a criação de novas tarefas que poderiam disparar alertas de monitoramento. ## Ferramentas Complementares da Campanha C0017 | Ferramenta | Tipo | Função | |-----------|------|--------| | [[lowkey\|LOWKEY]] | Backdoor passivo | Payload entregue pelo DEADEYE - escuta conexoes | | [[s1158-dustpan\|DUSTPAN]] | Dropper in-memory | Carrega Cobalt Strike BEACON (StealthVector) | | [[s0154-cobalt-strike\|Cobalt Strike BEACON]] | Framework C2 | Acesso interativo pos-exploração | | dsquery.exe | Ferramenta AD | Reconhecimento de Active Directory | ## Alvos Documentados (C0017) | Tipo de Alvo | Pais | Período | |-------------|------|---------| | Governo estadual (6+ redes) | EUA | Mai 2021 - Fev 2022 | | Rede governamental estadual n.1 | EUA | Mai 2021 (USAHerds CVE-2021-44207) | | Redes governamentais estaduais | EUA | Dez 2021 (Log4Shell CVE-2021-44228) | ## Relevância LATAM/Brasil O [[g0096-apt41|APT41]] e um dos grupos de espionagem cibernetica mais prolíficos do mundo, conduzindo operações tanto de espionagem estatal (atribuida ao MSS chines) quanto de crime cibernetico com motivacao financeira. A campanha C0017 demonstrou a capacidade do APT41 de comprometer redes governamentais de alto valor explorando vulnerabilidades em aplicações web em horas ou dias após a divulgacao pública (Log4Shell explorado em menos de 24h após CVE-2021-44228). Para o Brasil, o risco e estrutural: o APT41 historicamente ataca setores de alto interesse estratégico chines - telecomúnicacoes, saúde, alta tecnologia, jogos digitais, farmaceutico e governo. O Brasil, como maior parceiro comercial da China na América Latina, membro do BRICS e economia tecnológica emergente, representa alvo natural para operações de espionagem economica do APT41. Aplicacoes web governamentais e corporativas brasileiras rodando Log4j, frameworks Java desatualizados ou aplicativos de gestao setorial sao vetores de alto risco para um launcher como o DEADEYE - projetado específicamente para operar silenciosamente em redes comprometidas por longos períodos sem ser detectado. ## Detecção > [!tip] Indicadores de Detecção > - Monitorar modificacoes de tarefas agendadas Windows existentes via `schtasks /change` - especialmente tarefas que rodam como SYSTEM e que passaram a usar `shell32.dll!ShellExec_RunDLLA` > - Alertar sobre arquivos com nomes SYSLOG*, SYSUSER*, USERS* em diretorios nao-padrao (Desktop, temp, staging) > - Detectar chamadas sequenciais de `GetComputerNameA` e `GetComputerNameExA` seguidas de operações criptograficas em processos incomuns (padrao de environmental keying) > - Monitorar acesso a Alternaté Data Streams (NTFS ADS) por processos nao-sistema - indicador de DEADEYE.EMBED > - YARA: buscar assinaturas VMProtect em binarios nos caminhos `\PLA\`, `\WDI\`, `\Ras\` do Windows Task Scheduler > - EDR: alertar sobre carregamento de módulos a partir de fragmentos de arquivo montados em memoria sem correspondencia em arquivo único no disco > - Verificar integridade do Import Address Table (IAT) de binarios Windows como HealthService.exe - adicao de imports suspeitos e indicador de trojanizacao ## Referências - [MITRE ATT&CK - S1052](https://attack.mitre.org/software/S1052/) - [Mandiant - APT41 Targeting U.S. State Governments](https://cloud.google.com/blog/topics/threat-intelligence/apt41-us-state-governments) - [Mandiant - APT41 Has Arisen From the DUST (2024)](https://www.mandiant.com/resources/blog/apt41-arisen-from-dust) - [SOC Prime - APT41 U.S. State Government Networks](https://socprime.com/blog/hacker-group-apt41-on-months-long-quest-breaching-the-u-s-state-government-networks/) - [Picus Security - APT41 Full TTP Analysis](https://www.picussecurity.com/resource/blog/apt41-cyber-attacks-history-operations-and-full-ttp-analysis) - [MITRE - APT41 Group G0096](https://attack.mitre.org/groups/G0096/)