s1084-quietexit - RunkIntel

# QUIETEXIT > Tipo: **malware** · S1084 · [MITRE ATT&CK](https://attack.mitre.org/software/S1084) ## Descrição [[s1084-quietexit|QUIETEXIT]] é um backdoor inovador, baseado no software open-source Dropbear SSH client-server, utilizado pelo [[g0016-apt29|APT29]] desde pelo menos 2021. O [[g0016-apt29|APT29]] implantou o QUIETEXIT em appliances de rede opacos - como roteadores, firewalls e dispositivos de armazenamento NAS - que tipicamente não oferecem suporte a antivírus ou ferramentas de detecção e resposta em endpoints no ambiente das vítimas. A escolha de implantar um backdoor SSH em dispositivos de rede é uma tática deliberada de persistência de longo prazo: esses dispositivos raramente são reiniciados, raramente recebem atualizações de segurança em ambientes corporativos, e não são cobertos pela maioria das soluções de EDR. O QUIETEXIT explora essa lacuna de visibilidade para manter acesso persistente às redes comprometidas por meses ou anos sem detecção. O malware suporta múltiplos canais de comunicação ([[t1071-application-layer-protocol|T1071]]) com mecanismos de fallback ([[t1008-fallback-channels|T1008]]), e usa proxies externos ([[t1090-002-external-proxy|T1090.002]]) para mascarar o tráfego C2. Seu disfarce como componente legítimo de rede ([[t1036-005-match-legitimate-resource-name-or-location|T1036.005]]) e o uso de protocolos de camada não-aplicação ([[t1095-non-application-layer-protocol|T1095]]) tornam sua detecção excepcionalmente difícil com ferramentas convencionais. **Plataformas:** Network Devices ## Técnicas Utilizadas - [[t1090-002-external-proxy|T1090.002 - External Proxy]] - [[t1008-fallback-channels|T1008 - Fallback Channels]] - [[t1095-non-application-layer-protocol|T1095 - Non-Application Layer Protocol]] - [[t1071-application-layer-protocol|T1071 - Application Layer Protocol]] - [[t1036-005-match-legitimate-resource-name-or-location|T1036.005 - Match Legitimaté Resource Name or Location]] ## Grupos que Usam - [[g0016-apt29|APT29]] ## Detecção A detecção do QUIETEXIT requer visibilidade sobre dispositivos de rede que tipicamente escapam ao monitoramento de segurança convencional. Estrategias incluem: inspeção de tráfego SSH de saída originado de dispositivos de rede para destinos externos inesperados, análise de integridade de firmware em appliances (comparação de hashes), e implementação de Network Detection and Response (NDR) capaz de analisar tráfego de protocolos não-padrão. Logs de autenticação SSH em dispositivos perimetrais devem ser coletados e monitorados por SIEM. ## Relevância LATAM/Brasil O [[g0016-apt29|APT29]] é um dos grupos de espionagem mais avançados operando globalmente, com foco em governos, organizações diplomáticas e think tanks. No Brasil, instituições governamentais com relações internacionais e organizações ligadas a agências de inteligência representam alvos potenciais de grupos com capacidades similares ao APT29. A tática de persistência em dispositivos de rede - especialmente relevante dado o crescente uso de appliances de segurança de fornecedores com vulnerabilidades conhecidas - é uma ameaça real para a infraestrutura crítica nacional. ## Referências - [MITRE ATT&CK - S1084](https://attack.mitre.org/software/S1084)