# BianLian Backdoor ## Visão Geral O **BianLian Backdoor** é um backdoor personalizado escrito em **Go (Golang)**, desenvolvido e utilizado exclusivamente pelo grupo de ransomware [[bianlian]]. Cada vítima recebe uma variante compilada específicamente com endereços C2 e configurações individualizadas, tornando a correlação entre amostras e a detecção baseada em hash ineficaz. Após o lançamento de um decryptor gratuito pela [[avast]] em janeiro de 2023, o grupo BianLian modificou sua estratégia operacional: abandonou a criptografia de dados em muitos casos e migrou para um modelo de **extorsão baseado apenas em exfiltração** - ameaçando vazar dados roubados sem necessáriamente cifrar os sistemas da vítima. Em 2024, variantes Linux foram identificadas, ampliando o alcance para servidores VMware ESXi. ## Características Técnicas ### Arquitetura em Go O uso do Go oferece vantagens táticas ao grupo: - **Cross-compilation**: geração de binários para Windows, Linux e macOS com o mesmo codebase - **Binário estático**: inclui todas as dependências, reduzindo requisitos do sistema-alvo - **Ofuscação de tipos**: a reflexão de tipos do Go dificulta análise estática e reversão - **Uniqueness por vítima**: cada sample compilada tem endereço C2 e parâmetros únicos incorporados ### Capacidades do Backdoor - **Acesso remoto**: shell interativo via conexão TCP reversa ao C2 hardcoded - **Exfiltração de dados**: transferência de arquivos em lote para o servidor C2 ([[t1041-exfiltration-over-c2|T1041]]) - **Persistência**: criação de serviço Windows ou agendamento de tarefas via `SCHTASKS` - **Descoberta do ambiente**: enumeração de processos, usuários, rede e compartilhamentos ([[t1083-file-and-directory-discovery|T1083]]) - **Limpeza de rastros**: exclusão de logs de eventos Windows ([[t1070-indicator-removal|T1070]]) - **Execução de payloads**: download e execução de ferramentas adicionais (ex: [[s0154-cobalt-strike]]) ### Modelo de Extorsão Pós-2023 ``` ANTES (2022-início 2023): Acesso inicial → Backdoor → Exfiltração → Criptografia → Dupla extorsão DEPOIS (pós-decryptor Avast): Acesso inicial → Backdoor → Exfiltração massiva → Ameaça de vazamento (sem criptografia necessária) ``` ## Diagrama de Infecção ```mermaid graph TB A["Acesso Inicial<br/>ProxyShell / SonicWall / RDP"] --> B["Reconhecimento Interno<br/>ADFind / BloodHound"] B --> C["Movimento Lateral<br/>Pass-the-Hash / SMB"] C --> D["BianLian Backdoor<br/>Go - Único por Vitima"] D --> E["Exfiltração em Massa<br/>Rclone / FTP / SFTP"] E --> F1["Modelo Antigo 2022<br/>Criptografia + Extorsao"] E --> F2["Modelo Atual 2023+<br/>Apenas Exfiltração"] F2 --> G["Site de Vazamento<br/>Ameaça Publica"] ``` ## Diagrama de Variantes ```mermaid graph TB A["BianLian Backdoor<br/>Golang 2022"] --> B["Variante Windows<br/>x64 por vitima"] A --> C["Variante Linux 2024<br/>Target ESXi"] B --> D["Dropper via RDP<br/>Acesso inicial manual"] C --> E["Ataque a Hypervisors<br/>Virtualizacao VMware"] D --> F["C2 Hardcoded<br/>IP único por amostra"] E --> F F --> G["Exfiltração massiva<br/>antes de acoes finais"] ``` ## Campanhas Associadas ### BianLian Ransomware (2022-Presente) O grupo [[bianlian]] é responsável por ataques a organizações nos setores [[healthcare|saúde]], [[financial|financeiro]] e [[critical-infrastructure|infraestrutura crítica]] globalmente. O CISA e o FBI emitiram um aviso conjunto em maio de 2023 alertando sobre as táticas do grupo, específicamente sobre a mudança para extorsão sem criptografia. Setores mais afetados incluem [[healthcare|saúde]] (hospitais e prestadores médicos nos EUA), [[technology|tecnologia]] e [[government|governo]]. A variante Linux de 2024 ampliou o escopo para ataques a infraestruturas virtualizadas. ## Relevância para LATAM e Brasil > [!latam] Relevância para o Brasil > **BianLian** representa ameaça direta ao Brasil via **RDP exposto** — vetor primário e comum em infraestrutura legada brasileira. A estratégia de **extorsão sem criptografia** torna vítimas brasileiras vulneráveis a vazamentos sem impacto operacional imediato, mas com sérias implicações sob a **LGPD** — vazamentos de dados pessoais de pacientes ou clientes acionam multas da **ANPD**. O setor de saúde brasileiro é vulnerável pelo mesmo vetor que afeta hospitais nos EUA (ProxyShell, VPNs desatualizadas). - **Setor de saúde**: ataques a hospitais e operadoras de saúde documentados em múltiplos países; o [[healthcare|setor de saúde]] brasileiro é vulnerável pelo mesmo vetor (ProxyShell, VPNs desatualizadas) - **Extorsão sem criptografia**: organizações brasileiras podem ser vítimas sem perceber imediato impacto operacional, mas sofrer vazamento de dados sensíveis - **LGPD**: vazamentos de dados pessoais de pacientes ou clientes têm implicações diretas com a [[lgpd|LGPD]] brasileira e multas da [[anpd|ANPD]] - **Acesso via RDP exposto**: infraestrutura legada com RDP exposto é vetor primário e comum no Brasil ## Detecção e Mitigação ### Indicadores de Comprometimento **Comportamentais:** - Binário Go executado como serviço Windows com nome genérico - Conexões TCP de saída persistentes para IPs não categorizados em porta 443 ou 8443 - Execução de `rclone` ou ferramentas de sincronização de nuvem a partir de contexto de sistema - Exclusão de logs `Security`, `System` e `Application` do Event Viewer - Uso de ferramentas de reconhecimento AD (`ADFind.exe`, `BloodHound`, `SharpHound`) **Forenses:** - Amostras com entropia uniforme nas seções Go runtime (`go.string.` e `go.func.`) - Endereço IP único hardcoded no binário (identificável com strings/FLOSS) - Ausência de imports Win32 diretos (resolução via runtime Go) ### Mitigações Recomendadas Implementar [[m1042-disable-or-remove-feature|M1042]] desabilitando RDP quando não necessário e usando VPN com MFA. Aplicar [[m1030-network-segmentation|M1030]] para limitar movimento lateral. Usar [[m1057-data-backup|M1057]] com backups offline verificados. Monitorar via [[ds0029-network-traffic|DS0029]] para conexões TCP persistentes de saída de processos do sistema. ## Referências - [1](https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-136a) CISA/FBI - #StopRansomware: BianLian Ransomware Group Advisory (2023) - [2](https://www.avast.com/ransomware-decryption-tools) Avast - BianLian Ransomware Decryptor Release (2023) - [3](https://www.bleepingcomputer.com/news/security/bianlian-ransomware-gang-shifts-focus-to-data-theft-extortion/) BleepingComputer - BianLian Shifts Focus to Data Theft Extortion (2023) - [4](https://www.redcanary.com/blog/bianlian-ransomware/) Red Canary - BianLian Technical Analysis (2023) - [5](https://malpedia.caad.fkie.fraunhofer.de/details/win.bianlian) Malpedia - BianLian Entry (2024)