# GhostEmperor > Tipo: **rootkit** · [Kaspersky Research](https://securelist.com/ghostemperor-from-proxylogon-to-kernel-control/104407/) ## Descrição [[ghostemperor|GhostEmperor]] é uma ameaça persistente avançada que combina um backdoor de alto nível com um rootkit de kernel chamado Demodex, tornando-o uma das ameaças de espionagem mais sofisticadas documentadas recentemente. Descoberto pela Kaspersky em 2021, o GhostEmperor é atribuído a um grupo de espionagem de língua chinesa ainda não identificado públicamente. O malware foi utilizado em ataques contra governos e empresas de telecomúnicações no Sudeste Asiático - Malásia, Tailândia, Vietnã, Indonésia - e também no Egito. O aspecto mais notável do [[ghostemperor|GhostEmperor]] é o uso do rootkit Demodex, que opera em nível de kernel (Ring 0) contornando os mecanismos de verificação de drivers do Windows (Driver Signature Enforcement - DSE). Para instalar o rootkit não-assinado, o malware abusa de drivers vulneráveis e legítimos já presentes no sistema - uma técnica conhecida como BYOVD (Bring Your Own Vulnerable Driver). Uma vez instalado no kernel, o Demodex oculta processos, arquivos, chaves de registro e conexões de rede do malware, tornando a detecção por soluções tradicionais de segurança práticamente impossível. O vetor de entrada do [[ghostemperor|GhostEmperor]] foi a exploração de vulnerabilidades de servidor Microsoft Exchange (ProxyLogon/ProxyShell - CVE-2021-26855 e relacionadas), permitindo execução remota de código sem autenticação prévia. Esta combinação de vetor de alta criticidade com rootkit de kernel representa o estado da arte em operações de espionagem avançada, e destaca a importância crítica de patching rápido de servidores Exchange expostos à internet. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1014-rootkit|T1014 - Rootkit]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1548-002-bypass-user-account-control|T1548.002 - Bypass User Account Control]] - [[t1055-process-injection|T1055 - Process Injection]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - [[t1543-003-windows-service|T1543.003 - Windows Service]] ## Detecção > [!tip] Indicadores de Detecção > - Verificar integridade do kernel usando ferramentas especializadas de análise de rootkit (Volatility, GMER, Anti-Rootkit de vendors) > - Monitorar carregamento de drivers não-assinados ou com assinaturas revogadas no sistema > - Detectar técnicas BYOVD: presença de drivers conhecidamente vulneráveis (atualizar listas de LOLDrivers) > - Alertar sobre comprometimento de servidores Exchange via ProxyLogon (monitorar logs IIS para padrões de exploit) > - Implementar Secure Boot e UEFI Secure Boot para dificultar persistência de rootkits de kernel ## Relevância LATAM/Brasil O [[ghostemperor|GhostEmperor]] representa uma classe de ameaças de rootkit de kernel que são particularmente difíceis de detectar e remediar. No Brasil, servidores Exchange on-premises são amplamente utilizados por organizações governamentais, empresas de telecomúnicações e grandes corporações - exatamente os alvos do GhostEmperor. A Anatel e Oi/Claro/TIM são exemplos de operadoras que mantêm infraestruturas complexas que podem incluir servidores Exchange vulneráveis. A técnica BYOVD de abuso de drivers legítimos vulneráveis é crescentemente adotada por múltiplos grupos APT e deve ser incluída em modelos de ameaça de organizações críticas brasileiras. ## Referências - [Kaspersky SecureList - GhostEmperor](https://securelist.com/ghostemperor-from-proxylogon-to-kernel-control/104407/)