# Hyperion Packer > Tipo: **packer/crypter** · [Ferramenta de ofuscação] ## Descrição [[hyperion-packer|Hyperion]] é um packer e crypter de código aberto para Windows, originalmente desenvolvido como ferramenta de pesquisa de segurança e disponível no GitHub. O Hyperion cifra executáveis Windows (PE files) com AES-128 e os empacota em um wrapper executável que realiza a descriptografia em memória durante a execução - a chave AES é brute-forced (computada iterativamente) pelo próprio executável durante a inicialização, eliminando a necessidade de armazenar a chave no binário. Essa abordagem torna a análise estática ineficaz, pois o payload real nunca está em texto claro no arquivo em disco. O Hyperion foi concebido para fins legítimos de ofuscação de software e pesquisa de evasão, mas sua disponibilidade pública e eficácia o tornaram popular no ecossistema de malware. Grupos de crime cibernético usam o Hyperion para empacotar RATs, trojans bancários e outros malwares antes de distribuição - aumentando a taxa de bypass de antivírus baseados em assinatura. A técnica de brute-force da chave AES durante execução é computacionalmente barata em hardware moderno (levando frações de segundo), tornando o impacto na experiência do usuário negligível. Ferramentas como o Hyperion representam o desafio permanente de controles baseados em assinatura: o mesmo payload malicioso, quando empacotado com diferentes seeds aleatórias, gera binários completamente diferentes em disco, cada um evadindo assinaturas baseadas no hash ou em padrões de bytes do payload original. Essa é a razão pela qual defesas baseadas em comportamento e sandbox dinâmica são essenciais como complemento a antivírus tradicionais. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1027-002-software-packing|T1027.002 - Software Packing]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] ## Detecção A detecção de executáveis empacotados com Hyperion requer análise dinâmica (sandbox). Assinaturas baseadas no wrapper do Hyperion - o código de descriptografia e brute-force - são mais estáveis que assinaturas no payload, pois o wrapper muda menos entre versões. Ferramentas de sandbox como Cuckoo, Any.run e Hybrid Analysis identificam comportamentos de descriptografia em memória. Regras YARA baseadas na estrutura do wrapper Hyperion (incluindo a rotina de brute-force AES) estão disponíveis em repositórios públicos. Detecção de empacotamento em geral via análise de entropia de seções PE é um indicador complementar. ## Relevância LATAM/Brasil O uso de crypters e packers como o Hyperion é altamente relevante no Brasil, onde grupos de crime cibernético frequentemente empacotam malwares antes de distribuição para aumentar a taxa de sucesso contra antivírus instalados em vítimas. Trojans bancários brasileiros (como variantes do [[s0531-grandoreiro|Grandoreiro]], [[mekotio|Mekotio]] e outros) frequentemente usam packers customizados ou ferramentas como o Hyperion como parte da cadeia de distribuição. A análise de sandbox é essencial para organizações brasileiras que processam arquivos suspeitos. ## Referências - [GitHub - nullsecuritynet/hyperion](https://github.com/nullsecuritynet/tools/blob/master/binary/hyperion/release/Hyperion-1.0.zip) - [Malwarebytes - Hyperion: An AES-Encrypted Crypter](https://www.malwarebytes.com/blog/news/2015/12/analysis-hyperion-an-aes-encrypted-crypter)