s1156-manjusaka - RunkIntel

# Manjusaka > Tipo: **malware** · S1156 · [MITRE ATT&CK](https://attack.mitre.org/software/S1156) ## Descrição [[s1156-manjusaka|Manjusaka]] é um framework de intrusão desenvolvido em chinês, similar ao [[s0633-sliver|Sliver]] e ao [[s0154-cobalt-strike|Cobalt Strike]] em termos de funcionalidade, mas com arquitetura diferente. O controlador é um binário ELF escrito em GoLang com interface web em chinês, enquanto os implants para Windows e Linux são escritos em Rust, garantindo performance e dificultando a análise. Identificado pelo Cisco Talos em 2022, o Manjusaka é composto por múltiplos componentes comercializados separadamente, sendo apenas o módulo de C2 disponível gratuitamente - o que sugere um modelo de negócio underground similar ao do Cobalt Strike. O Manjusaka realiza descoberta abrangente do ambiente ([[t1082-system-information-discovery|T1082]], [[t1016-system-network-configuration-discovery|T1016]], [[t1083-file-and-directory-discovery|T1083]]), roubo de credenciais de navegadores ([[t1555-003-credentials-from-web-browsers|T1555.003]]) e outros armazenamentos de senhas ([[t1555-credentials-from-password-stores|T1555]]), capturas de tela ([[t1113-screen-capture|T1113]]) e execução de shell Windows ([[t1059-003-windows-command-shell|T1059.003]]). A exfiltração ocorre via canal C2 HTTP ([[t1041-exfiltration-over-c2-channel|T1041]]) com codificação padrão ([[t1132-001-standard-encoding|T1132.001]]). A presença de implants tanto para Windows quanto Linux em um framework gratuito o torna atrativo para múltiplos tipos de atores, incluindo grupos com recursos limitados. O Manjusaka representa a tendência de frameworks de ataque open-source ou low-cost surgindo como alternativas ao Cobalt Strike para atores que buscam evadir a detecção de assinaturas específicas de CS. Organizações no Brasil e na América Latina que adotaram regras de detecção focadas apenas em Cobalt Strike estão expostas a frameworks alternativos como o Manjusaka. **Plataformas:** Linux, Windows ## Técnicas Utilizadas - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1555-credentials-from-password-stores|T1555 - Credentials from Password Stores]] - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1555-003-credentials-from-web-browsers|T1555.003 - Credentials from Web Browsers]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1113-screen-capture|T1113 - Screen Capture]] - [[t1132-001-standard-encoding|T1132.001 - Standard Encoding]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] ## Detecção - **[[ds-0009-process|Process Creation]]** - Monitorar binários Rust (identificados por tamanho e imports característicos) em sistemas sem justificativa de uso de Rust - os implants do Manjusaka são escritos em Rust. - **[[ds-0029-network-traffic|Network Traffic Content]]** - Detectar conexões a IPs de C2 por processos com nomes genéricos usando HTTP com headers customizados fora do padrão de navegadores - padrão de C2 dos implants Manjusaka. - **[[ds-0036-group|User Account Authentication]]** - Alertar para acesso a armazenamentos de credenciais de navegadores (Chrome `Login Data`, Firefox `logins.json`) por processos não relacionados a browsers - técnica de roubo de credenciais do Manjusaka. ```sigma title: Manjusaka Rust Implant Browser Credential Access status: experimental logsource: category: file_event product: windows detection: selection: TargetFilename|contains: - '\Chrome\User Data\Default\Login Data' - '\Firefox\Profiles\' - 'logins.json' filter: Image|contains: - 'chrome.exe' - 'firefox.exe' condition: selection and not filter falsepositives: - Password manager integrations accessing browser stores level: high tags: - attack.credential-access - attack.t1555.003 - code/distill ``` ## Relevância LATAM/Brasil O Manjusaka, como framework ofensivo de origem chinesa com interface em chinês, é provavelmente usado por atores com nexo China. Organizações no Brasil e na América Latina que são alvos de espionagem industrial ou governamental por atores chineses devem incluir detecção de frameworks alternativos ao Cobalt Strike - como Manjusaka, Sliver e Brute Ratel - em suas capacidades de threat hunting. ## Referências - [MITRE ATT&CK - S1156](https://attack.mitre.org/software/S1156) - [Cisco Talos - Manjusaka: A Chinese Sibling of Sliver and Cobalt Strike](https://blog.talosintelligence.com/manjusaka-offensive-framework/)