s0258-rgdoor - RunkIntel

# RGDoor > Tipo: **malware** · S0258 · [MITRE ATT&CK](https://attack.mitre.org/software/S0258) ## Descrição [[s0258-rgdoor|RGDoor]] é um backdoor malicioso para Internet Information Services (IIS) desenvolvido em C++ pelo [[g0049-oilrig|OilRig]] (APT34). O malware foi observado implantado em servidores web de organizações governamentais do Oriente Médio como componente de persistência após comprometimento inicial - estabelecendo um canal backdoor via o próprio servidor web da vítima. O RGDoor funciona como um módulo IIS nativo ([[t1505-004-iis-components|T1505.004]]) que se registra no pipeline de processamento de requisições HTTP do servidor web, recebendo e executando comandos embutidos em requisições HTTP legítimas ([[t1071-001-web-protocols|T1071.001]]). Isso permite que o [[g0049-oilrig|OilRig]] execute comandos shell ([[t1059-003-windows-command-shell|T1059.003]]), realize upload e download de arquivos ([[t1105-ingress-tool-transfer|T1105]]), e exfiltre dados coletados ([[t1560-003-archive-via-custom-method|T1560.003]]) - tudo via o tráfego web aparentemente normal do servidor. A técnica de backdoor via módulo IIS é particularmente insidiosa em servidores web governamentais: o tráfego malicioso se mistura perfeitamente com as centenas de milhares de requisições HTTP legítimas que o servidor recebe diariamente, e o módulo é carregado diretamente pelo processo `w3wp.exe` do IIS, tornando-o invisível para soluções de segurança que não monitoram a camada de módulos IIS. O malware também realiza reconhecimento básico do usuário logado ([[t1033-system-owneruser-discovery|T1033]]) e decodifica dados antes do processamento ([[t1140-deobfuscatedecode-files-or-information|T1140]]). **Plataformas:** Windows ## Técnicas Utilizadas - [[t1505-004-iis-components|T1505.004 - IIS Components]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1560-003-archive-via-custom-method|T1560.003 - Archive via Custom Method]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] ## Grupos que Usam - [[g0049-oilrig|OilRig]] ## Detecção Detectar o RGDoor requer auditoria dos módulos IIS instalados no servidor web ([[t1505-004-iis-components|T1505.004]]) - qualquer módulo não reconhecido ou não assinado deve ser investigado imediatamente. Ferramentas como `appcmd list module` podem listar módulos IIS ativos. Análise de logs de acesso web para padrões de requisições com headers ou parâmetros incomuns pode revelar o canal de comando. Soluções WAF com inspeção profunda de requisições HTTP são eficazes para detectar o padrão de comunicação do RGDoor. ## Relevância LATAM/Brasil Servidores IIS hospedando portais governamentais e sistemas corporativos são amplamente utilizados no Brasil. A técnica de backdoor via módulo IIS é particularmente relevante para organizações brasileiras que expõem serviços web baseados em tecnologias Microsoft para a internet, incluindo portais de governo eletrônico, sistemas tributários (e-CAC, NF-e) e plataformas corporativas. A abordagem do [[g0049-oilrig|OilRig]] de usar infraestrutura de servidor web existente como canal backdoor é uma técnica sofisticada que sublinha a necessidade de auditoria regular de módulos de servidores web em ambientes governamentais brasileiros. ## Referências - [MITRE ATT&CK - S0258](https://attack.mitre.org/software/S0258)