s0471-builddowner - RunkIntel

# build_downer > Tipo: **malware** · S0471 · [MITRE ATT&CK](https://attack.mitre.org/software/S0471) ## Descrição [[s0471-builddowner|build_downer]] é um downloader utilizado pelo [[g0060-bronze-butler|BRONZE BUTLER]] desde pelo menos 2019. O [[g0060-bronze-butler|BRONZE BUTLER]] (também conhecido como TICK ou Stalker Panda) é um grupo APT China-nexus com foco em espionagem industrial e tecnológica, e o build_downer integra seu arsenal de ferramentas de primeiro estágio para estabelecer presença inicial em alvos Windows. O downloader utiliza técnicas de esteganografia ([[t1027-003-steganography|T1027.003]]) para ocultar seus payloads em imagens e outros arquivos aparentemente benignos, o que dificulta significativamente a detecção por soluções de segurança tradicionais. Uma vez implantado, o build_downer verifica configurações de tempo do sistema ([[t1124-system-time-discovery|T1124]]) e detecta softwares de segurança ([[t1518-001-security-software-discovery|T1518.001]]) antes de prosseguir com o download e execução de payloads adicionais, demonstrando consciência operacional do ambiente-alvo. A persistência é garantida via chaves de registro do Windows ([[t1547-001-registry-run-keys-startup-folder|T1547.001]]) e a ferramenta mascara processos maliciosos como serviços legítimos ([[t1036-004-masquerade-task-or-service|T1036.004]]), tornando-a difícil de identificar sem análise comportamental aprofundada. O uso de [[t1105-ingress-tool-transfer|T1105]] para download de payloads subsequentes indica que o build_downer é tipicamente um vetor de acesso inicial para implants de segunda fase mais sofisticados. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1106-native-api|T1106 - Native API]] - [[t1036-004-masquerade-task-or-service|T1036.004 - Masquerade Task or Service]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1027-003-steganography|T1027.003 - Steganography]] - [[t1124-system-time-discovery|T1124 - System Time Discovery]] - [[t1518-001-security-software-discovery|T1518.001 - Security Software Discovery]] - [[t1680-local-storage-discovery|T1680 - Local Storage Discovery]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] ## Grupos que Usam - [[g0060-bronze-butler|BRONZE BUTLER]] ## Detecção - **Análise de arquivos de imagem**: Monitorar downloads de imagens seguidos de execução de processo incomum - indicativo de esteganografia ([[t1027-003-steganography|T1027.003]]); ferramentas como binwalk podem extrair payloads ocultos - **Event ID 4657** (Windows): Modificações em chaves de registro Run/RunOnce para detectar persistência ([[t1547-001-registry-run-keys-startup-folder|T1547.001]]) - **EDR telemetry**: Detectar processos que acessam `HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options` e executam chamadas nativas ([[t1106-native-api|T1106]]) logo após downloads de rede - **Sigma rule**: `registry_event_run_key_modification.yml` (SigmaHQ) combinado com correlação de eventos de rede para identificar persistência seguida de download de payload ## Relevância LATAM/Brasil O [[g0060-bronze-butler|BRONZE BUTLER]] tem foco tradicional em alvos de manufatura avançada e defesa no Jápão e Leste Asiático, porém as técnicas empregadas pelo build_downer - especialmente esteganografia e mascaramento de processos - são amplamente reutilizadas por grupos que atacam o setor industrial brasileiro (aeronáutica, petroquímica, agronegócio). O padrão de download via steganografia é relevante para SOCs brasileiros que monitoram exfiltração de propriedade intelectual em setores estratégicos nacionais. ## Referências - [MITRE ATT&CK - S0471](https://attack.mitre.org/software/S0471)