darkwatchman - RunkIntel

# DarkWatchman > Tipo: **malware** · S0673 · [MITRE ATT&CK](https://attack.mitre.org/software/S0673) ## Descrição [[darkwatchman|DarkWatchman]] é um remote access tool (RAT) leve baseado em JavaScript que evita operações com arquivos; foi observado pela primeira vez em novembro de 2021 por pesquisadores da Prevailion e posteriormente documentado pela Prodaft. O malware é notável por sua arquitetura filelessly - em vez de gravar arquivos no disco, utiliza o registro do Windows como armazenamento primário para componentes e configuração, evitando assim a maioria das soluções de segurança baseadas em detecção de arquivos. O [[darkwatchman|DarkWatchman]] é distribuído como um par de componentes: um RAT em JavaScript e um keylogger em C#. O RAT gerencia a comunicação C2 usando algoritmo de geração de domínios (DGA) baseado na data atual, tornando o bloqueio de domínios ineficaz. O keylogger é comprimido e armazenado exclusivamente no registro do Windows, sem nunca tocar o disco. Entre as capacidades destacam-se: descoberta de localização do sistema, verificação de hora do sistema, descoberta de jánelas de aplicativos abertas e execução de comandos PowerShell. O perfil operacional do [[darkwatchman|DarkWatchman]] sugere uso em ataques direcionados de espionagem corporativa, dada sua sofisticação técnica e a capacidade de burlar soluções EDR modernas. A técnica de armazenamento exclusivamente no registro (fileless storage) via [[t1027-011-fileless-storage|T1027.011]] é especialmente eficaz contra ambientes com forte controle de execução de arquivos mas monitoramento insuficiente do registro do Windows. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1614-system-location-discovery|T1614 - System Location Discovery]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1027-011-fileless-storage|T1027.011 - Fileless Storage]] - [[t1027-015-compression|T1027.015 - Compression]] - [[t1112-modify-registry|T1112 - Modify Registry]] - [[t1490-inhibit-system-recovery|T1490 - Inhibit System Recovery]] - [[t1074-001-local-data-staging|T1074.001 - Local Data Staging]] - [[t1010-application-window-discovery|T1010 - Application Window Discovery]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1124-system-time-discovery|T1124 - System Time Discovery]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1027-010-command-obfuscation|T1027.010 - Command Obfuscation]] - [[t1568-002-domain-generation-algorithms|T1568.002 - Domain Generation Algorithms]] - [[t1012-query-registry|T1012 - Query Registry]] - [[t1129-shared-modules|T1129 - Shared Modules]] ## Detecção - Monitorar valores de dados extensos em chaves de registro incomuns - especialmente em `HKCU\Software\` ([[t1027-011-fileless-storage|T1027.011]]) - Detectar execuções de wscript.exe ou cscript.exe com parâmetros suspeitos iniciados por processos não convencionais ([[t1059-001-powershell|T1059.001]]) - Alertar sobre domínios gerados algoritmicamente com padrão de data embutido ([[t1568-002-domain-generation-algorithms|T1568.002]]) - Monitorar modificações no registro em `HKCU\Software\Microsoft\Windows\CurrentVersion\Run` ([[t1112-modify-registry|T1112]]) - Identificar tentativas de inibir recuperação do sistema ([[t1490-inhibit-system-recovery|T1490]]) ## Relevância LATAM/Brasil O [[darkwatchman|DarkWatchman]], por ser uma ferramenta sofisticada com forte capacidade de evasão, é relevante para ambientes corporativos brasileiros que enfrentam ameaças de espionagem industrial. O setor financeiro, jurídico e de tecnologia no Brasil são alvos frequentes de RATs baseados em JavaScript distribuídos via spear-phishing em português. A técnica de armazenamento no registro sem toque no disco (fileless) é especialmente eficaz contra os controles de segurança predominantes no Brasil, onde muitas organizações ainda dependem de soluções antivírus tradicionais com detecção baseada em arquivos. ## Referências - [MITRE ATT&CK - S0673](https://attack.mitre.org/software/S0673) - [Prevailion - DarkWatchman Analysis](https://www.prevailion.com/darkwatchman-new-fileless-techniques/)