# Lilith RAT > Tipo: **rat** · S1160 · [MITRE ATT&CK](https://attack.mitre.org/software/S1160) ## Descrição [[lilith-rat|Lilith RAT]] é um Remote Access Trojan open-source disponibilizado públicamente no GitHub a partir de 2022, representando a crescente categoria de RATs de código aberto que são simultaneamente utilizados por pesquisadores de segurança em ambientes de teste e por atores maliciosos em operações reais. O [[lilith-rat|Lilith RAT]] é implementado em C++ com interface de controle baseada em painel web, tornando-o acessível a operadores sem necessidade de infraestrutura C2 complexa. Sua disponibilidade gratuita e código-fonte aberto acelerou a adoção por múltiplos grupos de ameaça de diferentes níveis de sofisticação. As capacidades do [[lilith-rat|Lilith RAT]] incluem execução de comandos via Windows Command Shell ([[t1059-003-windows-command-shell|T1059.003]]) e PowerShell ([[t1059-001-powershell|T1059.001]]), captura de tela periódica ([[t1113-screen-capture|T1113]]), keylogging ([[t1056-001-keylogging|T1056.001]]), descoberta de sistema ([[t1082-system-information-discovery|T1082]]) e arquivos ([[t1083-file-and-directory-discovery|T1083]]), transferência de arquivos ([[t1105-ingress-tool-transfer|T1105]]) e exfiltração ([[t1041-exfiltration-over-c2-channel|T1041]]). Comúnicação C2 via HTTP ([[t1071-001-web-protocols|T1071.001]]) e persistência via autorun de registro ([[t1547-001-registry-run-keys-startup-folder|T1547.001]]) completam seu conjunto de funcionalidades básicas. O [[lilith-rat|Lilith RAT]] é um exemplo da democratização do cibercrime - RATs anteriormente disponíveis apenas para grupos APT bem-financiados agora estão acessíveis a práticamente qualquer ator malicioso via repositórios públicos. Esta proliferação de RATs open-source eleva o nível basal de ameaça para organizações de todos os tamanhos, pois até mesmo atores de baixa sofisticação podem conduzir operações de espionagem e comprometimento com ferramentas de qualidade razoável sem custo de desenvolvimento. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1113-screen-capture|T1113 - Screen Capture]] - [[t1056-001-keylogging|T1056.001 - Keylogging]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] ## Detecção Detecção do [[lilith-rat|Lilith RAT]] segue padrões gerais de detecção de RATs Windows. Monitorar: conexões HTTP regulares de processos desconhecidos para painéis web de controle; capturas de tela periódicas por processos em background; e modificações de autorun no registro por processos não-instaladores. Regras YARA baseadas no código-fonte público do [[lilith-rat|Lilith RAT]] estão disponíveis para detecção de binários compilados. Análise comportamental em sandbox é particularmente eficaz dado que o código-fonte é público e assinaturas estáticas são facilmente identificáveis. ## Relevância LATAM/Brasil O [[lilith-rat|Lilith RAT]] e RATs open-source similares são relevantes para o Brasil como ferramentas frequentemente utilizadas por grupos de cibercrime locais que não possuem capacidade de desenvolvimento próprio. O ecossistema de cibercrime brasileiro - um dos mais ativos do mundo - adota amplamente ferramentas open-source de RAT e infostealer para campanhas contra empresas e usuários domésticos. A disponibilidade do [[lilith-rat|Lilith RAT]] no GitHub significa que grupos de cibercrime brasileiros têm acesso fácil a capacidades de controle remoto sofisticadas, elevando o risco de comprometimentos bem-sucedidos em organizações sem defesas avançadas. ## Referências - [MITRE ATT&CK - S1160](https://attack.mitre.org/software/S1160)