# LimeRAT > [!warning] RAT Open-Source Multi-Funcional - Ransomware, Cryptominer e Worm em Uma Ferramenta > LimeRAT destaca-se dos demais RATs de commodity por combinar em um único pacote: acesso remoto completo, ransomware (extensao `.Lime`), mineracao de Monero, worm via USB, keylogger e stealer de carteiras de criptomoedas. Desenvolvido como projeto "educacional" no GitHub por NYAN-x-CAT e disponível gratuitamente, sua combinacao de funcionalidades torna-o especialmente perigoso para organizacoes que possam subestimar um RAT "educacional" open-source. O grupo [[aggah-group|Aggah Group]] utiliza LimeRAT em campanhas de malspam globais. ## Visão Geral [[limerat|LimeRAT]] (Lime Remote Administration Tool) e um RAT open-source escrito em Visual Basic.NET, públicado no GitHub como ferramenta "educacional" pelo usuario NYAN-x-CAT. Diferencia-se de outros RATs open-source por incluir em um único package: RAT completo, módulo de ransomware com extensao `.Lime`, minerador de Monero, spreader via USB, keylogger, stealer de senhas e carteiras de criptomoedas, e capacidade de DDoS. A primeira documentacao pública significativa data de 2019, quando a equipe Cybaze-Yoroi ZLab analisou uma cadeia de infecção complexa distribuindo LimeRAT via arquivo LNK. O malware usa ofuscação pesada de código (nomes de classes, métodos e variaveis substituidos por glifos aleatorios), tornando análise estática mais dificil que a aparencia "educacional" sugere. O mecanismo de C2 e notavelmente resiliente: a configuração interna contem URL de um Pastebin com o endereco real do servidor C2 - técnica de "redirector" que permite ao operador mudar a infraestrutura C2 sem recompilar o malware, apenas atualizando a nota do Pastebin. | Campo | Detalhe | |-------|---------| | **Tipo** | RAT open-source multi-funcional | | **Linguagem** | Visual Basic.NET | | **Dependência** | .NET 4.0 | | **Repositorio** | GitHub (NYAN-x-CAT) - público | | **Status** | Ativo - uso continuo em campanhas | | **Plataformas** | Windows (todas as versoes) | | **C2 resiliente** | Config aponta para Pastebin com C2 real | | **Extensao ransomware** | `.Lime` em arquivos criptografados | ## Como Funciona **Ofuscação de código:** O LimeRAT usa obfuscador para substituir nomes de classes, métodos e variaveis por sequencias de glifos ilegivel. Isso torna a análise estática em ferramentas como dnSpy mais trabalhosa, pois os nomes nao fornecem contexto. A configuração cifrada esta embutida como string no código obfuscado. **Decriptacao de configuração (AES-ECB):** A configuração interna e cifrada com AES-256-ECB. A chave e derivada calculando o MD5 de uma string específica da classe de configuração, copiando os primeiros 15 bytes do hash, depois os primeiros 16 bytes do hash, deixando o ultimo elemento como zero. Este esquema específico e fingerprint de detecção para regras YARA que procuram as classes `RijndaelManaged` e `MD5CryptoServiceProvider` juntas com `CipherMode.ECB`. **C2 via Pastebin:** Após decriptacao, a configuração revela uma URL de Pastebin. O malware conecta via HTTPS ao Pastebin para obter o endereco real do servidor C2. Esta técnica de "living off the internet" dificulta bloqueio por IP ou dominio de C2, pois o trafego parece comunicação normal com o Pastebin. **Módulo ransomware:** O módulo de ransomware cifra arquivos locais, alterando a extensao para `.Lime`. O status da criptografia e monitorado via chave de registro `Rans-Status`. Adicionalmente, o malware pode se registrar como "Critical Process" - se o usuario tentar encerrar o processo, o sistema emite uma Tela Azul da Morte (BSoD). **Propagação via USB:** O LimeRAT replica a si mesmo em qualquer drive USB conectado ao sistema comprometido, infectando todos os arquivos e pastas no drive. Esta capacidade de worm permite propagação em redes com air-gap ou em organizacoes onde pendrives sao usados para transferencia de dados. **Mineracao de Monero:** O módulo de cryptominer converte a maquina comprometida em mineiro de Monero (XMR), consumindo recursos de CPU/GPU para beneficio do atacante. O status do minerador e monitorado via chave de registro específica. ## Attack Flow ```mermaid graph TB A["📧 Phishing com LNK<br/>PowerShell dropper rdp.ps1<br/>UAC bypass EventViewer"] --> B["🔧 PowerShell Chain<br/>UAC bypass Windows 8.1+<br/>Escalada de privilegios"] B --> C["📝 Configuração em Pastebin<br/>URL com C2 real<br/>AES-ECB decriptacao"] C --> D["📌 Persistência<br/>HKCU Run key checker-netflix.exe<br/>Mascarado como software legitimo"] D --> E["📡 C2 via TCP<br/>Config Flood Rans-Status USB<br/>Chaves de registro de controle"] E --> F["🎯 Multiplos Módulos<br/>Keylog ransomware miner<br/>USB worm DDoS stealer"] classDef delivery fill:#e74c3c,stroke:#c0392b,color:#fff classDef chain fill:#f39c12,stroke:#d68910,color:#fff classDef config fill:#3498db,stroke:#1a5276,color:#fff classDef persist fill:#8e44ad,stroke:#7d3c98,color:#fff classDef c2 fill:#27ae60,stroke:#1e8449,color:#fff classDef payload fill:#c0392b,stroke:#922b21,color:#fff class A delivery class B chain class C config class D persist class E c2 class F payload ``` ## Timeline de Evolução ```mermaid timeline title LimeRAT - Evolução de Ferramenta Educacional a Malware Ativo 2019 : Publicacao no GitHub como projeto educacional : Cybaze-Yoroi documenta campanha com LNK dropper 2020 : Adocao por Aggah Group em campanhas de malspam : Combinado com outros RATs de commodity 2021 : ANY.RUN análise aprofundada - config extrator publicado : Técnica de Pastebin C2 amplamente documentada 2022 : BlackBerry documenta LimeRAT em campanhas com PureCrypter : Combinado com 15+ outros stealers e RATs 2023 : ANY.RUN publica análise de extração de config : Popularidade persistente em forum underground 2025 : Uso continuo em campanhas globais de malspam : Versao 0.1.9 ainda ativa em telemetria de ameaças ``` ## TTPs Mapeados | Tática | Técnica | Uso Específico | |--------|---------|---------------| | Acesso Inicial | [[t1566-001-spearphishing-attachment\|T1566.001]] | E-mail phishing com arquivo LNK ou documento | | Execução | [[t1059-001-powershell\|T1059.001]] | PowerShell dropper como primeiro estagio | | Execução | [[t1204-002-malicious-file\|T1204.002]] | Usuario executa LNK que aciona cadeia de infecção | | Persistência | [[t1547-001-registry-run-keys\|T1547.001]] | Run key com payload mascarado como "checker netflix" | | Evasão | [[t1027-obfuscated-files\|T1027]] | Ofuscação de código com glifos aleatorios | | Evasão | [[t1140-deobfuscate-decode-files\|T1140]] | AES-ECB para decriptacao de config em tempo de exec | | Evasão | [[t1497-virtualization-sandbox-evasion\|T1497]] | Verificação de VM para evitar análise em sandbox | | Coleta | [[t1056-001-keylogging\|T1056.001]] | Keylogger que captura teclado (nao clipboard) | | Coleta | [[t1113-screen-capture\|T1113]] | Screenshots via painel de controle | | Coleta | [[t1555-credentials-from-password-stores\|T1555]] | Roubo de senhas salvas e carteiras de criptomoedas | | Propagação | [[t1091-replication-through-removable-media\|T1091]] | Copia automatica em drives USB conectados | | Impacto | [[t1486-data-encrypted-for-impact\|T1486]] | Ransomware com extensao .Lime em arquivos locais | | Impacto | [[t1496-resource-hijacking\|T1496]] | Mineracao de Monero consumindo CPU/GPU | | Exfiltração | [[t1041-exfiltration-over-c2-channel\|T1041]] | Dados exfiltrados via canal C2 TCP | ## Relevância LATAM/Brasil O LimeRAT apresenta relevância específica para o contexto brasileiro e LATAM: - **Combinacao ransomware + RAT:** Para PMEs brasileiras sem backup adequado, o módulo de ransomware do LimeRAT representa risco duplo - comprometimento de acesso remoto e potencial criptografia de dados. Organizacoes de medio porte em manufatura e servicos sao alvos com menor maturidade de segurança. - **Propagação via USB:** Em ambientes industriais e governamentais brasileiros onde pendrives ainda sao amplamente usados para transferencia de dados, o módulo worm do LimeRAT representa vetor de propagação critico, especialmente em redes segmentadas. - **Stealer de criptomoedas:** O Brasil tem uma das maiores bases de usuarios de criptomoedas da América Latina. O módulo de roubo de carteiras do LimeRAT e especialmente relevante dado o volume de transações cripto no pais. - **Aggah Group e manufatura:** O [[aggah-group|Aggah Group]], documentado em campanhas contra industria italiana e brasileira, usa LimeRAT entre seus payloads. Empresas de manufatura brasileiras (automotivo, quimico, agro) estao no perfil de alvos. ## Detecção e Defesa **Artefatos forenses primarios:** - **Run key com "checker netflix":** O LimeRAT mascara sua persistência como `checker netflix.exe` em `%APPDATA%\Roaming` - verificar Run keys com este nome ou similar. - **Chaves de registro `Flood`, `Rans-Status`, `USB`:** O LimeRAT cria estas chaves em `HKCU\Software\{MUTEX}` para controle de estado dos módulos - presenca e indicador de alta fidelidade. - **Conexão HTTPS para Pastebin seguida de TCP para C2:** Pattern de dois-estagios de rede: HTTPS para Pastebin (obtencao de C2) seguido de TCP para IP externo. **Event IDs prioritarios:** - **Sysmon Event ID 11 (FileCreaté):** Criação de `checker netflix.exe` em `%APPDATA%\Roaming` - nome incomum mascarando o payload. - **Sysmon Event ID 13 (Registry):** Criação das chaves `Flood`, `Rans-Status` ou `USB` em HKCU\Software. - **Sysmon Event ID 3 (NetworkConnect):** Conexão HTTPS para `pastebin.com` seguida imediatamente de conexão TCP a IP arbitrario. - **Sysmon Event ID 6 (DriverLoad):** Carregamento de driver para módulo de criptomineracao. **Mitigacoes:** - Implementar controle de dispositivos USB em endpoints corporativos via GPO ou solução MDM. - Bloquear escrita em `%APPDATA%` por processos de e-mail ou office. - Monitorar conexoes HTTPS para Pastebin de processos que nao sejam browsers conhecidos. - Implementar backup offline/imutavel para mitigar impacto do módulo ransomware. - Bloquear execução de LNK files recebidos por e-mail. ## Referências - [1](https://any.run/malware-trends/limerat/) ANY.RUN - LimeRAT Malware Analysis and Overview (2026) - [2](https://wazuh.com/blog/limerat-detection/) Wazuh - LimeRAT Detection and Response (2023) - [3](https://thehackernews.com/2023/04/limerat-malware-analysis-extracting.html) The Hacker News - LimeRAT Malware Analysis: Extracting the Config (2023) - [4](https://malware.news/t/limerat-spreads-in-the-wild/28741) Malware News - LimeRAT Spreads in the Wild (Cybaze-Yoroi ZLab) - [5](https://malpedia.caad.fkie.fraunhofer.de/details/win.lime_rat) Malpedia - LimeRAT malware family