# Poison Ivy RAT > [!info] RAT Historico da Era APT - Relevante para Contexto de Espionagem > Poison Ivy e um dos RATs mais historicamente significativos, documentado em campanhas de espionagem nation-state desde 2005. Embora considerado inativo como software ativamente desenvolvido, continua sendo referência fundamental para entender TTPs de espionagem cibernetica e foi usado por múltiplos grupos APT chineses como [[g0022-apt3|APT3]] e [[g0026-apt18|APT18]] em campanhas de alto perfil. Seu legado influenciou diretamente o design de RATs modernos usados por atores que ainda afetam o Brasil. ## Visão Geral [[s0012-poisonivy|Poison Ivy]] (MITRE S0012, alias Backdoor.Darkmoon) e uma ferramenta de acesso remoto de referência na historia do ciberespionagem. Desenvolvida por volta de 2005, o Poison Ivy ganhou notoriedade ao ser utilizado em [[operation-aurora|Operation Aurora]] (2009-2010) - a intrusion de alto perfil contra Google e outros 34 corporacoes tecnológicas dos EUA, atribuida ao [[g0022-apt3|APT3]] com ligacoes ao governo chines. O MITRE ATT&CK S0012 documenta o Poison Ivy como uma das ferramentas mais antigas ainda relevantes para estudo de TTPs de espionagem. Grupos como [[g0022-apt3|APT3]] (Gothic Panda), [[g0026-apt18|APT18]] (Dynamite Panda) e [[g0045-apt10|menuPass]] foram documentados usando Poison Ivy em campanhas contra setores de defesa, governo e tecnologia em múltiplos paises. A relevância atual do Poison Ivy para analistas brasileiros esta no **entendimento de como grupos APT chineses operam** - um padrao que se replica em ferramentas modernas como PlugX e Cobalt Strike usadas pelos mesmos grupos que hoje ameaçam parceiros comerciais do Brasil. | Campo | Detalhe | |-------|---------| | **Tipo** | Remote Access Trojan (RAT) de espionagem | | **Linguagem** | C++ (compilado nativo) | | **Primeira versao** | ~2005 | | **Status** | Inativo (descontinuado), historicamente relevante | | **MITRE ID** | S0012 | | **Plataformas** | Windows | | **Porta C2 padrao** | TCP 3460 (configuravel) | ## Como Funciona **Entrega por spear-phishing APT:** A distribuição tipica do Poison Ivy era via spear-phishing altamente direcionado, com documentos Word e PDF exploiting vulnerabilidades (0-days ou N-days recentes) para execução automatica ao abrir o arquivo. Em Operation Aurora, CVEs em navegadores e Adobe Reader foram usados. **Persistência via DLL e registro:** O Poison Ivy estabelece persistência via chaves de registro Run em HKLM ou HKCU, apontando para DLL que e carregada por processo sistema legitimo. A variante documentada usa nomes de arquivo que imitam DLLs legitimas do Windows. **Process injection:** O malware injeta código malicioso em processos legitimos rodando no sistema, tornando-se invisivel em listas de processos para ferramentas de usuario. Esta e uma das técnicas centrais documentadas no MITRE para o Poison Ivy. **Comúnicação C2 cifrada:** As comúnicacoes C2 usam criptografia personalizada para mascarar trafego. O protocolo foi analisado e documentado por pesquisadores da FireEye em 2013, permitindo identificação de infraestrutura C2 passiva via scanning de rede. **Capacidades de espionagem completas:** Keylogging em tempo real, captura de tela, acesso a webcam, enumeracao de arquivos e processos, execução de comandos remotos, e upload/download de arquivos - o conjunto completo de capacidades de RAT de espionagem. ## Attack Flow ```mermaid graph TB A["🎯 Spear-Phishing APT<br/>Documento 0-day ou N-day<br/>Alvo: governo defesa tecnologia"] --> B["💥 Exploit Documento<br/>Execução automatica<br/>Adobe PDF Word CVE"] B --> C["💾 Dropper + DLL<br/>DLL mascarada como sistema<br/>T1036 Masquerading"] C --> D["💉 Process Injection<br/>Injecao em processo sistema<br/>T1055 Persistência oculta"] D --> E["📌 Persistência Registry<br/>Run key HKLM/HKCU<br/>T1547.001 Boot persistence"] E --> F["📡 C2 Cifrado TCP<br/>Protocolo proprietario<br/>Beacon para operador APT"] F --> G["🕵 Espionagem Prolongada<br/>Keylog screenshots arquivos<br/>Exfiltração por meses ou anos"] classDef apt fill:#c0392b,stroke:#922b21,color:#fff classDef exploit fill:#e74c3c,stroke:#c0392b,color:#fff classDef persist fill:#3498db,stroke:#1a5276,color:#fff classDef c2 fill:#8e44ad,stroke:#7d3c98,color:#fff classDef spy fill:#27ae60,stroke:#1e8449,color:#fff class A apt class B,C exploit class D,E persist class F c2 class G spy ``` ## Timeline de Evolução ```mermaid timeline title Poison Ivy RAT - Historia de Espionagem 2005 : Primeiro desenvolvimento e distribuição : RAT de espionagem de baixo custo para APT 2009 : Operation Aurora - Google e 34 empresas US : APT3 usa Poison Ivy como payload principal 2010 : Operation Aurora revelada publicamente : Marco historico em ciberespionagem nation-state 2011 : Operation Nitro - Ataque a empresas quimicas : APT18 usa Poison Ivy contra setor quimico global 2012 : Poison Ivy descontinuado - código parcialmente vazado : Grupos migram para ferramentas mais novas 2013 : FireEye publica análise completa do protocolo C2 : Permite detecção passiva de infraestrutura 2015 : Grupos APT migraram para PlugX e Cobalt Strike : Poison Ivy usado apenas por atores de nivel baixo 2024 : Referencia historica - influencia em design de RATs modernos : TTPs herdados por ferramentas como PlugX e njRAT ``` ## TTPs Mapeados | Tática | Técnica | Uso Específico | |--------|---------|---------------| | Acesso Inicial | [[t1566-001-spearphishing-attachment\|T1566.001]] | Spear-phishing direcionado com 0-days em PDF/Word | | Execução | [[t1203-exploitation-for-client-execution\|T1203]] | Exploração de vulnerabilidades em Adobe Reader, Word | | Persistência | [[t1547-001-registry-run-keys\|T1547.001]] | Run key apontando para DLL maliciosa disfarada | | Evasão | [[t1036-masquerading\|T1036]] | DLLs com nomes imitando componentes Windows | | Evasão | [[t1027-obfuscated-files\|T1027]] | Ofuscacao de payload para evadir análise estática | | Evasão | [[t1055-process-injection\|T1055]] | Injecao em processos sistema para ocultar presenca | | Descoberta | [[t1083-file-and-directory-discovery\|T1083]] | Enumeracao de arquivos e diretorios de valor | | Descoberta | [[t1057-process-discovery\|T1057]] | Enumeracao de processos ativos | | Coleta | [[t1056-001-keylogging\|T1056.001]] | Keylogging em tempo real | | Coleta | [[t1005-data-from-local-system\|T1005]] | Coleta de documentos e arquivos locais | | Exfiltração | [[t1041-exfiltration-over-c2-channel\|T1041]] | Exfiltração via canal C2 cifrado proprietario | ## Relevância LATAM/Brasil O Poison Ivy em si e considerado historicamente inativo para campanhas atuais, mas sua relevância para o Brasil e LATAM e estratégica: - **Legado tecnico em grupos ativos:** [[g0022-apt3|APT3]], [[g0026-apt18|APT18]] e [[g0045-apt10|menuPass]] migraram para ferramentas mais modernas como PlugX, Cobalt Strike e HTTPShell, mas mantiveram TTPs herdados do Poison Ivy. Organizacoes brasileiras no setor de defesa, energia e governo sao alvos potenciais destes grupos. - **Parceiros comerciais com China:** O Brasil tem relacionamento comercial e diplomatico importante com a China. Setores estratégicos como agricultura, mineracao e infraestrutura critica sao alvo historico de espionagem economica por grupos chineses - mesmos atores que usaram Poison Ivy. - **Referencia para threat hunting:** O mapeamento de TTPs do Poison Ivy e um ponto de partida para identificar comportamentos similares em ferramentas modernas usadas pelos mesmos grupos APT. - **Operation Aurora e tecnologia:** Empresas de tecnologia brasileiras que desenvolvem produtos para mercado global seguem o mesmo perfil de alvos da Operation Aurora. ## Detecção e Defesa **Artefatos historicos (para análise forense):** - **Chave de registro Run com DLL mascarada:** DLL em caminhos de sistema com nomes similares a componentes Windows legitimos. - **Porta TCP 3460:** Conexoes de saida na porta 3460 em ambientes legados podem indicar infecção historica. - **Protocolo C2 proprietario:** A FireEye públicou fingerprints do protocolo C2 que permitem identificação passiva em captures de trafego historico. **Detecção comportamental (relevante para variantes modernas):** - Monitorar DLLs em diretorios de sistema com timestamps de criação suspeitos (posteriores ao deploy do sistema). - Detectar process injection em processos de sistema sem relacao com operações normais do SO. - Análise de trafego cifrado para protocolos proprietarios nao reconhecidos em portas nao padrao. **Mitigacoes:** - Manter todos os sistemas com patches atualizados para eliminar vetores de exploração de documentos. - Restringir execução de DLLs nao assinadas em diretorios de sistema via WDAC/AppLocker. - Monitorar comúnicacoes de saida em portas nao padrao de processos de sistema. ## Referências - [1](https://attack.mitre.org/software/S0012/) MITRE ATT&CK S0012 - Poison Ivy - [2](https://www.fireeye.com/blog/threat-research/2013/08/pivy-assessing-damage-and-extracting-intelligence.html) FireEye - Poison Ivy: Assessing Damage and Extracting Intelligence (2013) - [3](https://malwareandmonsters.com/im-handbook/resources/malmon-details/) Malware & Monsters - Poison Ivy Technical Characteristics - [4](https://documents.trendmicro.com/assets/white_papers/wp-finding-APTX-attributing-attacks-via-MITRE-TTPs.pdf) Trend Micro - Finding APTX: Attributing via MITRE TTPs - [5](https://malpedia.caad.fkie.fraunhofer.de/details/win.poison_ivy) Malpedia - Poison Ivy malware family