s0125-remsec - RunkIntel

# Remsec > Tipo: **malware** · S0125 · [MITRE ATT&CK](https://attack.mitre.org/software/S0125) ## Descrição [[s0125-remsec|Remsec]] (também conhecido como Backdoor.Remsec e ProjectSauron) é um backdoor modular altamente sofisticado utilizado pelo [[g0041-strider|Strider]] - um grupo de espionagem cibernética que vários pesquisadores atribuem a uma agência de inteligência ocidental. O Remsec foi projetado exclusivamente para fins de espionagem de longo prazo e foi descoberto pela Kaspersky Lab em agosto de 2016 após permanecer ativo por pelo menos cinco anos sem detecção. A arquitetura modular do Remsec, com muitos módulos escritos em Lua (uma linguagem rara em malware), reflete um design cuidadoso que prioriza flexibilidade e personalização por alvo. Os módulos são carregados em memória sem serem gravados em disco ([[t1027-013-encryptedencoded-file|T1027.013]]) e carregados via injeção de DLL ([[t1055-001-dynamic-link-library-injection|T1055.001]]). O malware suporta exfiltração via USB ([[t1052-001-exfiltration-over-usb|T1052.001]]) para atingir sistemas air-gapped, usa e-mail ([[t1071-003-mail-protocols|T1071.003]]) como canal C2 alternativo, e implementa filtro de senha DLL ([[t1556-002-password-filter-dll|T1556.002]]) para capturar credenciais diretamente do processo de autenticação do Windows. A personalização por alvo do Remsec - cada implante foi customizado para a vítima específica - é uma característica de malware de inteligência estatal de alto nível. Isso torna a detecção baseada em assinaturas práticamente inútil e exige análise comportamental avançada para identificação. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1055-001-dynamic-link-library-injection|T1055.001 - Dynamic-link Library Injection]] - [[t1068-exploitation-for-privilege-escalation|T1068 - Exploitation for Privilege Escalation]] - [[t1052-001-exfiltration-over-usb|T1052.001 - Exfiltration over USB]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1048-003-exfiltration-over-unencrypted-non-c2-protocol|T1048.003 - Exfiltration Over Unencrypted Non-C2 Protocol]] - [[t1049-system-network-connections-discovery|T1049 - System Network Connections Discovery]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1056-001-keylogging|T1056.001 - Keylogging]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1027-013-encryptedencoded-file|T1027.013 - Encrypted/Encoded File]] - [[t1556-002-password-filter-dll|T1556.002 - Password Filter DLL]] - [[t1036-005-match-legitimate-resource-name-or-location|T1036.005 - Match Legitimaté Resource Name or Location]] - [[t1095-non-application-layer-protocol|T1095 - Non-Application Layer Protocol]] - [[t1018-remote-system-discovery|T1018 - Remote System Discovery]] - [[t1071-003-mail-protocols|T1071.003 - Mail Protocols]] ## Grupos que Usam - [[g0041-strider|Strider]] ## Detecção Detectar o Remsec requer monitoramento de filtros de senha DLL registrados ([[t1556-002-password-filter-dll|T1556.002]]) - qualquer DLL não padrão registrada como password filter em `HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Notification Packages` deve ser investigada imediatamente. Transferências de arquivos para dispositivos USB por processos de sistema não esperados ([[t1052-001-exfiltration-over-usb|T1052.001]]) são outro indicador. Análise de módulos Lua carregados em processos do sistema pode revelar componentes do Remsec, mas requer ferramentas avançadas de análise de memória. ## Relevância LATAM/Brasil O [[g0041-strider|Strider]] é atribuído a uma agência de inteligência ocidental e seus alvos incluíam governos, embaixadas e organizações estratégicas de países de interesse geopolítico. O Brasil, como membro permanente do Conselho de Segurança da ONU não-permanente e ator de relevo no BRICS, possui posicionamento geopolítico que o torna de interesse para múltiplas agências de inteligência estrangeiras. Embora o Remsec não tenha sido documentado no Brasil, a classe de malware de estado-nação que ele representa é uma ameaça real para organizações governamentais e diplomáticas brasileiras. ## Referências - [MITRE ATT&CK - S0125](https://attack.mitre.org/software/S0125)