s0126-comrat - RunkIntel

# ComRAT > [!info] Identidade do Malware > **Tipo:** backdoor de segunda fase · **MITRE:** [S0126](https://attack.mitre.org/software/S0126) · **Grupo:** [[g0010-turla|Turla]] (Snake/Pensive Ursa) > **Plataformas:** Windows · **Ativo desde:** 2007 · **Versao atual:** v4 (Gmail C2) > **Predecessores:** [[s0092-agentbtz|Agent.btz]] (2007) - a mesma linhagem de código ## Visão Geral [[s0126-comrat|ComRAT]] e um dos implantes mais antigos e sofisticados em operação continua, utilizado exclusivamente pelo [[g0010-turla|Turla]] - o grupo de espionagem russo com historico operacional desde os anos 1990. Descendente direto do [[s0092-agentbtz|Agent.btz]] (o worm que comprometeu redes militares dos EUA em 2008 via USB), o ComRAT passou por quatro geracoes de desenvolvimento, culminando no ComRAT v4 - identificado pela primeira vez em 2017. A caracteristica mais notavel do ComRAT v4 e seu canal C2 via Gmail: o malware controla uma conta Gmail do atacante, lendo emails da caixa de entrada como comandos e respondendo com resultados como rascunhos ou emails. Isso mascarara o trafico malicioso como comunicação legitima com o Google, dificultando extremamente a detecção baseada em rede. O armazenamento de módulos em um Virtual File System FAT16 criptografado no registro ([[t1564-005-hidden-file-system|T1564.005]]) representa outra técnica anti-forense avancada. ## Como Funciona O ComRAT v4 e tipicamente instalado via outros implantes Turla como [[s0393-powerstallion|PowerStallion]] ou via squiblydoo (regsvr32 abuse). Uma vez instalado: 1. **Injecao em browser** - injeta DLL no processo do browser (Chrome, Firefox, IE) via [[t1055-001-dynamic-link-library-injection|T1055.001]] para aproveitar sessoes autenticadas do Gmail 2. **Virtual File System FAT16** - armazena módulos, configuracoes e logs em um VFS FAT16 criptografado ([[t1564-005-hidden-file-system|T1564.005]]) no registro Windows - completamente invisivel para scanners de arquivos 3. **C2 via Gmail web UI** - loga na conta Gmail do operador usando cookies do browser injetado; le emails da inbox como comandos; salva resultados como rascunhos 4. **C2 HTTP alternativo** - canal HTTP de backup ([[t1071-001-web-protocols|T1071.001]]) para ambientes sem acesso ao Gmail 5. **Criptografia assimetrica** - dados e comandos criptografados com criptografia assimetrica ([[t1573-002-asymmetric-cryptography|T1573.002]]) 6. **Exfiltração agendada** - transferencias de dados em horarios específicos ([[t1029-scheduled-transfer|T1029]]) para minimizar anomalias de rede A técnica de C2 via Gmail e particularmente insidiosa porque o trafico para `mail.google.com` e considerado normal em qualquer ambiente corporativo, e a injecao no browser usa certificados SSL legitimos do Google. ## Attack Flow ```mermaid graph TB A["Implante Turla de 1a fase PowerStallion ou KOPILUWAK Acesso inicial estabelecido"] --> B["Download ComRAT Via canal C2 existente Instalacao silenciosa"] B --> C["DLL injection no browser Chrome / Firefox / IE T1055.001 - usa sessao autenticada"] C --> D["VFS FAT16 criptografado Módulos no registro T1564.005 - hidden file system"] D --> E["C2 Gmail web UI Le emails como comandos Rascunhos como resposta"] E --> F["Execução de comandos Windows Shell T1059.003 COM hijacking T1546.015"] F --> G["Exfiltração agendada Dados para Gmail drafts T1029 - scheduled transfer"] classDef firstphase fill:#e74c3c,color:#fff classDef install fill:#e67e22,color:#fff classDef inject fill:#27ae60,color:#fff classDef persist fill:#3498db,color:#fff classDef c2 fill:#9b59b6,color:#fff classDef exec fill:#1abc9c,color:#fff classDef exfil fill:#2c3e50,color:#fff class A firstphase class B install class C inject class D persist class E,F c2 class G exfil ``` **Legenda:** [[g0010-turla|Turla]] - [[t1564-005-hidden-file-system|T1564.005]] - [[t1055-001-dynamic-link-library-injection|T1055.001]] - [[t1029-scheduled-transfer|T1029]] ## Timeline de Desenvolvimento ```mermaid timeline title ComRAT - Evolução de 17 Anos 2007 : Agent.btz criado : Worm USB comprometeu USCENTCOM 2008 : Descoberta Agent.btz nas redes militares EUA : Operação Buckshot Yankee (resposta EUA) 2010 : ComRAT v1-v2 : Reescrita com C2 HTTP 2014 : ComRAT v3 : Comúnicação via fóruns web 2017 : ComRAT v4 descoberto : Canal C2 via Gmail web UI 2019 : Campanha contra parlamentares europeus : Ministerios de Relacoes Exteriores 2020 : Campanhas COVID-relacionadas : Alvos organizacoes internacionais saude 2021 : ESET publica análise completa v4 : VFS FAT16 documentado publicamente ``` ## Técnicas Utilizadas (MITRE ATT&CK) | Técnica | ID | Descrição | |---------|-----|-----------| | Mail Protocols C2 | [[t1071-003-mail-protocols\|T1071.003]] | Canal C2 via Gmail (leitura/escrita de emails) | | Hidden File System | [[t1564-005-hidden-file-system\|T1564.005]] | VFS FAT16 criptografado no registro | | DLL Injection | [[t1055-001-dynamic-link-library-injection\|T1055.001]] | Injecao em processo de browser | | Scheduled Task | [[t1053-005-scheduled-task\|T1053.005]] | Persistência e execução agendada | | Asymmetric Crypto | [[t1573-002-asymmetric-cryptography\|T1573.002]] | Criptografia de comúnicacoes C2 | | Fileless Storage | [[t1027-011-fileless-storage\|T1027.011]] | Config e módulos no registro | | COM Hijacking | [[t1546-015-component-object-model-hijacking\|T1546.015]] | Persistência via COM | | Scheduled Transfer | [[t1029-scheduled-transfer\|T1029]] | Exfiltração em jánelas de tempo programadas | | Command Obfuscation | [[t1027-010-command-obfuscation\|T1027.010]] | Ofuscacao de comandos shell | | Web Protocols | [[t1071-001-web-protocols\|T1071.001]] | Canal HTTP de backup | ## Relevância LATAM/Brasil O [[g0010-turla|Turla]] opera com foco em diplomacia, governos e organizacoes internacionais - e o Brasil, como membro do BRICS e G20 com intensa atividade diplomatica global, esta dentro do escopo operacional do grupo: - **Missoes diplomaticas brasileiras** - embaixadas e consulados brasileiros em paises da Europa Oriental e Asia Central sao alvos historicos do Turla; o ComRAT permite espionagem de longo prazo nessas instalacoes - **Organizacoes internacionais** - ONGs e organizacoes com escritorios no Brasil que tratam de temas geopoliticos russofones (paz, direitos humanos, energia) sao alvos plausíveis - **Canal Gmail como vetor de confusao** - organizacoes brasileiras que usam Google Workspace sao particularmente vulneraveis porque o trafico Gmail e considerado totalmente normal, tornando a detecção muito mais dificil - **Setor energetico** - Petrobras e operadoras de gas natural com parcerias russas ou europeias sao alvos de interesse para inteligência de negocios/energetica A longevidade do ComRAT (17+ anos de operação) demonstra a capacidade do [[g0010-turla|Turla]] de manter acesso persistente em ambientes de alta segurança - uma ameaça para qualquer organização brasileira estratégica. ## Detecção **Fontes de dados recomendadas:** - **Browser process monitoring:** acesso ao `mail.google.com` pelo processo do browser com chamadas de API DOM suspeitas fora do contexto normal de usuario - injecao de DLL para controle de Gmail - **Registry monitoring:** chaves de registro contendo dados binarios de alta entropia (>50KB) em locais nao padrao - possível VFS FAT16 do ComRAT - **Network analysis:** requests HTTP para `mail.google.com/mail/u/0/#drafts` em intervalos regulares sem acao de usuario correspondente - C2 via rascunhos Gmail - **Scheduled tasks:** tarefas agendadas criadas por processos do sistema com binarios em locais incomuns **Regras de detecção:** - **YARA:** strings FAT16 caracteristicas em dados de registro (`FAT16`, magic bytes de VFS), strings de autenticação Gmail hard-coded em binarios nao-reconhecidos - **Sigma:** processo de browser (chrome.exe, firefox.exe) carregando DLL de diretorio temporario - padrao de injecao do ComRAT - **Hunting:** consultar logs do browser proxy para acesso ao Gmail fora de horario de trabalho, especialmente operações de rascunho (HTTP POST para `/mail/u/0/#drafts`) sem acao de usuario visivel ## Referências - [1](https://attack.mitre.org/software/S0126) MITRE ATT&CK - S0126 ComRAT (2024) - [2](https://www.welivesecurity.com/2020/05/26/agentbtz-comratv4-ten-year-journey/) ESET WeLiveSecurity - From Agent.btz to ComRAT v4: A Ten-year Journey (2020) - [3](https://securelist.com/satellite-turla-apt-command-and-control-in-the-sky/72081/) Kaspersky Securelist - Turla: A Spy's Spy (2014) - [4](https://www.govcert.ch/downloads/whitepapers/Report_Turla-Pfinet.pdf) GovCERT.ch - Turla / Pfinet Analysis (2017) - [5](https://unit42.paloaltonetworks.com/unit42-turla-apt-actor-compromises-governments-embassies/) Palo Alto Unit42 - Turla APT Actor Compromises Governments and Embassies (2017)