s0139-powerduke - RunkIntel

# PowerDuke > Tipo: **backdoor** · S0139 · [MITRE ATT&CK](https://attack.mitre.org/software/S0139) ## Descrição [[s0139-powerduke|PowerDuke]] é um backdoor sofisticado utilizado pelo [[g0016-apt29|APT29]] em 2016, notavelmente implantado em uma campanha que visava think tanks e ONGs dos EUA após as eleições presidenciais americanas de 2016 - período em que o APT29 conduziu operações intensas de coleta de inteligência política. O malware foi entregue principalmente por meio de anexos de Microsoft Word ou Excel contendo macros maliciosas, com documentos isca relacionados a eventos políticos contemporâneos para maximizar a taxa de abertura. O PowerDuke se destaca pelo uso combinado de esteganografia ([[t1027-003-steganography|T1027.003]]) e NTFS Alternaté Data Streams ([[t1564-004-ntfs-file-attributes|T1564.004]]) para ocultar payloads em arquivos aparentemente normais. Configurações e código adicional são escondidos em imagens PNG usando esteganografia, enquanto NTFS ADS permite armazenar dados maliciosos em streams alternativos de arquivos legítimos - ambos os métodos invisíveis para varreduras de AV baseadas em arquivos. A execução via Rundll32 ([[t1218-011-rundll32|T1218.011]]) disfarça o processo como um componente legítimo do Windows. Além das capacidades de backdoor padrão (reconhecimento, transferência de arquivos, execução de comandos), o PowerDuke possui capacidade de destruição de dados ([[t1485-data-destruction|T1485]]) - função que pode ser ativada pelo operador para cobrir rastros ou causar dano ao alvo após conclusão da missão de coleta de inteligência. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1016-system-network-configuration-discovery|T1016 - System Network Configuration Discovery]] - [[t1027-003-steganography|T1027.003 - Steganography]] - [[t1218-011-rundll32|T1218.011 - Rundll32]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1010-application-window-discovery|T1010 - Application Window Discovery]] - [[t1485-data-destruction|T1485 - Data Destruction]] - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - [[t1057-process-discovery|T1057 - Process Discovery]] - [[t1124-system-time-discovery|T1124 - System Time Discovery]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1564-004-ntfs-file-attributes|T1564.004 - NTFS File Attributes]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] ## Grupos que Usam - [[g0016-apt29|APT29]] ## Detecção **Fontes de dados recomendadas:** - **NTFS Audit:** Detecção de criação de Alternaté Data Streams (`:stream_name`) em arquivos por processos suspeitos - `Sysmon Event ID 15 (FileCreateStreamHash)` - **Sysmon Event ID 7 (ImageLoad):** Carregamento de DLL via Rundll32 de caminho incomum ou com nome de exportação suspeito - **Análise de imagens:** Inspeção esteganográfica de imagens PNG/BMP baixadas por processos não-navegador - ferramentas como stegdetect ou análise de entropia de LSB **Regras de detecção:** - Sigma: Detecção de Rundll32 executando DLL de diretório de usuário ou AppData com parâmetros de exportação incomuns - Sysmon: FileCreateStreamHash (ID 15) monitorando criação de ADS em arquivos de sistema por processos não privilegiados ## Relevância LATAM/Brasil O [[g0016-apt29|APT29]] conduz espionagem política e governamental em escala global. Think tanks brasileiros de política externa, institutos de pesquisa econômica e organizações ligadas a processos eleitorais são alvos potenciais para operações de coleta de inteligência similares às que utilizaram o PowerDuke nos EUA em 2016. O uso de esteganografia pelo PowerDuke é uma técnica que ressurge em variantes modernas de malware - analistas de SOC brasileiros devem incluir detecção de ADS e análise de imagens em seus playbooks de hunting. ## Referências - [MITRE ATT&CK - S0139](https://attack.mitre.org/software/S0139) - [Volexity - PowerDuke: Widespread Post-Election Spear Phishing Campaigns Targeting Think Tanks and NGOs](https://www.volexity.com/blog/2016/11/09/powerduke-post-election-spear-phishing-campaigns-targeting-think-tanks-and-ngos/) - Novembro 2016