s0150-poshspy - RunkIntel

# POSHSPY > Tipo: **backdoor** · S0150 · [MITRE ATT&CK](https://attack.mitre.org/software/S0150) ## Descrição [[s0150-poshspy|POSHSPY]] é um backdoor furtivo em PowerShell utilizado pelo [[g0016-apt29|APT29]] desde pelo menos 2015, projetado específicamente para funcionar como backdoor de recuperação de acesso - implantado em ambientes onde o APT29 já possui acesso primário, garantindo persistência caso os backdoors principais sejam detectados e removidos. Descoberto e documentado pela Mandiant em 2017 após análise de um comprometimento de longa duração. A arquitetura do POSHSPY é deliberadamente minimalista: usa WMI Event Subscription ([[t1546-003-windows-management-instrumentation-event-subscription|T1546.003]]) como mecanismo de persistência - uma abordagem fileless que armazena o código malicioso no repositório WMI do Windows em vez de no sistema de arquivos, tornando-o práticamente invisível para varreduras de AV e análises forenses tradicionais. O tráfego C2 é protegido por criptografia assimétrica ([[t1573-002-asymmetric-cryptography|T1573.002]]) e o malware usa um algoritmo de geração de domínio ([[t1568-002-domain-generation-algorithms|T1568.002]]) para rotacionar servidores C2, dificultando o bloqueio por listas de IOCs. O POSHSPY transfere dados em lotes de tamanho limitado ([[t1030-data-transfer-size-limits|T1030]]) para evitar alertas de exfiltração baseados em volume, e usa timestomping ([[t1070-006-timestomp|T1070.006]]) para manipular metadados de arquivos, dificultando análise forense de linha do tempo. Sua natureza fileless e uso de WMI representam o estado da arte em técnicas de evasão de detecção da época de seu desenvolvimento. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1030-data-transfer-size-limits|T1030 - Data Transfer Size Limits]] - [[t1568-002-domain-generation-algorithms|T1568.002 - Domain Generation Algorithms]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1573-002-asymmetric-cryptography|T1573.002 - Asymmetric Cryptography]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1070-006-timestomp|T1070.006 - Timestomp]] - [[t1546-003-windows-management-instrumentation-event-subscription|T1546.003 - Windows Management Instrumentation Event Subscription]] ## Grupos que Usam - [[g0016-apt29|APT29]] ## Detecção **Fontes de dados recomendadas:** - **WMI Auditing (Event ID 5861):** Criação de novos filtros de evento WMI, consumer WMI ou bindings - eventos críticos para detecção de persistência fileless via WMI ([[t1546-003-windows-management-instrumentation-event-subscription|T1546.003]]) - **PowerShell Script Block Logging (Event ID 4104):** Logging de blocos de script PowerShell ofuscados executados via WMI - captura código POSHSPY quando executado - **Sysmon Event ID 19/20/21 (WmiEvent):** Monitoramento de criação de filtros, consumers e bindings WMI - fonte de detecção primária **Regras de detecção:** - Sigma: `win_wmi_persistence.yml` - criação de WMI Event Subscription para persistência fileless - PowerShell: `Get-WMIObject -Namespace root\subscription -Class __EventFilter` - verificação forense de filtros WMI suspeitos - Hunting query: WMI consumers executando PowerShell ou cmd com argumentos codificados em Base64 ## Relevância LATAM/Brasil O [[g0016-apt29|APT29]] é um dos grupos APT mais sofisticados do mundo, com histórico de comprometimento de Ministérios de Relações Exteriores e organizações governamentais globalmente. O POSHSPY, como backdoor de persistência secundária, representa o risco de comprometimento de longo prazo imperceptível para organizações sem capacidade de detecção avançada (EDR, SIEM com regras WMI). Órgãos do governo brasileiro, especialmente Itamaraty e Presidência da República, são alvos estratégicos para espionagem russa, e a técnica fileless do POSHSPY via WMI ainda é pouco monitorada em ambientes SOC de menor maturidade no Brasil. ## Referências - [MITRE ATT&CK - S0150](https://attack.mitre.org/software/S0150) - [Mandiant - POSHSPY: Backdoor Haunts Long Compromised Organizations](https://www.mandiant.com/resources/blog/poshspy-backdoor-haunts-long-compromised-organizations) - Abril 2017