s0155-windshield - RunkIntel

# WINDSHIELD > Tipo: **malware** · S0155 · [MITRE ATT&CK](https://attack.mitre.org/software/S0155) ## Descrição [[s0155-windshield|WINDSHIELD]] é um backdoor característico e exclusivo utilizado pelo [[g0050-apt32|APT32]] (OceanLotus), grupo APT vietnamita com foco em espionagem contra governos, empresas multinacionais e organizações civis na Ásia, especialmente aquelas com interesses relacionados ao Vietnã e ao Sudeste Asiático. O WINDSHIELD é considerado uma ferramenta personalizada do APT32, não compartilhada com outros grupos de ameaça. Do ponto de vista técnico, o WINDSHIELD utiliza protocolos de camada não-aplicação para suas comúnicações C2, dificulando a detecção por soluções de segurança que analisam tráfego HTTP/HTTPS convencional. O malware realiza reconhecimento do sistema comprometido - descoberta de usuário, consultas ao registro e coleta de informações do sistema - antes de apagar seus rastros via file deletion. Esta combinação de coleta de informações e limpeza de evidências é característica da abordagem furtiva do APT32. O [[g0050-apt32|APT32]] tem um portfólio extenso de ferramentas customizadas - incluindo WINDSHIELD, KOMPROGO, SOUNDBITE e PHOREAL - demonstrando investimento significativo em desenvolvimento de capacidades ofensivas proprietárias. Esta estratégia de diversificação de ferramentas torna a detecção baseada em assinaturas menos eficaz, exigindo abordagens comportamentais para identificação de comprometimentos. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1095-non-application-layer-protocol|T1095 - Non-Application Layer Protocol]] - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - [[t1012-query-registry|T1012 - Query Registry]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] ## Grupos que Usam - [[g0050-apt32|APT32]] ## Detecção A detecção do WINDSHIELD requer monitoramento de protocolos de rede não convencionais em portas incomuns, especialmente comúnicações que não seguem padrões HTTP/HTTPS conhecidos. Análise de comportamento de processos para identificar sequências de reconhecimento seguidas de file deletion é uma abordagem eficaz. Correlacionar eventos de consulta ao registro, descoberta de usuário e deleção de arquivos em curto intervalo de tempo pode indicar presença do malware. ## Relevância LATAM/Brasil O [[g0050-apt32|APT32]] (OceanLotus) tem foco em espionagem contra empresas com interesses no Sudeste Asiático, incluindo multinacionais com presença no Vietnã. Empresas brasileiras dos setores de manufatura, petróleo e gás, ou agricultura que operam no Vietnã ou têm parceiros vietnamitas podem ser alvos de campanhas APT32. A sofisticação do grupo e seu foco em eliminar rastros tornam a detecção precoce especialmente importante para organizações potencialmente em seu escopo de alvos. ## Referências - [MITRE ATT&CK - S0155](https://attack.mitre.org/software/S0155)