s0185-seasharpee - RunkIntel

# SEASHARPEE > Tipo: **malware** · S0185 · [MITRE ATT&CK](https://attack.mitre.org/software/S0185) ## Descrição [[s0185-seasharpee|SEASHARPEE]] é um web shell escrito em C# (.NET) utilizado pelo [[g0049-oilrig|OilRig]] (APT34) - grupo de espionagem iraniano - , implantado em servidores web comprometidos como mecanismo de acesso persistente e backdoor secundário. Web shells são ferramentas particularmente insidiosas pois residem no servidor web legítimo da vítima, tornando o tráfego malicioso indistinguível de requisições web normais para ferramentas de monitoramento que não inspecionam o conteúdo das requisições. O [[s0185-seasharpee|SEASHARPEE]] permite a execução de comandos shell arbitrários no servidor comprometido ([[t1059-003-windows-command-shell|T1059.003]]) e o download/upload de arquivos ([[t1105-ingress-tool-transfer|T1105]]) via requisições HTTP. Uma técnica de anti-forense documentada no [[s0185-seasharpee|SEASHARPEE]] é o timestomping ([[t1070-006-timestomp|T1070.006]]) - modificação dos timestamps de criação e modificação do arquivo do web shell para dificultar a identificação de quando o comprometimento ocorreu, o que complica a análise forense e a determinação do escopo do incidente. O [[g0049-oilrig|OilRig]] utiliza web shells como o [[s0185-seasharpee|SEASHARPEE]] como parte de uma estratégia de acesso em múltiplas camadas: após comprometer um servidor web, o grupo implanta o web shell para acesso persistente e usa esse ponto de apoio para movimento lateral na rede interna. O web shell serve tanto como backdoor quanto como canal de comunicação C2 para outros malwares implantados na rede interna que não têm acesso direto à internet. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1070-006-timestomp|T1070.006 - Timestomp]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1505-003-web-shell|T1505.003 - Web Shell]] ## Grupos que Usam - [[g0049-oilrig|OilRig]] ## Detecção - Realizar varreduras periódicas de web shells em servidores web (ferramentas como WebShell Detector, YARA) - Monitorar criação de novos arquivos .aspx, .php, .asp em diretórios web por processos não relacionados ao servidor web - Alertar sobre timestamps de arquivos inconsistentes com datas de instalação do sistema ou deploy da aplicação - Implementar Web Application Firewall (WAF) com regras para detectar padrões de web shell em requisições HTTP - Monitorar execução de processos filhos pelo processo do servidor web (w3wp.exe, iis.exe, apache.exe) ## Relevância LATAM/Brasil Web shells são uma das formas mais comuns de persistência em ambientes de organizações brasileiras que expõem servidores web sem hardening adequado. O [[g0049-oilrig|OilRig]] tem alvos no setor de energia e telecomúnicações - ambos altamente relevantes para o Brasil. Além disso, o uso de web shells em C# é uma técnica amplamente replicada por grupos de crimes cibernéticos locais que comprometem sites e portais governamentais brasileiros, tornando as técnicas de detecção do [[s0185-seasharpee|SEASHARPEE]] diretamente aplicáveis ao cenário nacional. ## Referências - [MITRE ATT&CK - S0185](https://attack.mitre.org/software/S0185)