s0395-lightneuron - RunkIntel

# LightNeuron > [!info] Identidade do Malware > **Tipo:** backdoor de servidor Exchange · **MITRE:** [S0395](https://attack.mitre.org/software/S0395) · **Grupo:** [[g0010-turla|Turla]] (Snake/Pensive Ursa) > **Plataformas:** Windows (Exchange), Linux (variante) · **Ativo desde:** 2014 > **Inovacao:** primeiro malware documentado como Exchange Transport Agent - controla TODO o fluxo de email ## Visão Geral [[s0395-lightneuron|LightNeuron]] e uma das ferramentas mais sofisticadas e inovadoras do arsenal do [[g0010-turla|Turla]] - um backdoor que se instala como um **Exchange Transport Agent** no Microsoft Exchange Server, dando ao atacante controle total sobre TODOS os emails que passam pelo servidor: leitura, modificacao, redirecionamento e exfiltração silenciosa. O LightNeuron e o primeiro malware públicamente documentado a usar essa técnica de persistência em servidores Exchange. A técnica de Transport Agent e particularmente insidiosa: ao contrario de backdoors convencionais que precisam de comunicação ativa com C2, o LightNeuron usa o proprio fluxo de email da organização como canal de comando e controle. Comandos chegam como emails contendo instrucoes esteganografadas em imagens PDF ou JPG anexadas ([[t1001-002-steganography|T1001.002]]). O operador nao precisa conectar a nenhum host diretamente - basta enviar um email para qualquer destinatario da organização. ## Como Funciona A instalacao do LightNeuron requer acesso privilegiado ao servidor Exchange (geralmente via [[s0126-comrat|ComRAT]] ou outro implante Turla de primeira fase): 1. **Registro como Transport Agent** - instala-se como componente legitimo do Exchange, executando em cada email que passa pelo servidor - entrada e saida 2. **C2 via steganografia** - operadores enviam emails com PDFs ou imagens JPG contendo comandos encoded/criptografados ([[t1001-002-steganography|T1001.002]]) - podem chegar de qualquer remetente externo 3. **Interceptação de emails** - captura automaticamente todos os emails com palavras-chave ou remetentes específicados ([[t1114-002-remote-email-collection|T1114.002]]), sem que os destinatarios originais percebam 4. **Exfiltração ocultada** - dados exfiltrados sao embebidos em respostas de email aparentemente normais, com conteudo criptografado em AES ([[t1573-001-symmetric-cryptography|T1573.001]]) 5. **Transferencia agendada** - exfiltração ocorre em jánelas de tempo programadas ([[t1029-scheduled-transfer|T1029]]) para minimizar anomalias de volume de trafico 6. **Limpeza de rastros** - remove logs e evidências de sua presenca ([[t1070-004-file-deletion|T1070.004]]) Combinado com [[s0126-comrat|ComRAT]], o LightNeuron representa o nivel mais alto de acesso a uma organização: controle total sobre todas as comúnicacoes de email - incluindo as comúnicacoes dos executivos, comúnicacoes confidenciais com advogados e negociacoes estratégicas. ## Attack Flow ```mermaid graph TB A["Acesso inicial ao Exchange Via outro implante Turla Turla - ComRAT / KOPILUWAK"] --> B["Instalacao Transport Agent Registro no Exchange Persiste em todo reinicio"] B --> C["Monitoramento de todo email Entrada e saida filtrados T1114.002 remote email collection"] C --> D["C2 via steganografia Comandos em PDF/JPG anexados T1001.002 - qualquer remetente"] D --> E["Execução de comandos Leitura, modificacao, redirecionamento Controle total de mensagens"] E --> F["Exfiltração criptografada AES T1573.001 Embebida em emails saindo T1020"] F --> G["Remoção de evidencias Logs deletados T1070.004 Presenca invisivel"] classDef access fill:#e74c3c,color:#fff classDef install fill:#e67e22,color:#fff classDef intercept fill:#27ae60,color:#fff classDef c2 fill:#9b59b6,color:#fff classDef exec fill:#3498db,color:#fff classDef exfil fill:#1abc9c,color:#fff classDef cleanup fill:#2c3e50,color:#fff class A access class B install class C intercept class D c2 class E exec class F exfil class G cleanup ``` **Legenda:** [[g0010-turla|Turla]] - [[t1001-002-steganography|T1001.002]] - [[t1114-002-remote-email-collection|T1114.002]] - [[s0126-comrat|ComRAT]] ## Timeline ```mermaid timeline title LightNeuron - Descoberta e Campanhas 2014 : Primeiras evidencias de uso : Alvos diplomaticos no Oriente Medio 2016 : Organizacoes Russia e Europa Oriental : Ministerios de Relacoes Exteriores 2018 : Servidores Exchange na America Latina : Embaixadas e organismos internacionais 2019 : ESET publica análise completa : Primeira documentacao publica do Transport Agent 2020 : Continuacao de campanhas : Variante Linux identificada (Sendmail) 2022 : Versoes atualizadas identificadas : Ainda ativo em infraestrutura diplomatica ``` ## Técnicas Utilizadas (MITRE ATT&CK) | Técnica | ID | Descrição | |---------|-----|-----------| | Steganography | [[t1001-002-steganography\|T1001.002]] | Comandos em imagens PDF/JPG | | Mail Protocols | [[t1071-003-mail-protocols\|T1071.003]] | SMTP como canal C2 | | Remote Email Collection | [[t1114-002-remote-email-collection\|T1114.002]] | Interceptação de todos os emails | | Automated Exfiltration | [[t1020-automated-exfiltration\|T1020]] | Exfiltração continua automatizada | | Scheduled Transfer | [[t1029-scheduled-transfer\|T1029]] | Transferencia em jánelas programadas | | Symmetric Cryptography | [[t1573-001-symmetric-cryptography\|T1573.001]] | AES para criptografar dados | | Masquerading | [[t1036-005-match-legitimate-resource-name-or-location\|T1036.005]] | Disfarce como componente Exchange | | File Deletion | [[t1070-004-file-deletion\|T1070.004]] | Remoção de logs e evidências | | Automated Collection | [[t1119-automated-collection\|T1119]] | Coleta sistematica de emails | | Exfil Over C2 | [[t1041-exfiltration-over-c2-channel\|T1041]] | Dados via canal de email existente | ## Relevância LATAM/Brasil O [[g0010-turla|Turla]] documentadamente atingiu servidores Exchange na América Latina em 2018, com evidências de infeccoes em embaixadas e organismos internacionais na regiao. Para o Brasil: - **Itamaraty e missoes diplomaticas** - servidores Exchange do Ministerio de Relacoes Exteriores e embaixadas brasileiras sao alvos de alto valor para coleta de inteligência diplomatica; o LightNeuron permite interceptação silenciosa de TODA correspondencia diplomatica - **Organizacoes internacionais** - escritorios da ONU, BID, FMI e outras organizacoes internacionais com presenca no Brasil sao alvos historicos do Turla - **Bancos e financeiras** - servidores Exchange de bancos com correspondencia com entidades russas ou europeias sao alvos de interesse para inteligência financeira - **Detectabilidade minima** - o uso de Transport Agent torna o LightNeuron quase indetectavel por soluções de endpoint tradicionais; apenas soluções específicas de monitoramento de Exchange podem identificar o implante A presenca do Turla em América Latina nao e hipotetica - e documentada. Organizacoes brasileiras com servidores Exchange on-premises (nao cloud) sao especialmente vulneraveis. ## Detecção **Fontes de dados recomendadas:** - **Exchange Transport Agents audit:** listar todos os Transport Agents instalados com `Get-TransportAgent` e verificar contra baseline - qualquer agente desconhecido e suspeito critico - **Exchange event logs:** eventos de registro/instalacao de novos Transport Agents (Application log, MSExchange Transport) por processos nao reconhecidos - **Email flow analysis:** emails contendo imagens PDF/JPG com alta entropia em bytes - possível esteganografia; especialmente quando o destinatario nao abriu o email mas o sistema enviou resposta - **Process monitoring:** `MSExchangeTransport.exe` criando arquivos em diretorios incomuns ou executando processos filho **Regras de detecção:** - **PowerShell audit script:** `Get-TransportAgent | Where-Object {$_.Enabled -eq $True}` - executar semanalmente e alertar em novos agentes - **YARA:** strings caracteristicas do LightNeuron em DLLs carregadas pelo Exchange Transport service - **Network baseline:** qualquer email saindo com mais de 3 imagens JPEG/PDF por mensagem de enderecos corporativos para dominios externos desconhecidos - possível exfiltração esteganografica ## Referências - [1](https://attack.mitre.org/software/S0395) MITRE ATT&CK - S0395 LightNeuron (2024) - [2](https://www.welivesecurity.com/2019/05/07/turla-lightneuron-email-too-sensitive-to-be-stored/) ESET WeLiveSecurity - Turla LightNeuron: An email too sensitive to be stored (2019) - [3](https://www.welivesecurity.com/wp-content/uploads/2019/05/ESET-LightNeuron.pdf) ESET - LightNeuron: A Sophisticated Backdoor for Microsoft Exchange (White Paper 2019) - [4](https://securelist.com/the-turla-apt/90533/) Kaspersky - The Turla APT (2014) - [5](https://www.mandiant.com/resources/turla-apt-group) Mandiant - Turla APT Group Overview (2017)