# ShimRat > Tipo: **malware** · S0444 · [MITRE ATT&CK](https://attack.mitre.org/software/S0444) ## Descrição [[s0444-shimrat|ShimRat]] foi utilizado pelo adversário [[g0103-mofang|Mofang]] - grupo de ameaça suspeito de ser baseado na China - em campanhas direcionadas a múltiplos países e setores industriais, incluindo governo, militar, infraestrutura crítica, automotivo e desenvolvimento de armamentos. O nome "[[s0444-shimrat|ShimRat]]" deriva do uso extensivo do Windows Application Shimming pelo malware para manter persistência - uma técnica que abusa do mecanismo legítimo de compatibilidade retroativa de aplicações do Windows para garantir execução persistente sem a criação de entradas óbvias como chaves Run do registro. O [[s0444-shimrat|ShimRat]] implementa técnicas avançadas de evasão e persistência: utiliza Application Shimming ([[t1546-011-application-shimming|T1546.011]]) como mecanismo primário de persistência, emprega hijacking de fluxo de execução ([[t1574-hijack-execution-flow|T1574]]) para carregar código malicioso em contexto de processos legítimos, e usa proxy externo ([[t1090-002-external-proxy|T1090.002]]) para comunicação C2 - dificultando o rastreamento até a infraestrutura real do atacante. O uso de canais de fallback ([[t1008-fallback-channels|T1008]]) garante resiliência operacional. As comúnicações de rede utilizam transferência agendada ([[t1029-scheduled-transfer|T1029]]) - enviando dados em momentos específicos em vez de em tempo real - , reduzindo a detectabilidade por sistemas de análise de anomalias de rede. O packing e a compressão do binário ([[t1027-002-software-packing|T1027.002]], [[t1027-015-compression|T1027.015]]) combinados com deobfuscação em runtime protegem contra análise estática. O bypass de UAC ([[t1548-002-bypass-user-account-control|T1548.002]]) facilita operação com privilégios elevados. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1090-002-external-proxy|T1090.002 - External Proxy]] - [[t1548-002-bypass-user-account-control|T1548.002 - Bypass User Account Control]] - [[t1574-hijack-execution-flow|T1574 - Hijack Execution Flow]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1036-004-masquerade-task-or-service|T1036.004 - Masquerade Task or Service]] - [[t1029-scheduled-transfer|T1029 - Scheduled Transfer]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1546-011-application-shimming|T1546.011 - Application Shimming]] - [[t1008-fallback-channels|T1008 - Fallback Channels]] - [[t1027-002-software-packing|T1027.002 - Software Packing]] - [[t1027-015-compression|T1027.015 - Compression]] ## Grupos que Usam - [[g0103-mofang|Mofang]] ## Detecção - Auditar o banco de dados de shims do Windows (SDB files) para shims não criados por Microsoft ou administradores legítimos - Monitorar DLL hijacking em diretórios de aplicações legítimas (DLLs não assinadas em diretórios de software assinado) - Detectar comúnicações de saída via proxies externos suspeitos ou encadeamentos de proxy incomuns - Alertar sobre padrões de envio de dados em horários fixos e regulares por processos de background - Implementar WDAC (Windows Defender Application Control) para bloquear execução de binários não assinados ## Relevância LATAM/Brasil O [[g0103-mofang|Mofang]] tem histórico de alvos em setores estratégicos que são igualmente relevantes para o Brasil: governo, militar e infraestrutura crítica. A técnica de Application Shimming é pouco conhecida e raramente monitorada em ambientes corporativos brasileiros, tornando o [[s0444-shimrat|ShimRat]] uma ameaça difícil de detectar sem ferramentas especializadas. Organizações brasileiras dos setores de defesa e infraestrutura crítica devem incluir auditoria de shims em seus programas de caça a ameaças (threat hunting). ## Referências - [MITRE ATT&CK - S0444](https://attack.mitre.org/software/S0444)