# SDBbot > Tipo: **malware** · S0461 · [MITRE ATT&CK](https://attack.mitre.org/software/S0461) ## Descrição [[s0461-sdbbot|SDBbot]] é um backdoor com componentes de instalador e loader utilizado pelo [[ta505|TA505]] - um dos grupos de crimes cibernéticos mais prolíficos do mundo, responsável pela distribuição em massa de malwares como Dridex, FlawedAmmyy e Clop ransomware - desde pelo menos 2019. O [[ta505|TA505]] utiliza o [[s0461-sdbbot|SDBbot]] como componente de acesso remoto em suas operações, frequentemente implantado após comprometimento inicial via campanhas de email malicioso em larga escala. A técnica de persistência mais notável do [[s0461-sdbbot|SDBbot]] é o uso de Application Shimming ([[t1546-011-application-shimming|T1546.011]]) - um mecanismo legítimo do Windows projetado para compatibilidade retroativa de aplicações, que o malware abusa para garantir execução ao lançar aplicativos específicos. Essa técnica é particularmente difícil de detectar porque aparece como atividade legítima do sistema e não cria entradas óbvias de persistência como chaves Run do registro. O malware também utiliza DLL injection ([[t1055-001-dynamic-link-library-injection|T1055.001]]) para injetar-se em processos legítimos. O [[s0461-sdbbot|SDBbot]] possui capacidade de captura de vídeo ([[t1125-video-capture|T1125]]) - característica incomum em backdoors genéricos - além de acesso RDP ([[t1021-001-remote-desktop-protocol|T1021.001]]) e verificação de localização do sistema ([[t1614-system-location-discovery|T1614]]). A combinação de acesso RDP com um backdoor persistente sugere uso tanto para espionagem quanto para facilitar operações manuais subsequentes dos operadores do [[ta505|TA505]]. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1070-indicator-removal|T1070 - Indicator Removal]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1090-proxy|T1090 - Proxy]] - [[t1546-011-application-shimming|T1546.011 - Application Shimming]] - [[t1055-001-dynamic-link-library-injection|T1055.001 - Dynamic-link Library Injection]] - [[t1218-011-rundll32|T1218.011 - Rundll32]] - [[t1027-002-software-packing|T1027.002 - Software Packing]] - [[t1614-system-location-discovery|T1614 - System Location Discovery]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1021-001-remote-desktop-protocol|T1021.001 - Remote Desktop Protocol]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1125-video-capture|T1125 - Video Capture]] ## Grupos que Usam - [[ta505|TA505]] ## Detecção - Auditar o banco de dados de shims do Windows (`sdbinst.exe`) e monitorar criação de shims para aplicações legítimas - Detectar `rundll32.exe` executando DLLs de caminhos incomuns ou sem argumentos válidos - Monitorar sessões RDP iniciadas por processos de background ou fora do horário comercial - Alertar sobre captura de vídeo via APIs DirectShow/Media Foundation por processos não relacionados a videoconferência - Correlacionar infecções por TA505 (Dridex, FlawedAmmyy) com implantação subsequente de SDBbot ## Relevância LATAM/Brasil O [[ta505|TA505]] é um dos grupos com maior volume de operações na América Latina, sendo responsável por campanhas de distribuição em massa de Dridex e outros malwares que atingiram organizações brasileiras. O [[s0461-sdbbot|SDBbot]] representa o estágio de acesso persistente após o comprometimento inicial facilitado por esses malwares de primeiro estágio. A técnica de Application Shimming é pouco monitorada em ambientes brasileiros, tornando o SDBbot difícil de detectar e remover sem ferramentas especializadas. ## Referências - [MITRE ATT&CK - S0461](https://attack.mitre.org/software/S0461)