# TEARDROP > Tipo: **dropper** · S0560 · [MITRE ATT&CK](https://attack.mitre.org/software/S0560) > [!abstract] Visão Geral > Dropper exclusivamente em memoria utilizado pelo APT29 no comprometimento da SolarWinds em 2020. Lido a partir de um arquivo JPEG falso (gracious_truth.jpg) usando decriptografia XOR rotacional, e instalado como servico Windows netsetupsvc.dll. Sua função principal e implantar o beacon Cobalt Strike diretamente em memoria, sem criar artefatos em disco. ## Descrição [[s0560-teardrop|TEARDROP]] e um dropper que opera exclusivamente em memoria, descoberto durante investigacoes sobre o [[solarwinds-compromise|Comprometimento da SolarWinds]] em dezembro de 2020. Utilizado pelo [[g0016-apt29|APT29]] (Cozy Bear), o TEARDROP representa a segunda fase do ataque SolarWinds - após o [[s0559-sunburst|SUNBURST]] backdoor estabelecer acesso inicial via atualização comprometida do SolarWinds Orion, o TEARDROP era entregue seletivamente apenas em alvos de alto valor para instalar o beacon Cobalt Strike. A mecanica do [[s0560-teardrop|TEARDROP]] e técnicamente sofisticada. O dropper se instala como servico Windows (`netsetupsvc.dll`) com um nome que imita um servico legitimo do sistema - "Network Setup Service" ([[t1036-005-match-legitimate-resource-name-or-location|T1036.005]], [[t1543-003-windows-service|T1543.003]]). A persistência e estabelecida via chaves de registro ([[t1112-modify-registry|T1112]]). Para ocultar o payload, o TEARDROP lida com um arquivo aparentemente inofensivo: `gracious_truth.jpg`. Este arquivo nao e uma imagem real - e um container para o payload criptografado. O TEARDROP usa uma decriptografia XOR rotacional ([[t1140-deobfuscatedecode-files-or-information|T1140]]) para extrair e executar o payload em memoria. O payload desencriptado e um beacon do [[s0154-cobalt-strike|Cobalt Strike]] configurado para comúnicar com infraestrutura C2 do [[g0016-apt29|APT29]]. A escolha pelo Cobalt Strike como payload final foi estratégica: e uma ferramenta legitima de red team, cujo trafego e dificil de distinguir de testes de penetracao autorizados. O [[s0560-teardrop|TEARDROP]] foi encontrado em apenas um subconjunto das vitimas do SolarWinds - indicando que o [[g0016-apt29|APT29]] o reservava para alvos de mais alto valor, como agencias governamentais dos EUA e empresas de tecnologia criticas. A investigação revelou que o [[g0016-apt29|APT29]] manteve presenca em redes comprometidas por meses antes de ser detectado. O design do TEARDROP - sem artefatos em disco, usando servicos legitimos do Windows e payload de ferramenta comercial - demonstra o nivel de sofisticacao operacional caracteristico de grupos APT patrocinados por estado. **Plataformas:** Windows ## Como Funciona O SUNBURST backdoor (via SolarWinds Orion comprometido) estabelece acesso inicial. O APT29 identifica alvos de alto valor. O TEARDROP e entregue via SUNBURST, instala-se como servico Windows netsetupsvc.dll, le e decripta gracious_truth.jpg via XOR rotacional, e executa o Cobalt Strike beacon diretamente em memoria - sem tocar o disco com o payload final. ## Attack Flow ```mermaid graph TB A["🔗 Acesso Inicial<br/>SolarWinds Orion comprometido<br/>SUNBURST backdoor - 18.000 vitimas"] --> B["🎯 Selecao de Alto Valor<br/>APT29 identifica alvos prioritarios<br/>Agencias governo EUA"] B --> C["📦 Entrega TEARDROP<br/>via SUNBURST C2<br/>Instalacao como servico netsetupsvc.dll"] C --> D["🔓 Decriptografia<br/>Le gracious_truth.jpg<br/>XOR rotacional em memoria"] D --> E["💉 Execução em Memoria<br/>Cobalt Strike beacon<br/>Zero artefatos em disco"] E --> F["🕵️ Espionagem<br/>Acesso a emails, documentos<br/>Exfiltração de inteligencia"] classDef initial fill:#c0392b,stroke:#922b21,color:#fff classDef select fill:#8e44ad,stroke:#6c3483,color:#fff classDef install fill:#2980b9,stroke:#1a5276,color:#fff classDef exec fill:#e67e22,stroke:#d35400,color:#fff classDef spy fill:#7f8c8d,stroke:#626567,color:#fff class A initial class B select class C,D install class E exec class F spy ``` **Cadeia completa SolarWinds:** SolarWinds Orion comprometido - SUNBURST - TEARDROP - Cobalt Strike - espionagem persistente ## Timeline ```mermaid timeline title TEARDROP - Contexto SolarWinds 2019-Oct : APT29 infiltra SolarWinds : Inicia contaminação da build pipeline 2020-Mar : Versao maliciosa SolarWinds Orion : SUNBURST distribuido para 18.000 clientes 2020-May : TEARDROP comeca a ser implantado : Apenas em alvos de alto valor selecionados 2020-Dec : FireEye descobre o comprometimento : TEARDROP e SUNBURST publicamente revelados : DHS, Treasury, Commerce, CISA afetados 2021-Ján : Attribution formal a Russia/APT29 : Biden sanciona Russia por operação 2021-Apr : APT29 identificado como SVR (servico externo) : Investigacoes revelam escopo total ``` ## Técnicas Utilizadas - [[t1543-003-windows-service|T1543.003 - Windows Service]] - instalacao como servico netsetupsvc.dll - [[t1036-005-match-legitimate-resource-name-or-location|T1036.005 - Match Legitimaté Resource Name or Location]] - mascarado como "Network Setup Service" - [[t1112-modify-registry|T1112 - Modify Registry]] - persistência via registro - [[t1012-query-registry|T1012 - Query Registry]] - consulta configuracoes do sistema - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - payload criptografado em JPEG falso - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - decriptografia XOR rotacional em memoria ## Grupos que Usam - [[g0016-apt29|APT29]] - espionagem SVR russa, comprometimento SolarWinds ## Relevância LATAM/Brasil Embora o [[s0560-teardrop|TEARDROP]] em si tenha sido usado seletivamente contra alvos norte-americanos de alto valor, a cadeia de ataque SolarWinds que o hospeda tem implicacoes diretas para o Brasil. Dezenas de empresas e agencias governamentais brasileiras utilizavam o SolarWinds Orion em 2020, incluindo potencialmente orgaos do governo federal e grandes corporacoes. O [[g0016-apt29|APT29]] demonstrou interesse crescente em alvos nao-ocidentais nos anos seguintes ao comprometimento SolarWinds. Mais importante, o design do [[s0560-teardrop|TEARDROP]] - dropper em memoria sem artefatos em disco, payload via arquivo de aparencia inofensiva, servico mascarado como legitimo - estabeleceu um padrao que outros grupos APT replicam. Organizacoes brasileiras de infraestrutura critica e governo devem implementar capacidades de detecção de ameaças em memoria (EDR com análise comportamental) e monitoramento de criação de servicos Windows para se proteger contra técnicas similares. ## Detecção - Monitorar criação de novos servicos Windows por processos nao-administrativos, especialmente com DLLs em diretorios de sistema incomuns - Detectar acesso de leitura a arquivos de imagem (`.jpg`, `.png`) por processos de servico do Windows - comportamento altamente anomalo - Alertar para execução de código em memoria sem artefato correspondente em disco (telemetria de EDR com análise de heap) - Monitorar modificacoes de registro relacionadas a servicos (`HKLM\SYSTEM\CurrentControlSet\Services`) por processos nao esperados - Implementar monitoramento de integridade de aplicativos de terceiros (SolarWinds, Kaseya, etc.) - comprometimento de supply chain como vetor inicial - Auditar periodicamente servicos Windows instalados comparando com baseline confiavel ## Referências - [1](https://attack.mitre.org/software/S0560) MITRE ATT&CK - S0560 TEARDROP (2024) - [2](https://www.mandiant.com/resources/blog/sunburst-additional-technical-details) Mandiant - SUNBURST Additional Technical Details (2020) - [3](https://www.cisa.gov/news-events/cybersecurity-advisories/aa20-352a) CISA - Advanced Persistent Threat Compromise of SolarWinds (2020) - [4](https://blogs.microsoft.com/on-the-issues/2020/12/17/cyberattacks-cybersecurity-solorigaté-fireeye/) Microsoft - Solorigaté Investigation Updaté (2020)