s0681-lizar - RunkIntel

# Lizar > [!high] RAT modular .NET do FIN7 com capacidade de dump LSASS - substitui geracoes anteriores como ferramenta central do grupo de crime financeiro mais prolífico do mundo > Identificado em 2020 como Tirion e rastreado como DiceLoader/Icebot, o Lizar e uma plataforma de acesso remoto com arquitetura de plugins que expandem capacidades conforme necessidade operacional. ## Visão Geral [[s0681-lizar|Lizar]] (também rastreado como Tirion, DiceLoader e Icebot) e uma ferramenta de acesso remoto modular escrita em .NET Framework, utilizada pelo [[g0046-fin7|FIN7]] desde pelo menos marco de 2020. O [[g0046-fin7|FIN7]] e um dos grupos de crime financeiro mais prolíficos da historia da cibersegurança, responsavel por mais de 1 bilhao de dólares em perdas documentadas contra o setor de servicos financeiros, varejo e hoteleiro globalmente. O Lizar representa a evolução do arsenal do grupo após múltiplas operações de disrrupcao por agencias de aplicação da lei entre 2018 e 2020. A arquitetura modular do Lizar e sua principal vantagem operacional: o implante básico e leve e dificil de detectar, enquanto plugins adicionais sao carregados sob demanda conforme o operador identifica oportunidades. O plugin PowerKatz - uma implementacao de Mimikatz em DLL reflexiva - permite dump de credenciais diretamente da memoria do LSASS sem escrever arquivos no disco, evitando detecção por soluções de segurança baseadas em assinaturas. Este nivel de sofisticacao técnica demonstra que o FIN7 continua a ter acesso a desenvolvedores de malware com habilidades avancadas. O Lizar compartilha semelancas estruturais com o [[g0008-carbanak|Carbanak]], o backdoor original do FIN7 que causou perdas estimadas em 1 bilhao de dólares entre 2013-2014. Esta continuidade técnica sugere a mesma base de desenvolvimento ou forte inspiracao. Em meados de 2022, o Lizar foi gradualmente sucedido pelo backdoor "Domino" nas campanhas do FIN7, mas permanece ativo em intrucoes documentadas. **Plataformas:** Windows ## Como Funciona O Lizar opera em arquitetura cliente-servidor onde o operador controla um painel de administracao que se comúnica com implantes nas vitimas via protocolo proprietario nao-HTTP ([[t1095-non-application-layer-protocol|T1095]]) com ofuscacao ([[t1027-obfuscated-files-or-information|T1027]]). Após implantação inicial, o Lizar executa reconhecimento básico do sistema e usuario ([[t1033-system-owneruser-discovery|T1033]]) e aguarda instrucoes do operador. Conforme o operador avalia o alvo, plugins sao carregados para capacidades específicas: dump de credenciais via LSASS ([[t1003-001-lsass-memory|T1003.001]]), roubo de credenciais do Windows Credential Manager ([[t1555-004-windows-credential-manager|T1555.004]]), navegadores ([[t1217-browser-information-discovery|T1217]]), captura de tela ([[t1113-screen-capture|T1113]]), execução de comandos via PowerShell ([[t1059-001-powershell|T1059.001]]), CMD ([[t1059-003-windows-command-shell|T1059.003]]) e Python ([[t1059-006-python|T1059.006]]). A injecao em processos legitimos ([[t1055-process-injection|T1055]]) oculta a presenca do malware. ## Attack Flow Lizar ```mermaid graph TB A["Phishing financeiro/varejo Documento malicioso FIN7 spear-phishing"] --> B["Execução inicial Lizar core implantado Comúnicação C2 nao-HTTP"] B --> C["Reconhecimento básico Sistema usuario disco T1033 / T1082"] C --> D["Plugins sob demanda PowerKatz LSASS dump T1003.001 sem disco"] D --> E["Coleta de credenciais Credential Manager navegadores T1555.004 / T1217"] E --> F["Movimento lateral Credenciais roubadas Acesso a sistemas financeiros"] F --> G["Impacto financeiro Transferencias fraudulentas ou ransomware"] classDef initial fill:#dc2626,color:#fff classDef implant fill:#ea580c,color:#fff classDef recon fill:#3b82f6,color:#fff classDef plugin fill:#7c3aed,color:#fff classDef collect fill:#ca8a04,color:#000 classDef lateral fill:#16a34a,color:#fff classDef impact fill:#0891b2,color:#fff class A initial class B implant class C recon class D plugin class E collect class F lateral class G impact ``` ## Linha do Tempo ```timeline Marco 2020 : Lizar/Tirion identificado em campo : FIN7 usa em campanhas financeiras 2020-2021 : Atividade intensa FIN7 : Lizar como ferramenta principal 2021 : Mandiant publica análise detalhada : DiceLoader e Icebot linkados ao Lizar 2022 : Domino backdoor emerge como successor : Lizar ainda presente em campanhas 2023 : FIN7 expande para ransomware : Lizar continua como ferramenta de acesso 2024 : Documentado em incidentes do setor financeiro : Variants ativas identificadas ``` ## TTPs - [[t1055-process-injection|T1055 - Process Injection]] - [[t1059-003-windows-command-shell|T1059.003 - Windows Command Shell]] - [[t1217-browser-information-discovery|T1217 - Browser Information Discovery]] - [[t1059-006-python|T1059.006 - Python]] - [[t1055-001-dynamic-link-library-injection|T1055.001 - Dynamic-link Library Injection]] - [[t1095-non-application-layer-protocol|T1095 - Non-Application Layer Protocol]] - [[t1106-native-api|T1106 - Native API]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - [[t1003-001-lsass-memory|T1003.001 - LSASS Memory]] - [[t1555-004-windows-credential-manager|T1555.004 - Windows Credential Manager]] - [[t1113-screen-capture|T1113 - Screen Capture]] - [[t1033-system-owneruser-discovery|T1033 - System Owner/User Discovery]] - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1059-001-powershell|T1059.001 - PowerShell]] - [[t1055-002-portable-executable-injection|T1055.002 - Portable Executable Injection]] ## Grupos que Usam - [[g0046-fin7|FIN7]] ## Relevância LATAM/Brasil O [[g0046-fin7|FIN7]] e um dos grupos de crime financeiro mais ativos globalmente, com historico documentado de ataques a empresas do setor financeiro, varejo e hoteleiro na América Latina. O Brasil, com o maior setor bancario da América Latina e alto volume de transações digitais, representa um alvo de alto valor para o FIN7. Campanhas de phishing do FIN7 com entrega de Lizar foram documentadas em múltiplos paises. A presenca de redes de varejo multinacionais com operações no Brasil como alvos historicos do grupo indica que subsidiarias brasileiras podem ser vetores de comprometimento. Organizacoes do setor financeiro brasileiro devem implementar proteção avancada de credenciais (Credential Guard, Protected Users) e monitoramento de acesso ao LSASS como prioridades, dado que o dump de credenciais via PowerKatz e a técnica central do Lizar. ## Detecção - **Acesso ao LSASS** - Monitorar acesso ao processo `lsass.exe` por processos .NET que nao sao parte do stack de desenvolvimento ou segurança esperado no ambiente ([[t1003-001-lsass-memory|T1003.001]]) - **Injecao em processos legitimos** - Detectar injecao de DLL e PE em processos Windows comuns por processos .NET incomuns ([[t1055-001-dynamic-link-library-injection|T1055.001]]) - **C2 nao-HTTP** - Alertar para conexoes de processos .NET incomuns em protocolos nao-HTTP/HTTPS com padroes de beacon regulares ```sigma title: Lizar RAT LSASS Memory Access status: experimental logsource: category: process_access product: windows detection: selection: TargetImage|endswith: '\lsass.exe' GrantedAccess|contains: - '0x1010' - '0x1410' - '0x1438' filter: SourceImage|contains: - '\MsMpEng.exe' - '\CylanceSvc.exe' condition: selection and not filter falsepositives: - Security software performing credential checks level: critical tags: - attack.credential-access - attack.t1003.001 - code/distill ``` ## Referências - [1](https://attack.mitre.org/software/S0681) MITRE ATT&CK - S0681 Lizar (2024) - [2](https://www.mandiant.com/resources/blog/fin7-evolution-and-phishing-infrastructure) Mandiant - FIN7 Evolution DiceLoader (2021) - [3](https://securityintelligence.com/posts/new-era-of-fin7-cybercrime-operations/) IBM Security - New Era of FIN7 Cybercrime (2023) - [4](https://attack.mitre.org/groups/G0046) MITRE ATT&CK - G0046 FIN7 (2024) - [5](https://www.group-ib.com/blog/fin7-5-the-infamous-cybercrime-ttp-technical-analysis/) Group-IB - FIN7 Technical TTP Analysis (2021)