# Godzilla Webshell > [!danger] Resumo > Webshell de código aberto criado em 2019 pelo pesquisador chines BeichenDream, amplamente adotado por grupos APT de nexo chines como [[g0096-apt41|APT41]] e [[earth-baku|Earth Baku]]. Evita detecção usando criptografia AES no trafego de rede e execução em memoria (fileless), tornando-o resistente a varreduras de conteudo tradicionais. ## Visão Geral O [[s1030-godzilla-webshell|Godzilla]] e um webshell de código aberto disponibilizado públicamente no GitHub em 2019 pelo pesquisador chines de handle "BeichenDream". O projeto foi concebido como resposta a webshells existentes frequentemente detectados em ataques - a proposta central e evasão por criptografia AES no trafego de rede, que dificulta inspecao de conteudo por soluções de segurança baseadas em assinaturas. O [[s1030-godzilla-webshell|Godzilla]] suporta payloads para Java (JSP/JSPX), PHP, ASP.NET e C#, cobrindo a maior parte das stacks de aplicações web corporativas. O projeto inclui tanto o componente servidor (arquivo hospedado no servidor comprometido) quanto um cliente grafico para gerenciamento remoto - similar ao [[s0020-china-chopper|China Chopper]] em conceito, mas com capacidades mais avancadas de evasão e execução em memoria. Em novembro de 2024, o HHS/HC3 públicou advisory específico alertando o setor de saúde sobre o Godzilla, atribuindo seu uso a atores de ameaça de nexo chines com "confiança relativamente alta". Em 2024, a variante Earth Baku do [[g0096-apt41|APT41]] foi observada usando Godzilla junto com ferramentas como StealthVector, StealthReacher e o backdoor SneakCross em campanhas contra Europa, Oriente Medio e Africa. Em 2023, o Godzilla foi usado em exploracoes do [[cve-2023-22527|CVE-2023-22527]] (Atlassian Confluence RCE), demonstrando a rapida adocao de novos vetores de exploração. **Plataformas:** Windows, Linux (aplicações web Java, PHP, ASP.NET) ## Como Funciona O [[s1030-godzilla-webshell|Godzilla]] implementa uma arquitetura cliente-servidor com as seguintes capacidades: 1. **Componente servidor**: Arquivo de script hospedado no servidor web comprometido. Recebe comandos cifrados via HTTP POST, decifra com AES e executa dinâmicamente. 2. **Execução em memoria**: Capacidade fileless - payloads executados diretamente na memoria sem gravar arquivos no disco, evadindo monitoramento de integridade de arquivos. 3. **Gerenciamento de arquivos**: Upload, download, exclusao e movimentação de arquivos no servidor comprometido. 4. **Tunelamento de rede**: Cria tuneis de trafego para facilitacao de movimentação lateral para outros segmentos de rede. 5. **Reconhecimento**: Coleta informações de SO, configuracoes de rede, versoes de software e aplicações instaladas. ## Attack Flow - Godzilla Webshell ```mermaid graph TB A["Reconhecimento<br/>Varredura de apps web vulneraveis"] --> B["Exploração Inicial<br/>CVE em Confluence, Exchange,<br/>ManageEngine, WebLogic"] B --> C["Upload do Webshell<br/>Arquivo JSP/PHP/ASPX<br/>em diretorio publico"] C --> D["Comúnicação AES<br/>Cliente conecta via HTTP POST<br/>trafego cifrado"] D --> E["Persistência<br/>Acesso duravel após<br/>reinicializacoes do servidor"] E --> F["Execução em Memoria<br/>Comandos executados<br/>sem gravar no disco"] F --> G["Movimentação Lateral<br/>Tunelamento para segmentos<br/>internos da rede"] G --> H["Coleta e Exfiltração<br/>Dados via HTTP/HTTPS<br/>canal cifrado AES"] ``` ## Timeline de Atividade ```mermaid timeline title Godzilla Webshell - Historico de Uso 2019 : Lancamento publico no GitHub por BeichenDream 2021 : Exploração CVE-2021-40539 ManageEngine por DEV-0322 2021 : CISA alerta sobre uso por APT chineses em infra governamental dos EUA 2023 : Campanha Dalbit (m00nlight) usa Godzilla em multiplos setores 2023 : Exploração CVE-2023-22527 Atlassian Confluence 2024 : Earth Baku usa Godzilla com StealthVector em Europa e MEA 2024 : HHS/HC3 emite advisory sobre ameaça ao setor de saude ``` ## TTPs - Godzilla Webshell | Tática | Técnica | Descrição | |--------|---------|-----------| | Acesso Inicial | [[t1190-exploit-public-facing-application\|T1190]] | Exploração de CVEs em apps web públicas | | Persistência | [[t1505-003-web-shell\|T1505.003]] | Webshell em servidor comprometido | | Execução | [[t1059-003-windows-command-shell\|T1059.003]] | Shell de comandos Windows via webshell | | Execução | [[t1059-004-unix-shell\|T1059.004]] | Shell Unix/Linux via webshell | | Evasão | [[t1027-obfuscated-files-or-information\|T1027]] | Criptografia AES no trafego C2 | | Transferencia | [[t1105-ingress-tool-transfer\|T1105]] | Download de ferramentas adicionais | | Descoberta | [[t1082-system-information-discovery\|T1082]] | Reconhecimento de SO e configuracoes | ## Grupos que Utilizam | Grupo | Nexo | Campanha Documentada | |-------|------|---------------------| | [[g0096-apt41\|APT41]] | China | APT41 DUST 2023-2024, exploração ManageEngine | | [[earth-baku\|Earth Baku]] | China (APT41 cluster) | Europa/MEA 2024 com StealthVector | | [[unc215\|UNC215]] | China | Comprometimentos de servidores governamentais | | DEV-0322 | China | Campanha ManageEngine 2021 (setor saúde EUA) | | Dalbit/m00nlight | Korea? | Campanhas multissetoriais 2023 | ## Relevância LATAM/Brasil O [[s1030-godzilla-webshell|Godzilla]] e utilizado globalmente em ataques a aplicações web vulneraveis, e o Brasil possui parque significativo de servidores com Java (Confluence, Jira, aplicações governamentais), PHP e ASP.NET. Portais governamentais brasileiros, sistemas de e-commerce, plataformas universitarias e aplicações de saúde sao alvos frequentes de comprometimentos via webshell. O [[g0096-apt41|APT41]], usuario documentado do Godzilla, tem historico de comprometimento de setores de saúde e tecnologia - ambos relevantes para o Brasil. A expansao do Earth Baku para Europa e Oriente Medio em 2024 indica capacidade de projecao que pode alcancao infraestrutura latino-americana. Organizacoes brasileiras com servidores Confluence, Jira, ManageEngine ou aplicações Java expostas a internet devem incluir o Godzilla em suas regras de monitoramento de integridade. ## Detecção > [!tip] Indicadores de Detecção > - Monitorar integridade de arquivos (FIM) em diretorios de aplicações web - alertar sobre novos arquivos JSP/PHP/ASPX criados por processos de servidor > - Detectar requisicoes HTTP POST com corpo cifrado (entropia alta) para endpoints de script em servidores web > - Alertar sobre execução de comandos de sistema (cmd.exe, /bin/bash, /bin/sh) iniciados por processos de servidor web (Tomcat, IIS, nginx) > - Monitorar trafego de rede com criptografia AES inesperada em conexoes HTTP/HTTPS de servidores web > - Regras YARA específicas para Godzilla disponiveis no repositorio BeichenDream e recursos HC3/HHS ## Referências - [1](https://attack.mitre.org/software/S1030/) MITRE ATT&CK - Godzilla S1030 (2024) - [2](https://www.hhs.gov/sites/default/files/november-2024-godzilla-webshell-analyst-note.pdf) HHS/HC3 - Godzilla Webshell Analyst Note TLP:CLEAR (2024) - [3](https://www.trendmicro.com/en_us/research/24/h/godzilla-fileless-backdoors.html) Trend Micro - Godzilla Fileless Backdoors (2024) - [4](https://attack.mitre.org/campaigns/C0040/) MITRE ATT&CK - APT41 DUST Campaign C0040 (2024) - [5](https://www.cyfirma.com/research/apt-quarterly-highlights-q3-2024/) CYFIRMA - APT Quarterly Highlights Q3 2024 (2024)