# reGeorg > Tipo: **malware** · S1187 · [MITRE ATT&CK](https://attack.mitre.org/software/S1187) ## Descrição [[s1187-regeorg|reGeorg]] é um web shell de código aberto escrito em Python que pode ser utilizado como proxy SOCKS para contornar regras de firewall e tunelizar dados para dentro e fora de redes-alvo. O projeto foi originalmente desenvolvido como ferramenta legítima de teste de penetração, mas foi amplamente adotado por grupos de ameaça como [[g0016-apt29|APT29]], [[g0007-apt28|APT28]] e [[g1003-ember-bear|Ember Bear]] para operações de espionagem reais. O reGeorg funciona implantando uma web shell no servidor web comprometido - disponível em múltiplas versões compatíveis com tecnologias web comuns (PHP, ASP, ASPX, JSP, Node.js) - e estabelecendo um proxy SOCKS via HTTP tunneling ([[t1572-protocol-tunneling|T1572]]). Isso permite que o atacante roteie tráfego de rede (RDP, SMB, SSH) através do servidor comprometido, acessando recursos de rede internos que normalmente não seriam acessíveis externamente ([[t1090-proxy|T1090]]). O suporte a SSH ([[t1021-004-ssh|T1021.004]]), RDP ([[t1021-001-remote-desktop-protocol|T1021.001]]) e compartilhamentos SMB ([[t1021-002-smbwindows-admin-shares|T1021.002]]) via este túnel maximiza a capacidade de movimentação lateral. A natureza de código aberto e multiplataforma do reGeorg torna-o especialmente versátil e continuamente atualizado. Sua detecção é desafiante pois o tráfego do proxy parece tráfego HTTP legítimo para o servidor web; apenas análise de conteúdo das requisições HTTP pode revelar o padrão de tunelamento do SOCKS. **Plataformas:** Network Devices, Windows, macOS, Linux ## Técnicas Utilizadas - [[t1059-006-python|T1059.006 - Python]] - [[t1572-protocol-tunneling|T1572 - Protocol Tunneling]] - [[t1021-001-remote-desktop-protocol|T1021.001 - Remote Desktop Protocol]] - [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] - [[t1021-004-ssh|T1021.004 - SSH]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1090-proxy|T1090 - Proxy]] - [[t1021-002-smbwindows-admin-shares|T1021.002 - SMB/Windows Admin Shares]] - [[t1505-003-web-shell|T1505.003 - Web Shell]] - [[t1095-non-application-layer-protocol|T1095 - Non-Application Layer Protocol]] ## Grupos que Usam - [[g0016-apt29|APT29]] - [[g1003-ember-bear|Ember Bear]] - [[g0007-apt28|APT28]] ## Detecção Detectar o reGeorg requer análise do conteúdo das requisições HTTP para servidores web internos, não apenas da URL ou porta. Padrões de polling periódico, headers HTTP específicos do reGeorg, e tráfego HTTP com payloads binários não típicos de aplicações web são indicadores relevantes. WAFs (Web Application Firewalls) com análise de comportamento e ferramentas de NIDS que analisam conteúdo HTTP em camada 7 são mais eficazes. Inventário e verificação de integridade de arquivos em servidores web expostos à internet é fundamental para detectar implantação de web shells. ## Relevância LATAM/Brasil O reGeorg é uma ferramenta amplamente utilizada por múltiplos grupos APT, incluindo grupos com motivação política que podem ter interesse em alvos brasileiros. Servidores web governamentais, de universidades e de grandes corporações brasileiras representam pontos de implantação potenciais. A técnica de HTTP tunneling via web shell é especialmente relevante para organizações brasileiras que expõem servidores web legados sem proteção WAF adequada - uma realidade comum em órgãos públicos e PMEs no Brasil. ## Referências - [MITRE ATT&CK - S1187](https://attack.mitre.org/software/S1187)