# Havoc > Tipo: **C2 framework** · S1229 · [MITRE ATT&CK](https://attack.mitre.org/software/S1229) ## Visão Geral [[s1229-havoc|Havoc]] e um framework de command-and-control (C2) pos-exploração de código aberto, lancado no GitHub em outubro de 2022 por C5pider (Paul Ungur). Diferentemente de frameworks comerciais como o [[s0154-cobalt-strike|Cobalt Strike]], o Havoc e gratuito e de acesso público, o que facilitou sua adocao massiva tanto por pesquisadores de segurança ofensiva quanto por atores de ameaça maliciosos em todo o mundo. Desde seu lancamento, o Havoc ganhou mais de 7.000 estrelas no GitHub e tornou-se um dos frameworks C2 mais referênciados em relatorios de threat intelligence. O Havoc se distingue de alternativas como o [[s0633-sliver|Sliver]] por seu foco em **técnicas de evasão específicas para Windows moderno**: sleep obfuscation (ofusca o implante na memoria enquanto aguarda), indirect syscalls (contorna hooking de APIs pelo EDR), heap encryption e stack spoofing - técnicas que permitem evadir EDRs de ultima geracao como o Windows Defender (incluindo o Defender para o Windows 11). O implante principal, chamado **Demon**, suporta extensoes em C e Python e comúnica com o servidor Teamserver via HTTP/HTTPS com perfis de listener configuráveis para mimetizar trafego legítimo. A adocao por atores maliciosos foi rapida e diversificada: grupos iraniano-nexo como o [[mint-sandstorm|Mint Sandstorm]] (PHOSPHORUS/APT35) usaram o Havoc em campanhas de espionagem contra alvos israelenses e americanos em 2023; o [[g0096-apt41|APT41]] foi observado usando o Havoc em campanhas contra setor de saúde; e grupos de ransomware usam o Havoc como stager inicial antes do deploy do payload final. O uso em ataques **ClickFix** - que enganam o usuario a colar e executar comandos maliciosos no PowerShell - tornou-se um vetor primario de distribuição do Demon em 2024-2025. **Plataformas:** Windows, macOS, Linux ## Como Funciona A arquitetura do Havoc tem dois componentes principais interagindo via protocolo proprietario: **1. Teamserver (servidor C2):** - Escrito em Go (Golang) - Interface web HTML5 para multi-operador (diferentes do Cobalt Strike que usa Java) - Suporte a listeners HTTP/HTTPS, SMB Pipe e TCP - Sistema de eventos em tempo real: notificacoes de novo agente, atualizacoes de status - Módulo de scripts Python para automacao de tarefas pos-exploração - Gerenciamento de credenciais e artefatos capturados **2. Demon (implante):** - Escrito em C/ASM para performance e tamanho reduzido - **Sleep Obfuscation (Ekko/Foliage)**: cifra a regiao de memoria do implante enquanto em sleep, tornando-o invisivel a scans de memoria EDR - **Indirect Syscalls**: invoca syscalls do Windows diretamente sem passar pelo ntdll.dll (onde EDRs colocam hooks) - **Heap Encryption**: cifra o heap do processo quando o implante esta em modo de espera - **Stack Spoofing**: altera o stack de chamadas para esconder a cadeia de execução do implante - Suporte a BOF (Beacon Object Files) compativel com Cobalt Strike (reutiliza BOFs existentes) - Process injection com múltiplos métodos: PE injection, shellcode injection, process hollow **3. Capacidades pos-comprometimento:** - Módulo de captura de tela (T1113) - Impersonacao de tokens de processo (T1134.001) - Proxy SOCKS5 para tunelamento de trafego - Keylogger embarcado - Exfiltração de arquivos - Execução de comandos via PowerShell, CMD e shell nativo ## Attack Flow ```mermaid graph TB A["ClickFix ou Phishing<br/>Usuario cola comando<br/>PowerShell malicioso (T1204.004)"] --> B["Download Demon<br/>Stager baixa implante<br/>Havoc Demon via HTTPS"] B --> C["Evasão EDR<br/>Sleep obfuscation<br/>Indirect syscalls ativos"] C --> D["Beacon C2<br/>Demon conecta Teamserver<br/>HTTP(S) com perfil customizado"] D --> E["Reconhecimento<br/>Sysinfo, processos<br/>usuarios e rede local"] E --> F["Pos-Exploração<br/>Token impersonation<br/>Credential dumping via BOF"] F --> G["Objetivo Final<br/>Ransomware deploy<br/>ou exfiltração de dados"] classDef init fill:#1a5276,color:#fff,stroke:#154360 classDef down fill:#7f8c8d,color:#fff,stroke:#626567 classDef evade fill:#8e44ad,color:#fff,stroke:#6c3483 classDef c2 fill:#2c3e50,color:#fff,stroke:#1a252f classDef recon fill:#d35400,color:#fff,stroke:#a04000 classDef post fill:#c0392b,color:#fff,stroke:#922b21 classDef obj fill:#922b21,color:#fff,stroke:#6e2318 class A init class B down class C evade class D c2 class E recon class F post class G obj ``` **Nota:** ClickFix (T1204.004) tornou-se o vetor de distribuição primario do Havoc em 2024-2025, com campanha documentada pela Proofpoint contra organizacoes governamentais. ## Timeline ```mermaid timeline title Havoc C2 - Evolução e Adocao por Atores de Ameaça 2022-10 : Lancado no GitHub por C5pider - primeira versao publica 2023-01 : Mint Sandstorm (APT35) usa Havoc em campanhas contra Israel e EUA 2023-07 : Microsoft documenta grupos iranicos usando Havoc como C2 principal 2023 : Uso por grupos de ransomware como stager inicial cresce 22% 2024-01 : Campanha ClickFix usa Havoc como payload - alvos governamentais 2024-03 : MITRE ATT&CK adiciona Havoc como S1229 2025-02 : FBI alerta sobre uso de Havoc em campanhas contra setor financeiro 2025 : Mais de 7 000 estrelas no GitHub - framework C2 mais popular do ano ``` ## Técnicas MITRE ATT&CK | Técnica | Descrição | |---------|-----------| | [[t1204-004-malicious-copy-and-paste\|T1204.004]] | ClickFix - usuario executa comando colado (vetor principal) | | [[t1055-002-portable-executable-injection\|T1055.002]] | PE Injection - carrega Demon em processos legitimos | | [[t1134-001-token-impersonationtheft\|T1134.001]] | Token Impersonation - escalada de privilegios em Windows | | [[t1573-001-symmetric-cryptography\|T1573.001]] | AES cifrando comúnicacoes C2 | | [[t1059-001-powershell\|T1059.001]] | PowerShell - stager inicial e execução de comandos | | [[t1090-proxy\|T1090]] | SOCKS5 proxy via Demon para tunelamento | | [[t1113-screen-capture\|T1113]] | Captura de tela do host comprometido | | [[t1082-system-information-discovery\|T1082]] | Enumeracao completa do host comprometido | ## Grupos que Usam - [[mint-sandstorm|Mint Sandstorm]] (PHOSPHORUS, APT35 - nexo iraniano, espionagem) - [[g0096-apt41|APT41]] (Barium, Double Dragon - nexo chines, espionagem + crime) - [[ta558|TA558]] - grupo focado em LATAM, campanhas contra turismo e hotelaria - Multiplos grupos de ransomware (LockBit, RansomHub, Akira affiliates) ## Malware Associado - [[s0154-cobalt-strike|Cobalt Strike]] - framework C2 comercial que o Havoc substitui em operações - [[s0633-sliver|Sliver]] - framework C2 open source contemporaneo (BishopFox) - [[metasploit|Metasploit]] - framework mais antigo frequentemente usado em conjunto - [[mimikatz|Mimikatz]] - usado via BOF compativel com Cobalt Strike no Havoc ## Detecção **Endpoint (EDR):** - Detectar ativacao de `sleep obfuscation`: escritas de memoria com XOR/AES seguidas de sleep em processos nao-sistema - Monitorar chamadas de sistema diretas (syscalls sem passar por `ntdll.dll`) de processos nao-assinados - Regras YARA para o Demon: presenca de strings específicas do framework em dumps de memoria - Sysmon: injecao de PE em processos legitimoses (`explorer.exe`, `svchost.exe`) **Rede:** - JARM fingerprinting do Teamserver Havoc: assinatura TLS identificavel mesmo com certificado customizado - Padroes de beaconing: intervalos regulares com jitter de 10-30% em conexoes HTTPS - Cabecalhos HTTP customizados do perfil Havoc sao identificaveis via regras Suricata/Snort - Detecção de C2 via domínio recentemente registrado com certificado Let's Encrypt **Threat Intelligence:** - Censys e Shodan rastreiam ativamente servidores Teamserver Havoc expostos - Indicadores públicados pelo MITRE ATT&CK, Microsoft MSTIC e Proofpoint > [!warning] Evasão de Windows Defender > O Havoc com sleep obfuscation e indirect syscalls ativos evade detecção do Windows Defender nativo em versoes até 2024. Endpoints com apenas Defender como proteção sao vulneraveis. EDRs de terceiros com detecção comportamental (CrowdStrike, SentinelOne, Cortex XDR) sao eficazes. ## Relevância LATAM/Brasil O Havoc tem alta relevância para o Brasil e LATAM por tres razoes concretas. Primeiro, o grupo [[ta558|TA558]] - especializado em campanhas contra setores de turismo e hotelaria na América Latina, incluindo o Brasil - foi documentado usando o Havoc como framework C2 em campanhas de 2023-2024. Segundo, grupos de crime cibernético brasileiro observados por pesquisadores da Kaspersky e ESET testaram e adotaram o Havoc como substituto gratuito ao [[s0154-cobalt-strike|Cobalt Strike]] - cujo custo de licenca e proibitivo para grupos menores. Terceiro, o vetor **ClickFix** (colar e executar comandos no PowerShell) foi adaptado para o contexto brasileiro com paginas falsas em portugues se passando por erros de sistema ou atualizacoes de software populares no Brasil. O setor financeiro, empresas de tecnologia e orgaos do governo federal brasileiro sao alvos de grupos que utilizam o Havoc para operações de pos-exploração. A facilidade de acesso e a capacidade de evasão de EDRs modernos tornam o Havoc especialmente perigoso no contexto brasileiro, onde a maturidade de segurança de endpoint varia significativamente entre organizacoes. ## Referências - [MITRE ATT&CK - S1229](https://attack.mitre.org/software/S1229) - [GitHub - HavocFramework/Havoc](https://github.com/HavocFramework/Havoc) - [Proofpoint - ClickFix: How to Infect Your PC in Three Easy Steps](https://www.proofpoint.com/us/blog/threat-insight/clipboard-hijacking-clickfix) - [Microsoft - Mint Sandstorm (PHOSPHORUS) Campaign Using Havoc](https://www.microsoft.com/en-us/security/blog/2023/04/18/nation-state-threat-actor-mint-sandstorm-refines-tradecraft-to-attack-high-value-targets/) - [Zscaler ThreatLabz - Havoc C2 Framework Analysis](https://www.zscaler.com/blogs/security-research/havoc-across-cyberspace) - [Elastic Security - Havoc C2 Framework: In-depth Technical Analysis](https://www.elastic.co/security-labs/havoc-c2-framework)