# Shamoon > Tipo: **wiper** · S0140 · [MITRE ATT&CK](https://attack.mitre.org/software/S0140) ## Visão Geral [[s0140-shamoon|Shamoon]] (também conhecido como Disttrack ou W32.DistTrack) e um wiper malware modular que representa um dos ataques ciberneticos destrutivos mais significativos da historia. Seu nome vem do caminho de compilacao encontrado no código-fonte: `C:\Shamoon\ArabianGulf\wiper\Release\wiper.pdb`. Utilizado pela primeira vez em agosto de 2012 pelo grupo iraniano "Cutting Sword of Justice" - associado ao [[g0064-apt33|APT33]] - contra a Saudi Aramco, destruindo dados de aproximadamente 30.000 a 35.000 computadores em poucas horas, tornando-se o que o então Secretario de Defesa dos EUA Leon Panetta chamou de "provavelmente o ataque mais destrutivo que o setor empresarial já viu". O Shamoon e composto por tres componentes principais: um **dropper** responsavel por instalacao e propagação via compartilhamentos SMB; um **wiper** (Disttrack) que sobrescreve o Master Boot Record e os dados dos arquivos com imagens politicas (bandeira americana em chamas em 2012, foto de Alan Kurdi em 2016); e um componente de **relatorio** que comúnica o progresso da destruicao ao servidor C2. A lógica de bomba temporal garante que o wiping ocorra em um horario pre-definido - tipicamente durante fins de semana ou feriados islamicos para maximizar o impacto antes que a defesa possa reagir. O Shamoon retornou em 2016 como **Shamoon 2** (contra organizacoes sauditas em novembro de 2016 e janeiro de 2017) e em 2018 como **Shamoon 3**, demonstrando comprometimento iranico de longo prazo com essa capacidade destrutiva. O Shamoon 2 e atribuido ao [[g0064-apt33|APT33]] pela McAfee e CrowdStrike. O driver RawDisk da EldoS, utilizado para acesso direto ao disco, foi o mesmo nas campanhas de 2012, 2016 e 2017 - incluindo a mesma chave de licenca temporaria expirada em agosto de 2012. **Plataformas:** Windows ## Como Funciona O Shamoon opera em fases temporais coordenadas: 1. **Fase de infiltracao**: Acesso inicial via spear-phishing. Depois de comprometido um sistema, o dropper instala-se como servico Windows com nome que imita servicos legitimos (ex: "ntssrv" com display "Microsoft Network Realtime Inspection Service"). 2. **Fase de propagação**: Usa credenciais de dominio comprometidas para acessar compartilhamentos SMB (T1021.002) e copiar o dropper para sistemas remotos. Também usa PsExec para execução remota. Escaneia a sub-rede /24 dos adaptadores de rede para identificar alvos. 3. **Fase de espera (lógica de bomba)**: Aguarda data/hora pre-configurada para iniciar a destruicao. Em 2012, o timer foi 15/08/2012 as 11h08 (Ramada - horario de menor equipe). Em 2016, 17/11/2016 as 20h45 (vespera do fim de semana saudita). 4. **Fase destrutiva**: Ativa o driver RawDisk (drdisk.sys) para acesso direto ao disco sem APIs Windows. Sobrescreve MBR, tabelas de particao e arquivos com imagem politica. Altera relogio do sistema para agosto de 2012 (para contornar expiracao da licenca temporaria do driver). 5. **Auto-relatorio**: Envia lista de arquivos destruidos ao servidor C2. ## Attack Flow ```mermaid graph TB A["🎣 Spear-Phishing<br/>Emails com documentos<br/>maliciosos para Aramco"] --> B["🔑 Coleta Credenciais<br/>Credenciais de dominio<br/>comprometidas"] B --> C["🌐 Propagação SMB<br/>Copia dropper via<br/>compartilhamentos admin"] C --> D["⏰ Bomba Temporal<br/>Aguarda data/hora<br/>pre-configurada"] D --> E["💽 Wipe MBR e Dados<br/>Driver RawDisk - acesso<br/>direto ao disco"] E --> F["💥 Destruicao<br/>35 000 sistemas destruidos<br/>Aramco - ago/2012"] classDef init fill:#1a5276,color:#fff,stroke:#154360 classDef cred fill:#7f8c8d,color:#fff,stroke:#626567 classDef prop fill:#8e44ad,color:#fff,stroke:#6c3483 classDef bomb fill:#d35400,color:#fff,stroke:#a04000 classDef wipe fill:#c0392b,color:#fff,stroke:#922b21 classDef dest fill:#922b21,color:#fff,stroke:#6e2318 class A init class B cred class C prop class D bomb class E wipe class F dest ``` ## Timeline das Campanhas ```mermaid timeline title Shamoon - Campanhas por Versao 2012-08-15 : Shamoon v1 destroi 35 000 sistemas Saudi Aramco 2012-08 : RasGas (Qatar) afetado por variante 2016-11-17 : Shamoon 2 - Organizacoes governamentais sauditas 2016-11-29 : Segunda onda Shamoon 2 - segunda organização 2017-01-23 : Shamoon 2 - Sadara Chemical (Aramco+Dow Chemical) 2018 : Shamoon 3 detectado - setor energia Arabia Saudita ``` ## Técnicas MITRE ATT&CK - [[t1485-data-destruction|T1485 - Data Destruction]] - destruicao de dados por sobrescrita - [[t1561-002-disk-structure-wipe|T1561.002 - Disk Structure Wipe]] - wipe do MBR - [[t1021-002-smbwindows-admin-shares|T1021.002 - SMB/Windows Admin Shares]] - propagação lateral - [[t1543-003-windows-service|T1543.003 - Windows Service]] - persistência como servico - [[t1078-002-domain-accounts|T1078.002 - Domain Accounts]] - credenciais de dominio - [[t1036-004-masquerade-task-or-service|T1036.004 - Masquerade Task or Service]] - servico disfarçado - [[t1124-system-time-discovery|T1124 - System Time Discovery]] - manipulação de relogio do sistema - [[t1134-001-token-impersonationtheft|T1134.001 - Token Impersonation/Theft]] - impersonacao de tokens - [[t1570-lateral-tool-transfer|T1570 - Lateral Tool Transfer]] - transferencia de ferramentas ## Grupos que Usam - [[g0064-apt33|APT33]] (também conhecido como Elfin, Magnallium, Peach Sandstorm - atribuicao CrowdStrike, McAfee, Symantec) ## Malware Associado - [[s0364-rawdisk|RawDisk]] (EldoS) - driver comercial abusado para acesso direto ao disco - [[filerase|Filerase]] - wiper adicional usado em conjunto com Shamoon - [[s0236-kwampirs|Kwampirs]] - relacionado por artefatos compartilhados ## Detecção - Monitorar escritas diretas ao MBR por processos nao relacionados a ferramentas de particionamento legitimas (especialmente `drdisk.sys`) - Detectar acesso em massa a arquivos com padrao de sobrescrita (muitas escritas sem leituras) - Alertar sobre propagação lateral via compartilhamentos SMB em escala anormal - Monitorar criação de servicos com nomes suspeitos (ntssrv, MaintenaceSrv) - Implementar backups offline de imagens de disco para recuperacao após wiping ## Relevância LATAM/Brasil O modelo do [[s0140-shamoon|Shamoon]] - ataque geopoliticamente motivado contra infraestrutura critica de energia - e diretamente relevante para o Brasil, que possui uma das maiores e mais complexas infraestruturas de energia do mundo (Petrobras, Eletrobras, ONS). A possibilidade de ataques destrutivos motivados geopoliticamente contra infraestrutura critica brasileira e reconhecida pelo GSI e pela ANPD como vetor de ameaça emergente. Organizacoes do setor de petroleo, gas e energia eletrica devem incluir o modelo de wiper do Shamoon em seus exercicios de simulacao de incidentes (tabletop exercises). O uso de driver RawDisk para contornar defesas e uma técnica que permanece válida e deve ser incluida em regras de detecção de EDR. ## Referências - [MITRE ATT&CK - S0140](https://attack.mitre.org/software/S0140) - [Unit 42 - Shamoon 2: Return of the Disttrack Wiper](https://unit42.paloaltonetworks.com/unit42-shamoon-2-return-disttrack-wiper/) - [Symantec - Shamoon: Multi-staged destructive attacks](https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/shamoon-destructive-threat-re-emerges-new-sting) - [Wikipedia - Shamoon](https://en.wikipedia.org/wiki/Shamoon)