s0500-mcmd - RunkIntel

# MCMD > [!danger] RAT - Dragonfly 2.0 / IRON LIBERTY > Ferramenta de acesso remoto customizada usada pelo [[g0035-dragonfly|Dragonfly]] (IRON LIBERTY / Energetic Bear) em campanhas de espionagem contra o setor de energia e infraestrutura crítica. Usa HTTPS sobre sites PHP comprometidos como C2, dificultando detecção por análise de tráfego. ## Visão Geral **MCMD** é uma ferramenta de acesso remoto (RAT) customizada desenvolvida e usada exclusivamente pelo grupo [[g0035-dragonfly|Dragonfly]] (também conhecido como IRON LIBERTY, Energetic Bear e Dragonfly 2.0). Analisada pelo Secureworks CTU em julho de 2019, a ferramenta foi identificada em campanhas de espionagem contra concessionárias de energia elétrica, operadores de gás natural e empresas de infraestrutura crítica nos Estados Unidos e Europa. A arquitetura do MCMD é caracterizada pelo uso de **sites PHP comprometidos** como servidores C2 - uma técnica que permite que o tráfego malicioso apareça como requisições HTTPS legítimas para domínios de terceiros com reputação estabelecida. O payload é transmitido via MIME multipart sobre HTTP POST, com os dados de resposta codificados no corpo da mensagem. Amostras foram compiladas entre março de 2017 e maio de 2018. **Plataformas:** Windows ## Como Funciona O MCMD opera com arquitetura cliente-servidor onde o servidor C2 é hospedado em sites PHP comprometidos de terceiros: **Comúnicação C2:** - Protocolo: HTTPS POST para URLs de sites comprometidos - Formato: MIME multipart/form-data (imita upload de arquivo legítimo) - Identificação do cliente: string `ComputerName(AppDataHash@Rand)` única por host - Resposta: comandos codificados no corpo da resposta HTTP **Funcionalidades principais:** - Shell de comando remoto interativo (cmd.exe oculto) - Upload e download de arquivos - Reconhecimento do sistema (processos, rede, disco) - Execução de comandos com saída retornada ao C2 **Evasão:** - Disfarçado como arquivo legítimo (T1036.005) - Jánela de cmd.exe ocultada (T1564.003) - Persistência via Registro ou Task Scheduler - Limpeza de persistência antes da exfiltração final (T1070.009) ## Uso Ofensivo ```mermaid graph TB A["🏭 Setor de energia Rede corporativa alvo"] --> B["🎣 Acesso inicial Spear-phishing / watering hole"] B --> C["📦 MCMD instalado Disfarçado como app legítimo"] C --> D["🔒 Persistência Registry Run / Scheduled Task"] D --> E["📡 Beacon C2 HTTPS POST - site PHP"] E --> F["💻 Shell remoto cmd.exe oculto"] F --> G["🔍 Reconhecimento T1005 - dados do sistema"] G --> H["📤 Exfiltração Configurações ICS/SCADA"] H --> I["🧹 Limpeza T1070.009 - persistência removida"] ``` **Infraestrutura C2 via sites comprometidos:** ```mermaid graph TB A["🖥️ Host comprometido MCMD ativo"] --> B["🌐 HTTPS POST MIME multipart"] B --> C["📰 Site PHP legítimo comprometido - C2 proxy"] C --> D["🔀 PHP backdoor recebe e repassa comandos"] D --> E["📡 Servidor Dragonfly controle real"] E --> F["📋 Comandos enviados de volta via HTTP"] F --> A ``` ## Timeline | Ano | Evento | |-----|--------| | 2011 | [[g0035-dragonfly\|Dragonfly]] (Energetic Bear) inicia campanha contra setor de energia europeu | | 2014 | Symantec pública análise inicial do Dragonfly - alerta setor de energia | | 2017-03 | Primeira amostra MCMD compilada (data de compilação mais antiga identificada) | | 2018-05 | Última amostra MCMD compilada identificada pelos pesquisadores | | 2019-07 | Secureworks CTU pública análise detalhada do MCMD e da infraestrutura Dragonfly 2.0 | | 2020 | US-CERT AA20-049A alerta sobre atividades contínuas do Dragonfly contra infraestrutura crítica | | 2024 | IRON LIBERTY ainda listado como ameaça ativa a concessionárias de energia nos EUA | ## TTPs | ID | Nome | Uso pelo MCMD | |----|------|--------------| | [[t1071-001-web-protocols\|T1071.001]] | Web Protocols | HTTPS POST com MIME multipart para C2 | | [[t1059-003-windows-command-shell\|T1059.003]] | Windows Command Shell | Execução de cmd.exe remoto e oculto | | [[t1564-003-hidden-window\|T1564.003]] | Hidden Window | Jánela de cmd.exe ocultada do usuário | | [[t1036-005-match-legitimate-resource-name-or-location\|T1036.005]] | Match Legitimaté Name | Binário disfarçado com nome de app legítimo | | [[t1053-005-scheduled-task\|T1053.005]] | Scheduled Task | Persistência via tarefas agendadas | | [[t1547-001-registry-run-keys-startup-folder\|T1547.001]] | Registry Run Keys | Persistência via chaves de Registro | | [[t1070-009-clear-persistence\|T1070.009]] | Clear Persistence | Remoção de persistência antes da exfiltração | | [[t1005-data-from-local-system\|T1005]] | Data from Local System | Coleta de dados de configuração do sistema | | [[t1105-ingress-tool-transfer\|T1105]] | Ingress Tool Transfer | Download de ferramentas adicionais via C2 | | [[t1027-obfuscated-files-or-information\|T1027]] | Obfuscated Files | Ofuscação do payload para evadir AV | ## Atores que Utilizam - [[g0035-dragonfly|Dragonfly]] (IRON LIBERTY / Energetic Bear / Dragonfly 2.0) - desenvolvedor e único utilizador documentado ## Relevância LATAM/Brasil O [[g0035-dragonfly|Dragonfly]] (IRON LIBERTY) tem foco histórico em infraestrutura crítica de energia nos EUA e Europa, mas a relevância para o Brasil é estratégica: empresas como Petrobras, Eletrobras, concessionárias regionais de distribuição elétrica e operadores de gás natural são alvos de alto valor para espionagem industrial e eventualmente sabotagem. O modelo de C2 via sites PHP comprometidos é particularmente difícil de detectar em organizações brasileiras sem inspeção de tráfego TLS (HTTPS) - prática ainda rara no setor de utilities brasileiro. O padrão de operação do Dragonfly - comprometimento de fornecedores da cadeia de suprimentos de software industrial (ICS/SCADA) para alcançar as concessionárias - é altamente relevante para o Brasil, onde fabricantes e integradores de sistemas de automação industrial frequentemente têm acesso remoto persistente às plantas dos clientes. ## Detecção **Indicadores de comprometimento:** - String de identificação única no formato `ComputerName(AppDataHash@Rand)` em tráfego HTTPS POST - Requisições MIME multipart/form-data para sites PHP de terceiros sem correspondência de navegação do usuário - Processo cmd.exe filho de processo não-interativo com jánela oculta - Limpeza de chaves de Registro de Startup ou Scheduled Tasks sem correspondência de mudança de configuração **Fontes de dados recomendadas:** - **Network - TLS Inspection:** Inspeção de HTTPS POST para sites de terceiros - identificar padrão MIME multipart de cmd output - **Sysmon Event ID 1 (ProcessCreaté):** cmd.exe filho de processo pai suspeito; flag `-w hidden` - **Sysmon Event ID 12/13 (Registry Events):** Monitorar criação de chaves Run sob contexto de usuário não-administrador - **Sysmon Event ID 23 (FileDelete):** Deleção de entradas de persistência (T1070.009) **Regras de detecção:** - Sigma: `proc_creation_win_cmd_hidden_window.yml` - detecta cmd.exe com jánela oculta - Sigma: `net_connection_win_suspicious_outbound_https.yml` - conexões HTTPS para hosts raramente visitados - Yara: regras de string para identificação de builds MCMD (Secureworks CTU - público) ## Referências - [1](https://attack.mitre.org/software/S0500) MITRE ATT&CK - S0500 MCMD (2024) - [2](https://www.secureworks.com/research/mcmd-malware-analysis) Secureworks CTU - MCMD Malware Analysis (2019) - [3](https://www.cisa.gov/news-events/alerts/2020/02/18/aa20-049a-malicious-activity-targeting-energy-sector) CISA - AA20-049A Dragonfly targeting energy sector (2020) - [4](https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/dragonfly-energy-sector-cyber-attacks) Symantec - Dragonfly: Western Energy Sector Targeted by Sophisticated Attack Group (2017) - [5](https://attack.mitre.org/groups/G0035/) MITRE ATT&CK - G0035 Dragonfly Group Profile (2024)