# T1113 - Screen Capture ## Descrição A captura de tela (Screen Capture) é uma técnica de coleta de informações em que adversários registram o conteúdo visual exibido no monitor da vítima durante uma operação de comprometimento. Ao contrário de técnicas que extraem arquivos ou credenciais armazenadas, a captura de tela permite ao atacante observar em tempo real o que o usuário está fazendo - desde documentos abertos e e-mails lidos até sistemas internos acessados e credenciais sendo digitadas em formulários visíveis. A técnica pode ser implementada por funcionalidades nativas do sistema operacional, utilitários de linha de comando ou chamadas diretas à API. No Windows, a API `BitBlt` (parte da GDI) e `CopyFromScreen` (.NET) são os métodos programáticos mais comuns. Em Linux, ferramentas como `xwd` (X Window Dump) ou `scrot` capturam a tela em ambientes com servidor X11. No macOS, o binário nativo `screencapture` realiza a mesma função. Ferramentas de acesso remoto (RATs) frequentemente embarcam essa capacidade como módulo padrão, permitindo capturas periódicas automáticas ou sob demanda pelo operador. Malwares mais sofisticados como [[s0331-agent-tesla|Agent Tesla]] e [[s0182-finfisher|FinFisher]] implementam captura contínua com exfiltração automática. A relevância operacional da técnica reside na sua capacidade de revelar informações que nunca chegam a ser escritas em disco - senhas digitadas em interfaces web, dados exibidos em painéis internos, comúnicações em sistemas de mensageria corporativa e conteúdo de reuniões online. Por essa razão, T1113 é frequentemente usada em conjunto com [[t1056-001-keylogging|Keylogging]] e [[t1056-003-web-portal-capture|Web Portal Capture]] para maximizar a coleta de credenciais e informações sensíveis. **Contexto Brasil/LATAM:** A captura de tela é uma característica central de vários RATs populares em campanhas contra o setor financeiro brasileiro. O [[s0338-cobian-rat|Cobian RAT]] - cujo builder foi vazado e amplamente distribuído - possui módulo de screen capture ativo e foi documentado em campanhas contra usuários e empresas brasileiras. O [[s1207-xloader|XLoader]], sucessor do FormBook, combina captura de tela com keylogging e exfiltração para infraestrutura C2 distribuída, sendo frequentemente identificado em campanhas de phishing com lures brasileiros. Grupos como [[g0047-gamaredon|Gamaredon Group]] e [[g0069-mango-sandstorm|MuddyWater]] utilizam T1113 em campanhas de espionagem que atingem embaixadas e órgãos governamentais na América Latina. ## Attack Flow ```mermaid graph TB A[Acesso Inicial] --> B[Execução / RAT] B --> C{T1113<br/>Screen Capture}:::active C --> D[Exfiltração] C --> E[Reconhecimento<br/>Interno] D --> F[C2 / Repositório<br/>do Atacante] classDef active fill:#e74c3c,color:#fff,stroke:#c0392b ``` ## Como Funciona 1. **Preparação:** O adversário já possui execução no sistema-alvo, tipicamente por meio de um RAT ou backdoor implantado após comprometimento inicial. Define a estratégia de captura: contínua (intervalos regulares, ex: a cada 30 segundos), orientada a evento (captura quando jánela específica fica em foco) ou sob demanda (disparada pelo operador via C2). 2. **Execução:** A captura é realizada por um dos seguintes métodos conforme o sistema operacional: - **Windows:** `BitBlt` + `GetDC` via Win32 API, ou `Graphics.CopyFromScreen` em .NET - sem criar processo visível, operação puramente em memória - **Windows (CLI):** `snippingtool /clip`, PowerShell com `[System.Windows.Forms.Screen]` ou ferramentas como `nircmd.exe savescreenshotfull` - **Linux:** `xwd -root -silent | convert xwd:- screenshot.png` ou `scrot -q 90 /tmp/sc.png` - **macOS:** `screencapture -x /tmp/sc.png` (flag `-x` suprime sons do sistema) - **RAT integrado:** Módulo interno do malware executa captura e armazena em buffer antes de exfiltrar, sem tocar disco 3. **Pós-execução:** As imagens capturadas são comprimidas (JPEG, PNG) e exfiltradas para servidor C2 - sejá imediatamente (streaming) ou em lote em horários programados para evitar picos de tráfego suspeitos. Alguns malwares armazenam capturas localmente em diretórios temporários (`%TEMP%`, `/tmp`) antes de transmitir, deixando artefatos forenses. ## Detecção **Fontes de dados:** - **Sysmon Event ID 10** (ProcessAccess): processos acessando handles de jánelas de outros processos para captura de tela - **Windows API Monitoring (EDR):** chamadas a `BitBlt`, `GetDC(NULL)`, `CreateCompatibleBitmap` originadas de processos não-gráficos legítimos - **Sysmon Event ID 1 / 4688:** criação de processos como `snippingtool.exe`, `nircmd.exe`, `scrot`, `xwd` fora de contextos de uso legítimo - **File System:** criação de arquivos `.png` ou `.jpg` em diretórios temporários (`%TEMP%`, `C:\Users\*\AppData\Local\Temp`) por processos não-gráficos - **Network:** tráfego de upload suspeito com padrões regulares de tamanho (indicativo de capturas periódicas sendo exfiltradas) **Sigma Rule:** ```yaml title: Screen Capture via Native Windows API id: b72e4c1a-0d3f-4a8b-9e51-cd9876543210 status: experimental description: > Detecta possível captura de tela via chamadas à API do Windows por processos que não são aplicações gráficas legítimas. Foco em uso de BitBlt/GetDC por processos suspeitos. logsource: category: process_creation product: windows detection: selection_tools: Image|endswith: - '\nircmd.exe' - '\scrot.exe' - '\xwd.exe' CommandLine|contains: - 'screenshot' - 'screen' - 'savescreenshotfull' selection_powershell: Image|endswith: '\powershell.exe' CommandLine|contains: - 'CopyFromScreen' - 'Windows.Forms.Screen' - 'GetDC' condition: selection_tools or selection_powershell falsepositives: - Ferramentas legítimas de monitoramento de TI - Software de suporte remoto (TeamViewer, AnyDesk) - Aplicações de acessibilidade level: medium tags: - attack.collection - attack.t1113 ``` ## Mitigação | Mitigação | Recomendação Prática | |-----------|---------------------| | Monitoramento de API Calls | Implementar EDR com capacidade de monitorar chamadas à Win32 GDI API (`BitBlt`, `GetDC`) por processos não-gráficos. Alertar quando processos de linha de comando ou scripts invocam essas APIs. | | Controle de Aplicações | Usar AppLocker ou WDAC para bloquear ferramentas de captura não autorizadas (`nircmd.exe`, etc.) em estações de trabalho corporativas - especialmente relevante em ambientes financeiros brasileiros. | | Detecção de RAT | Focar na detecção do vetor de entrega do RAT (phishing, exploits) antes que a funcionalidade de screen capture sejá exercida. T1113 isolado é difícil de detectar sem monitoramento de API. | | Segmentação e DLP | Implementar Data Loss Prevention (DLP) para detectar exfiltração de imagens em volume. Monitorar uploads para destinos externos não autorizados, especialmente em horários fora do expediente. | ## Threat Actors - [[g0035-dragonfly|Dragonfly]] - grupo russo focado em infraestrutura crítica, usa screen capture para espionagem industrial e coleta de credenciais em sistemas SCADA - [[g0060-bronze-butler|BRONZE BUTLER]] - APT jáponês com histórico de campanhas de espionagem, usa T1113 para monitoramento de alvos corporativos - [[g0047-gamaredon|Gamaredon Group]] - grupo ucraniano com operações na LATAM, usa captura de tela como parte de kit de vigilância em embaixadas e órgãos governamentais - [[g0049-oilrig|OilRig]] - APT iraniano (APT34), usa screen capture em campanhas de espionagem no setor de energia e governo - [[g0007-apt28|APT28]] - grupo russo (Fancy Bear), emprega T1113 em operações de espionagem política de alto perfil - [[g1019-moustachedbouncer|MoustachedBouncer]] - grupo com capacidade de interceptação de ISP, usa screen capture para vigilância persistente - [[g0115-gold-southfield|GOLD SOUTHFIELD]] - operador do REvil/Sodinokibi, usa screen capture para reconhecimento pré-ransomware - [[g1044-apt42|APT42]] - APT iraniano com campanhas de espionagem em organizações da sociedade civil e mídia - [[g0059-magic-hound|Magic Hound]] - grupo iraniano com campanhas extensas no Oriente Médio e LATAM - [[g0069-mango-sandstorm|MuddyWater]] - APT iraniano com operações em governos e telecomúnicações na América Latina ## Software Associado - [[s0147-pteranodon|Pteranodon]] (malware) - backdoor do Gamaredon Group com módulo de screen capture integrado - [[s0417-griffon|GRIFFON]] (malware) - JavaScript backdoor do FIN7 com funcionalidade de captura de tela - [[s0044-jhuhugit|JHUHUGIT]] (malware) - downloader do APT28 com capacidade de screen capture - [[s0331-agent-tesla|Agent Tesla]] (malware) - infostealer popular em campanhas de phishing no Brasil, combina screen capture com keylogging - [[s0192-pupy|Pupy]] (ferramenta) - framework open-source de RAT usado em operações de red team e APTs, módulo de screen capture nativo - [[s0199-turnedup|TURNEDUP]] (malware) - backdoor com captura de tela periódica e exfiltração para C2 - [[s0094-trojankaragany|Trojan.Karagany]] (malware) - malware do Dragonfly com módulo de screenshot para espionagem industrial - [[s0182-finfisher|FinFisher]] (malware) - spyware comercial com captura de tela contínua, usado em vigilância governamental - [[s1207-xloader|XLoader]] (malware) - infostealer ativo em campanhas brasileiras, combina screen capture com credential stealing - [[s0338-cobian-rat|Cobian RAT]] (malware) - RAT com builder vazado, amplamente usado em campanhas contra usuários e empresas no Brasil --- *Fonte: [MITRE ATT&CK - T1113](https://attack.mitre.org/techniques/T1113)*