# T1554 - Comprometimento de Binário de Software do Host ## Descrição Adversários podem modificar binários legítimos presentes no sistema operacional ou em aplicações instaladas para estabelecer acesso persistente e disfarçado. A técnica aproveita o fato de que executáveis do sistema - clientes SSH, navegadores, bibliotecas compartilhadas, utilitários administrativos - são executados com frequência e confiança implícita, tanto por usuários quanto por ferramentas de segurança que os reconhecem como componentes legítimos do ambiente. O método mais direto consiste em substituir o binário original por uma versão trojanizada: o adversário mantém toda a funcionalidade esperada do programa, adicionando secretamente um backdoor, coletor de credenciais ou canal de comunicação com infraestrutura de C2. Por exemplo, um cliente SSH modificado pode capturar silenciosamente todas as senhas digitadas durante sessões de autenticação, repassando-as ao atacante sem qualquer indicação visual para o usuário - uma implementação do [[t1556-modify-authentication-process|T1556 - Modify Authentication Process]] integrada ao próprio binário comprometido. O malware [[s0377-ebury|Ebury]], usado extensivamente em servidores Linux, exemplifica exatamente essa abordagem ao trojanizar o OpenSSH para roubo de credenciais em larga escala. Técnicas de modificação mais sofisticadas envolvem patching direto no binário existente, alterando o entry point ou aplicando IAT hooking para redirecionar a execução para código malicioso antes de retomar o fluxo normal. Após a modificação, o adversário pode usar ferramentas como `yum-versionlock` no Linux para impedir que atualizações do sistema sobrescrevam o binário comprometido - uma forma de [[t1562-impair-defenses|T1562 - Impair Defenses]] voltada à preservação da persistência. Em ambientes VMware ESXi, [[g1048-unc3886|UNC3886]] e [[g1023-apt5|APT5]] documentaram uso de binários comprometidos para manter acesso persistente mesmo após tentativas de remediação. **Contexto Brasil/LATAM:** A técnica é particularmente relevante para operações de espionagem prolongada contra infraestrutura crítica e empresas de telecomúnicações na região. Grupos como [[g1048-unc3886|UNC3886]], associados a nexo com a China, aplicam T1554 em ambientes ESXi e Linux para garantir acesso resiliente a redes corporativas brasileiras e de outros países LATAM após comprometimento inicial. O uso de malware como [[s1184-boldmove|BOLDMOVE]] e [[s1118-bushwalk|BUSHWALK]] em dispositivos de borda - que frequentemente rodam Linux embarcado sem EDR - torna a detecção desses binários comprometidos particularmente difícil para equipes de segurança locais. ## Attack Flow ```mermaid graph TB A[Acesso Inicial / Movimento Lateral<br/>T1190 ou T1021] --> B[Escalação de Privilégios<br/>Acesso root / SYSTEM] B --> C[Identificação de Binário-Alvo<br/>SSH, utilitários, libs compartilhadas] C --> D[ESTA TÉCNICA<br/>T1554 - Comprometimento de Binário<br/>Substituição ou Patching] D --> E1[Coleta de Credenciais<br/>T1552 - Unsecured Credentials] D --> E2[Backdoor Persistente<br/>C2 embutido no binário] D --> E3[Bloqueio de Atualização<br/>T1562 - Impair Defenses] E1 --> F[Persistência de Longo Prazo<br/>Resistente a reboots e remediação parcial] E2 --> F E3 --> F ``` ## Como Funciona 1. **Preparação** - O adversário obtém privilégios elevados no sistema-alvo e identifica binários de alto valor: cliente/servidor SSH, sudo, su, autenticadores PAM, bibliotecas como `libpam.so`, navegadores corporativos ou clientes de VPN. Obtém ou compila uma versão modificada do binário que mantém funcionalidade normal enquanto adiciona código malicioso. 2. **Execução** - O binário original é substituído pelo comprometido, preservando permissões, owner e timestamps originais (via `touch -r`) para dificultar detecção. Alternativamente, aplica-se patching direto ao executável existente modificando ponteiros no entry point ou tabela de importação (IAT). Em seguida, o adversário configura bloqueio de atualização para que o sistema de pacotes não sobrescreva o binário na próxima atualização. 3. **Pós-execução** - O binário malicioso opera silenciosamente a cada uso legítimo. As credenciais capturadas ou sessões abertas são transmitidas para C2 em intervalos regulares ou sob condições específicas. O impacto persiste mesmo após troca de senhas, se o binário comprometido permanecer no sistema. **Exemplo - Detecção de binário SSH modificado:** ```bash # Verificar hash do binário ssh instalado contra o esperado pelo gerenciador de pacotes rpm -V openssh-clients # RPM-based: reporta modificações nos arquivos do pacote debsums -c openssh-client # Debian-based: verifica checksums dos binários instalados sha256sum /usr/bin/ssh # Comparar manualmente com hash de release oficial ``` ## Detecção **Fontes de dados:** File Integrity Monitoring (FIM), auditd (Linux), EDR com monitoramento de modificação de arquivos, OSSEC/Wazuh, logs de gerenciador de pacotes ```yaml title: Modificação de Binário de Sistema em Caminho de Alta Confiança id: c9f2a847-36d1-4b7e-a053-8e4c1d9f2b15 status: experimental logsource: category: file_event product: linux detection: selection: TargetFilename|startswith: - "/usr/bin/" - "/usr/sbin/" - "/bin/" - "/sbin/" - "/lib/" - "/lib64/" filter_package_manager: Image|endswith: - "/rpm" - "/dpkg" - "/yum" - "/apt" - "/zypper" condition: selection and not filter_package_manager falsepositives: - Compilação e instalação manual de software legítimo - Atualizações de sistema fora do gerenciador de pacotes level: high tags: - attack.persistence - attack.t1554 ``` ## Mitigação | Mitigação | Recomendação Prática | |-----------|---------------------| | [[m1045-code-signing\|M1045 - Code Signing]] | Implementar verificação de assinatura de código para binários críticos; em Linux, usar dm-verity ou IMA (Integrity Measurement Architecture) para garantir integridade de binários no boot e em tempo de execução; em macOS, ativar Gatekeeper e System Integrity Protection (SIP) | | [[m1022-restrict-file-and-dir-permissions\|M1022 - Restrict File and Directory Permissions]] | Restringir permissões de escrita em diretórios de sistema (`/usr/bin`, `/usr/lib`, etc.) a root exclusivamente; monitorar com FIM (Wazuh, OSSEC, auditd) qualquer modificação em binários de sistema fora de jánelas de manutenção aprovadas | | [[m1032-multi-factor-authentication\|M1032 - Multi-Factor Authentication]] | Exigir MFA para acesso privilegiado (root, sudo) que permita substituição de binários; limitar quais contas têm permissão de escrita em caminhos de sistema via sudoers restritivo | ## Software Associado - [[s1116-warpwire|WARPWIRE]] - backdoor implantado em dispositivos Ivanti; exemplifica comprometimento de software embarcado - [[s1118-bushwalk|BUSHWALK]] - webshell/backdoor em dispositivos Ivanti Pulse Secure, usado por [[g1048-unc3886|UNC3886]] - [[s1184-boldmove|BOLDMOVE]] - backdoor Linux customizado para dispositivos FortiGaté, atribuído a [[g1023-apt5|APT5]] - [[s0377-ebury|Ebury]] - rootkit/backdoor que trojaniza OpenSSH para roubo de credenciais em larga escala - [[s0641-kobalos|Kobalos]] - backdoor Linux multiplataforma que ataca clusters HPC e servidores de pesquisa - [[s1121-littlelambwooltea|LITTLELAMB.WOOLTEA]] - backdoor ESXi usado por [[g1048-unc3886|UNC3886]] em campanhas de espionagem ## Referências *Fonte: [MITRE ATT&CK - T1554](https://attack.mitre.org/techniques/T1554)*