# T1587.001 - Malware ## Técnica Pai Esta é uma sub-técnica de [[t1587-develop-capabilities|T1587 - T1587 - Develop Capabilities]]. ## Descrição O desenvolvimento interno de malware representa uma das fases mais críticas do ciclo de vida de uma operação de ameaça avançada. Em vez de reutilizar ferramentas disponíveis públicamente - que são rapidamente sinalizadas por antivírus e EDRs - adversários sofisticados investem em construir suas próprias capacidades: payloads customizados, droppers, backdoors persistentes, stagers, packers e frameworks completos de comando e controle (C2). Essa abordagem confere ao atacante controle total sobre as características da ferramenta, desde a evasão de assinaturas até os protocolos de comunicação utilizados. O desenvolvimento pode ser executado inteiramente in-house por equipes dedicadas de engenharia de malware - como é o caso de grupos como [[g0032-lazarus-group|Lazarus Group]] e [[g0034-sandworm|Sandworm Team]] - ou terceirizado para contratados especializados que entregam ferramentas exclusivas ou semi-exclusivas. Durante o desenvolvimento, adversários frequentemente inserem indicadores falsos de outros grupos conhecidos para confundir atribuição por analistas de inteligência. Aspectos como desenvolvimento de protocolo C2 podem exigir aquisição de infraestrutura adicional, como domínios ou serviços de nuvem, integrando-se com outras técnicas da fase de Resource Development. **Contexto Brasil/LATAM:** A região sofre com malware desenvolvido específicamente para seus contextos locais - o ecossistema de trojans bancários brasileiros (Grandoreiro, Mekotio, Guildma) é um exemplo de desenvolvimento regional especializado, adaptado ao sistema bancário brasileiro, ao PIX e às interfaces específicas de internet banking nacionais. Grupos como [[g1016-fin13|FIN13]] também demonstraram capacidade de desenvolver ferramentas customizadas para operações no México e Brasil, incluindo backdoors sob medida para ambientes específicos do setor financeiro latino-americano. A barreira de entrada para desenvolvimento de malware também caiu significativamente com o advento de construtores de ransomware-as-a-service (RaaS) - disponíveis em fóruns frequentados por atores de ameaça que têm o Brasil como alvo prioritário. ## Attack Flow ```mermaid graph TB A([Reconhecimento<br/>do Alvo]) --> B([Definição de<br/>Requisitos]) B --> C([Desenvolvimento<br/>de Malware]):::highlight C --> D([Teste e<br/>Evasão]) D --> E([Deploy em<br/>Operações]) classDef highlight fill:#e74c3c,color:#fff ``` ## Como Funciona ### 1. Preparação A fase de preparação envolve o levantamento de requisitos operacionais: qual o sistema operacional alvo, quais controles de segurança estão em uso no ambiente (EDR, AV, SIEM), qual o vetor de entrega planejado (phishing, supply chain, exploração direta) e quanto tempo de persistência é necessário. Com base nessa análise, o grupo define a arquitetura do malware - se será um dropper de estágio único, uma cadeia multi-estágio com stager + backdoor + módulos de pós-exploração, ou um implante de acesso de longo prazo com comunicação C2 furtiva. ### 2. Execução O desenvolvimento em si envolve codificação do payload (frequentemente em C, C++, Go, Rust ou Python compilado), implementação de técnicas de evasão (ofuscação, empacotamento, injeção de processo, timestomping), construção do protocolo C2 (HTTP/S, DNS, Telegram, Twitter - via [[t1583-006-web-services|Web Services]]), e testes extensivos contra soluções de segurança antes do deploy. Grupos com capacidade organizacional avançada mantêm pipelines de CI/CD internos para compilar e assinar digitalmente suas ferramentas. ### 3. Pós-execução Após o deploy em operações reais, o malware é monitorado em campo quanto à taxa de detecção - se sinalizado por EDRs ou submetido ao VirusTotal, o grupo inicia um novo ciclo de desenvolvimento para atualizar o implante. Amostras capturadas por pesquisadores são analisadas para identificar indicadores de autoria; adversários sofisticados como [[g0034-sandworm|Sandworm Team]] e [[g0032-lazarus-group|Lazarus Group]] evoluem ativamente suas ferramentas para cada campanha, dificultando rastreamento por assinaturas estáticas. ## Detecção **Nota:** T1587.001 é uma técnica de fase PRE - ocorre antes do comprometimento, fora do ambiente do defensor. A detecção é indireta, baseada em análise de malware capturado e inteligência de ameaças. **Indicadores de Detecção:** | Fonte | Indicador | Descrição | |-------|-----------|-----------| | Sandbox (Hybrid Analysis / Any.run) | Comportamento novo, sem histórico VT | Malware recém-desenvolvido frequentemente tem 0 detecções iniciais | | Yara / Retrospective Hunt | Clusters de compilação | Famílias relacionadas compartilham PDB paths, strings de compilador, timestamps | | Threat Intelligence Feeds | Infraestrutura compartilhada | Grupos reutilizam ASNs, registradores de domínio e certificados TLS entre amostras | | Análise de código | Strings de debug, língua do código | Comentários em idioma do desenvolvedor, formatos de data específicos | **Sigma Rule - Execução de Binário Sem Histórico (Novo Malware):** ```yaml title: Execution of Newly Compiled or Unsigned Executable id: 7d3c8a1e-92f4-4b17-a6d2-3e8f1c5b4a09 status: experimental description: Detecta execução de binário recentemente compilado sem assinatura digital, possível indicativo de malware desenvolvido internamente (T1587.001) references: - https://attack.mitre.org/techniques/T1587/001/ author: RunkIntel daté: 2026-03-24 tags: - attack.resource_development - attack.t1587.001 logsource: category: process_creation product: windows detection: selection_unsigned: Signed: 'false' Image|endswith: - '.exe' - '.dll' filter_known_paths: Image|startswith: - 'C:\Windows\' - 'C:\Program Files\' - 'C:\Program Files (x86)\' condition: selection_unsigned and not filter_known_paths falsepositives: - Softwares internos desenvolvidos pela própria organização - Ferramentas de desenvolvimento e debug legítimas level: medium ``` ## Mitigação | ID | Mitigação | Recomendação para Organizações Brasileiras | |----|-----------|---------------------------------------------| | [[m1056-pre-compromise\|M1056]] | Pre-compromise | Esta técnica ocorre antes do comprometimento; foco deve ser em defesas de profundidade - inteligência de ameaças proativa, monitoramento de infraestrutura adversária e análise de amostras de malware em sandbox antes de chegarem ao ambiente produtivo | **Controles complementares recomendados:** | Controle | Descrição | |----------|-----------| | Application Allowlisting | Bloquear execução de binários não autorizados - eficaz mesmo contra malware customizado desconhecido | | Sandbox de Email / Web | Analisar todos os anexos e downloads em ambiente isolado antes de entrega ao usuário | | EDR com análise comportamental | Detectar comportamentos maliciosos independente de assinatura - crítico contra malware novo | | Threat Intelligence Feeds | Assinar feeds de IoCs (hashes, domínios C2) para identificar novas amostras de famílias conhecidas | | Monitoramento de DNS | Identificar comunicação com domínios C2 recém-registrados - padrão comum em malware customizado | ## Threat Actors - [[g0094-kimsuky|Kimsuky]] - grupo norte-coreano com ampla capacidade de desenvolvimento de malware, incluindo spyware customizado para coleta de inteligência - [[g1016-fin13|FIN13]] - grupo financeiramente motivado com operações no Brasil e México; desenvolve backdoors exclusivos para ambientes bancários latino-americanos - [[g1036-moonstone-sleet|Moonstone Sleet]] - APT norte-coreano que desenvolveu um clone funcional do PuTTY e jogos trojanizados como vetores de infecção - [[g0119-indrik-spider|Indrik Spider]] - operadores do ransomware WastedLocker e Hades, com capacidade robusta de desenvolvimento de malware customizado - [[g0032-lazarus-group|Lazarus Group]] - um dos grupos com maior capacidade de desenvolvimento de malware do mundo, responsável por famílias como BLINDINGCAN, HOPLIGHT e múltiplas variantes de RAT bancário - [[g1052-contagious-interview|Contagious Interview]] - cluster norte-coreano que desenvolveu malware específico para ambientes de desenvolvedores de software (BeaverTail, InvisibleFerret) - [[g0049-oilrig|OilRig]] - APT iraniano com desenvolvimento contínuo de novos implantes e backdoors para cada campanha, dificultando rastreamento por assinatura - [[g1048-unc3886|UNC3886]] - grupo chinês focado em appliances de rede (VMware, Fortinet) com malware desenvolvido específicamente para sistemas ESXi e firmware - [[g1014-luminousmoth|LuminousMoth]] - APT asiático com malware customizado incluindo um falso instalador do Zoom como dropper - [[g0034-sandworm|Sandworm Team]] - unidade GRU responsável por malware destrutivo como NotPetya e Industroyer, com capacidade de desenvolvimento de nível estatal ## Software Associado Não há ferramentas de software associadas diretas a T1587.001 - esta técnica descreve o **processo de criação** de malware, não ferramentas específicas. As ferramentas resultantes são documentadas nas técnicas de execução subsequentes e nos perfis de malware individuais do vault. --- *Fonte: [MITRE ATT&CK - T1587.001](https://attack.mitre.org/techniques/T1587/001)*