t1588-001-malware - RunkIntel

# T1588.001 - Malware ## Descrição Adversários adquirem malware de fontes externas para uso em operações de ataque, em vez de desenvolver ferramentas próprias. Essa aquisição pode ocorrer por três caminhos principais: **compra**, em mercados clandestinos ou serviços de Malware-as-a-Service (MaaS); **download gratuito**, de repositórios públicos, GitHub ou fóruns underground; ou **roubo e reaproveitamento** de malware de outros grupos - incluindo adversários concorrentes. O espectro de malware adquirível é amplo: payloads de acesso inicial, droppers, backdoors, RATs (Remote Access Trojans), frameworks de pós-comprometimento, packers para evasão de AV, e protocolos C2. A aquisição externa permite que grupos com menor capacidade técnica operem com ferramentas sofisticadas, além de introduzir ambiguidade na atribuição quando múltiplos grupos usam a mesma ferramenta. **Contexto Brasil/LATAM:** O ecossistema de cibercrime brasileiro é reconhecido pela capacidade de produzir e comercializar malware bancário de alta especialização - trojans como Grandoreiro, Mekotio, Guildma e BIFE são amplamente vendidos em fóruns underground brasileiros e adquiridos por grupos de outros países para operar na América Latina. O modelo MaaS é dominante: grupos criminosos brasileiros vendem acesso a painéis de controle de trojans bancários mediante assinatura mensal. Grupos como [[g0140-lazyscripter|LazyScripter]] e [[g1018-ta2541|TA2541]] demonstram que atores de ameaça menos sofisticados podem operar com eficácia ao combinar ferramentas de acesso público ([[t1059-command-scripting-interpreter|scripts de commodity]]) com payloads adquiridos. O grupo [[g1004-lapsus|LAPSUS$]], de origem parcialmente brasileira, utilizou ferramentas adquiridas e vazadas para comprometer organizações globais de alto perfil. > **Técnica pai:** [[t1588-obtain-capabilities|T1588 - Obtain Capabilities]] --- ## Attack Flow ```mermaid graph TB A([Identificação de Necessidade Operacional]) --> B([Pesquisa em Mercados Underground / GitHub]) B --> C{{"T1588.001 Aquisição de Malware"}} style C fill:#e74c3c,color:#fff C --> D([Customização e Packing T1027]) D --> E([Staging de Infraestrutura T1608]) E --> F([Entrega do Payload T1566 / T1195]) F --> G([Execução e C2 T1059 / T1071]) ``` --- ## Como Funciona **1. Identificação e Seleção do Malware** O adversário identifica a ferramenta adequada para os objetivos da operação: um RAT para acesso remoto persistente, um stealer para exfiltração de credenciais, um loader para entregar payloads secundários, ou um ransomware para monetização. A busca ocorre em fóruns Darknet (Genesis Market, BreachForums, fóruns russos como XSS e Exploit), Telegram (grupos de vendas de malware), ou repositórios públicos como GitHub (ferramentas dual-use como Metasploit, Cobalt Strike cracked, Sliver, Havoc). Grupos com recursos financeiros adquirem licenças de frameworks comerciais como [[s0154-cobalt-strike|Cobalt Strike]] ou Brute Ratel C4. **2. Adaptação e Preparação para Entrega** Após aquisição, o malware frequentemente é customizado para a operação: reconfigura-se o endereço C2, ajustam-se strings de identificação da vítima, e aplica-se obfuscação/packing ([[t1027-obfuscated-files|T1027 - Obfuscated Files or Information]]) para contornar assinaturas de AV/EDR. Em campanhas brasileiras de MaaS, os "afiliados" recebem painéis de configuração web onde apenas inserem o endereço C2 e personalizam o malware para o banco-alvo. O malware resultante é então hospedado em infraestrutura de staging ([[t1608-stage-capabilities|T1608]]) antes da entrega. **3. Distribuição e Integração na Cadeia de Ataque** O malware adquirido é entregue por vetores como [[t1566-phishing|Phishing]] (e-mail com anexo malicioso), [[t1195-supply-chain-compromise|comprometimento de cadeia de fornecimento]], ou [[t1189-drive-by-compromise|drive-by download]]. Uma vez executado na máquina da vítima, estabelece comunicação com o C2 do adversário via [[t1071-001-web-protocols|Web Protocols]] ou [[t1573-002-asymmetric-cryptography|canais criptografados]]. A origem comercial do malware frequentemente dificulta a atribuição - quando Cobalt Strike ou AsyncRAT são usados, múltiplos grupos são candidatos, exigindo análise de TTPs adicionais para identificar o ator. --- ## Detecção > **Nota:** T1588.001 é pré-comprometimento. A detecção foca em identificar malware adquirido **na fase de entrega e execução**, analisando características comportamentais que revelam ferramentas de commodity. ### Event IDs Relevantes (Windows) | Event ID | Log | Indicador | |----------|-----|-----------| | 4688 | Security | Criação de processo com linha de comando codificada (base64, hex) - característico de loaders adquiridos | | 7045 | System | Serviço instalado com nome aleatório ou nome de serviço legítimo imitado | | Sysmon 1 | Microsoft-Windows-Sysmon | Processo com hash correspondente a malware de commodity (AsyncRAT, AgentTesla, Formbook) | | Sysmon 3 | Microsoft-Windows-Sysmon | Conexão de saída de processo não-browser para IP/domínio C2 em porta incomum | | Sysmon 11 | Microsoft-Windows-Sysmon | Criação de arquivo em %TEMP% ou %APPDATA% por processo Office/browser | ### Regra Sigma - Detecção de RAT/Loader de Commodity ```yaml title: Commodity RAT Execution via Office Document id: c9e5a3f1-2d78-4b90-cd34-5f6a8b1e2c47 status: experimental description: > Detecta execução de processo filho suspeito a partir de aplicações Microsoft Office, indicando possível execução de malware adquirido (commodity RAT/loader) entregue via phishing com documento malicioso. Padrão comum em campanhas brasileiras de MaaS bancário. logsource: category: process_creation product: windows detection: selection_parent: ParentImage|endswith: - '\WINWORD.EXE' - '\EXCEL.EXE' - '\POWERPNT.EXE' - '\OUTLOOK.EXE' selection_child: Image|endswith: - '\powershell.exe' - '\cmd.exe' - '\wscript.exe' - '\cscript.exe' - '\mshta.exe' - '\regsvr32.exe' - '\rundll32.exe' filter_legitimate: CommandLine|contains: - 'AdobeARM' - 'Office Telemetry' condition: selection_parent and selection_child and not filter_legitimate falsepositives: - Macros legítimas de automação de escritório - Ferramentas de PDF aprovadas pela organização level: high tags: - attack.resource_development - attack.t1588.001 - attack.execution - attack.t1059 ``` --- ## Mitigação | Controle | Ação Recomendada | Relevância para Organizações Brasileiras | |----------|-----------------|------------------------------------------| | [[m1056-pre-compromise\|M1056 - Pre-compromise]] | Monitorar fóruns underground e feeds de malware (MalwareBazaar, Any.run) para identificar campanhas ativas com tooling relevante | Alta - CERT.br e fornecedores locais públicam IOCs de campanhas brasileiras ativas | | Proteção de Endpoint (EDR) | Implementar EDR com detecção comportamental além de assinatura - commodity RATs frequentemente passam por AV tradicional | Crítico - CrowdStrike, SentinelOne, Microsoft Defender for Endpoint têm cobertura para ferramentas de commodity comuns | | Bloqueio de Macros | Desabilitar macros Office via GPO; usar Attack Surface Reduction (ASR) rules no Windows | Alta - phishing com documento Office continua sendo vetor primário de entrega no Brasil | | Análise de Sandbox | Detonar anexos suspeitos em sandbox antes de entrega ao usuário (integrar no gateway de e-mail) | Alta para empresas com volume alto de e-mails externos (varejo, financeiro) | | Controle de Execução de Software | Implementar application whitelisting (AppLocker/WDAC) em estações críticas | Alta para ambientes financeiros e governamentais | | Monitoramento de DNS/Proxy | Bloquear domínios C2 conhecidos via feeds de threat intel; alertar para queries a domínios DGA | Alta - maioria dos RATs de commodity usa domínios C2 listados em feeds públicos (abuse.ch) | --- ## Threat Actors + Software ### Grupos que Utilizam Esta Técnica | Ator | Tipo | Malware Adquirido | Relevância LATAM | |------|------|------------------|------------------| | [[g1004-lapsus\|LAPSUS$]] | Cibercrime (origem parcial BR) | RedLine Stealer, Raccoon, ferramentas vazadas de outros grupos | Alta - grupo com membros brasileiros; alvos incluíam Claro, Embratel e empresas regionais | | [[g0140-lazyscripter\|LazyScripter]] | APT | Quasar RAT, BitRAT, AsyncRAT - todos de código aberto/cracked | Média - campanhas via e-mail com temas de imigração; afeta trabalhadores brasileiros no exterior | | [[g1018-ta2541\|TA2541]] | Cibercrime | AsyncRAT, NetWire, Parallax RAT | Média - campanhas contra aviação e logística; setor relevante no Brasil (TAM/LATAM, Azul) | | [[g0006-apt1\|APT1]] | APT (China) | WEBC2, SEASALT - ferramentas desenvolvidas mas também adquiridas de terceiros | Baixa direta - foco em alvos anglófonos, mas modelo operacional amplamente copiado | | [[g0138-andariel\|Andariel]] | APT (Coreia do Norte) | Maui Ransomware, DTrack - mix de desenvolvido e adquirido | Média - campanhas de ransomware afetam multinacionais com presença no Brasil | | [[g1014-luminousmoth\|LuminousMoth]] | APT (China) | Cobalt Strike (adquirido/cracked), PlugX customizado | Baixa direta - foco em Sudeste Asiático, mas técnica replicável por grupos que atacam BR | | [[g1003-ember-bear\|Ember Bear]] | APT (Rússia) | OutSteel, SaintBot - adquiridos de parceiros criminosos | Baixa direta - campanhas contra Ucrânia, mas reuso de TTPs por cibercriminosos brasileiros | | [[g0143-aquatic-panda\|Aquatic Panda]] | APT (China) | Cobalt Strike, FishMaster RAT | Baixa direta - espionagem corporativa global com potencial impacto em subsidiárias brasileiras | | [[g1013-metador\|Metador]] | APT (origem desconhecida) | metaMain, Mafalda - altamente customizados, possívelmente adquiridos de fornecedor privado | Baixa - alvos estratégicos específicos, mas exemplifica mercado de malware de alto padrão | | [[g1048-unc3886\|UNC3886]] | APT (China) | Ferramentas de VMware ESXi - adquiridas ou desenvolvidas sob encomenda | Média - virtualização VMware amplamente usada em datacenters brasileiros | ### Malware de Commodity Relevante para o Brasil - **Grandoreiro, Mekotio, Guildma** - trojans bancários brasileiros vendidos como MaaS, ativos em toda a América Latina - **[[s0154-cobalt-strike|Cobalt Strike]]** - framework legítimo amplamente adquirido por grupos criminosos (versões crackeadas) - **AsyncRAT, QuasarRAT, NjRAT** - RATs open-source adquiridos por grupos de baixo a médio nível - **RedLine Stealer, Raccoon Stealer** - stealers de credenciais comprados em mercados underground, usados em campanhas brasileiras - **Conexão com [[t1027-obfuscated-files|T1027 - Obfuscated Files]]** - obfuscação pós-aquisição para evasão de detecção - **Conexão com [[t1566-phishing|T1566 - Phishing]]** - vetor de entrega mais comum do malware adquirido no Brasil --- *Fonte: [MITRE ATT&CK - T1588.001](https://attack.mitre.org/techniques/T1588/001)*