s0193-forfiles - RunkIntel

# Forfiles > Tipo: **tool** · S0193 · [MITRE ATT&CK](https://attack.mitre.org/software/S0193) ## Descrição [[s0193-forfiles|Forfiles]] é um utilitário nativo do Windows comumente utilizado em scripts batch e jobs de manutenção para executar comandos em arquivos ou diretórios selecionados baseado em critérios como data de modificação, extensão ou tamanho. Administradores o utilizam para operações em lote como limpeza de logs antigos, arquivamento de arquivos por data e geração de relatórios de diretório. Em contextos maliciosos, o [[g0007-apt28|APT28]] (Fancy Bear) e outros atores abusam do Forfiles como técnica de execução indireta de comandos ([[t1202-indirect-command-execution|T1202]]) para contornar bloqueios de `cmd.exe` direto em políticas de Application Control. O comando `forfiles /c "cmd /c <payload>"` executa efetivamente um command shell através do Forfiles, contornando algumas regras de monitoramento focadas apenas em execução direta de `cmd.exe`. Também é usado para descoberta de arquivos e coleta de dados locais através da seleção por critérios. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1202-indirect-command-execution|T1202 - Indirect Command Execution]] - [[t1005-data-from-local-system|T1005 - Data from Local System]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] ## Grupos que Usam - [[g0007-apt28|APT28]] ## Relevância LATAM/Brasil O [[g0007-apt28|APT28]] (Fancy Bear / GRU), com histórico de campanhas contra governos e setor de energia, é relevante para o contexto brasileiro dado o envolvimento do Brasil em fóruns geopolíticos internacionais e a presença de infraestrutura de energia e telecomúnicações de interesse estratégico. O uso de Forfiles como proxy de execução de comando é uma técnica de baixa detecção em ambientes brasileiros onde regras de Application Control básicas bloqueiam `cmd.exe` mas não utilitários de sistema menos conhecidos. ## Detecção **Fontes de dados recomendadas:** - **Sysmon Event ID 1 (ProcessCreaté):** `forfiles.exe /c "cmd /c <comando>"` ou `forfiles.exe /p <path> /s /c` com comandos que não são de manutenção rotineira - especialmente quando iniciado por processos de email ou Office - **Windows Security Event ID 4688:** Forfiles gerando processos filhos de cmd.exe ou powershell.exe em contextos não-administrativos - **Sysmon Event ID 11 (FileCreaté):** Arquivos criados por forfiles em diretórios temporários - staging de dados para exfiltração **Regras de detecção:** - Sigma: `proc_creation_win_forfiles_lolbin.yml` - forfiles usado como proxy de execução de comandos (SigmaHQ) - LOLBAS: documentação de abuso disponível em lolbas-project.github.io ## Referências Adicionais - [MITRE ATT&CK - S0193](https://attack.mitre.org/software/S0193) - [LOLBAS Project - forfiles.exe](https://lolbas-project.github.io/lolbas/Binaries/Forfiles/) - documentação de abuso - [SigmaHQ - forfiles LOLBin](https://github.com/SigmaHQ/sigma) - 2024