s0361-expand - RunkIntel

# Expand > Tipo: **tool** · S0361 · [MITRE ATT&CK](https://attack.mitre.org/software/S0361) ## Descrição [[s0361-expand|Expand]] é um utilitário nativo do Windows utilizado para descompactar arquivos CAB (Cabinet) comprimidos - o formato de compressão nativo do Windows usado para distribuição de componentes do sistema operacional, pacotes de atualização e instaladores. Administradores o utilizam para extrair arquivos de pacotes de instalação, recuperar arquivos de sistema corrompidos de mídia de instalação e gerenciar componentes do Windows. Em contextos maliciosos, adversários utilizam `expand.exe` como LOLBin para descompactar payloads maliciosos distribuídos em formato CAB - um container que pode conter executáveis, DLLs e scripts. Por ser um utilitário assinado pela Microsoft, sua execução não é bloqueada por Application Whitelisting básico e não é detectada por antivírus que inspecionam apenas arquivos extraídos finais. Além de descompactação simples, `expand` pode ser abusado para manipulação de NTFS Alternaté Data Streams via `/a` e transferência lateral de arquivos. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1140-deobfuscatedecode-files-or-information|T1140 - Deobfuscaté/Decode Files or Information]] - [[t1570-lateral-tool-transfer|T1570 - Lateral Tool Transfer]] - [[t1564-004-ntfs-file-attributes|T1564.004 - NTFS File Attributes]] ## Relevância LATAM/Brasil O uso de `expand.exe` para descompactar payloads maliciosos em formato CAB é uma técnica de LOLBin relevante no cenário brasileiro, especialmente em campanhas que visam contornar soluções de segurança corporativas básicas. Distribuidores de malware no Brasil utilizam arquivos CAB como container para trojans bancários e RATs, aproveitando que muitos gateways de email não inspecionam o conteúdo de arquivos CAB com a mesma profundidade que ZIPs ou RAR. O padrão de execução via `expand` + payload malicioso extraído tem sido observado em campanhas de phishing direcionadas ao setor financeiro brasileiro. ## Detecção **Fontes de dados recomendadas:** - **Sysmon Event ID 1 (ProcessCreaté):** Execução de `expand.exe` com destino em `%TEMP%`, `%APPDATA%` ou outros diretórios temporários - especialmente quando filho de processos de email ou navegador - **Sysmon Event ID 11 (FileCreaté):** Arquivos executáveis (`.exe`, `.dll`) criados por `expand.exe` em diretórios de usuário - **Sysmon Event ID 15 (FileCreateStreamHash):** Criação de Alternaté Data Streams por expand - indicativo de evasão via ADS **Regras de detecção:** - Sigma: `proc_creation_win_expand_lolbin.yml` - execução de expand.exe com destino suspeito (SigmaHQ) - Elastic: `lolbin_expand_file_execution` - detecção de expand extraindo executáveis em diretórios de usuário ## Referências Adicionais - [MITRE ATT&CK - S0361](https://attack.mitre.org/software/S0361) - [LOLBAS Project - expand.exe](https://lolbas-project.github.io/lolbas/Binaries/Expand/) - documentação de abuso