s1176-attrib - RunkIntel

# attrib > Tipo: **tool** · S1176 · [MITRE ATT&CK](https://attack.mitre.org/software/S1176) ## Visão Geral `attrib` é um utilitário nativo do Windows amplamente abusado por adversários para ocultar artefatos maliciosos de usuários e ferramentas de segurança. Ao aplicar os atributos **oculto** e **sistema** a arquivos ou diretórios, o payload fica invisível na interface padrão do Windows Explorer e em listagens básicas de diretório. Grupos de [[cibercrime]] brasileiro utilizam esta técnica para proteger loaders de [[trojans-bancários]] como [[grandoreiro|Grandoreiro]], [[guildma|Guildma]] e [[brata|BRATA]] contra remoção manual. A técnica é catalogada no MITRE ATT&CK como [[t1564-001-hidden-files-and-directories|T1564.001 - Hidden Files and Directories]], subtécnica de [[t1564-hide-artifacts|T1564 - Hide Artifacts]], dentro da tática de [[defense-evasion|Evasão de Defesa]]. ## Descrição [[s1176-attrib|attrib]] é um utilitário nativo do Windows (`attrib.exe`) utilizado para exibir, definir ou remover atributos de arquivos e diretórios, incluindo os atributos de somente leitura (R), arquivo (A), sistema (S) e oculto (H). Administradores e scripts de manutenção o utilizam rotineiramente para proteger arquivos de sistema contra modificação acidental ou para ocultar arquivos de configuração sensíveis de usuários não privilegiados. Em contextos maliciosos, adversários utilizam `attrib +h +s` para ocultar arquivos e diretórios de persistência da visualização padrão do Windows Explorer e da maioria dos antivírus baseados em varredura de arquivos. Ao combinar os atributos "oculto" e "sistema", o payload ou diretório malicioso fica invisível tanto para usuários quanto para listagens de diretório padrão (`dir` sem `/a`). Essa técnica é frequentemente usada para esconder implants, ferramentas de persistência e diretórios staging de exfiltração. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1564-001-hidden-files-and-directories|T1564.001 - Hidden Files and Directories]] ## Relevância LATAM/Brasil O uso de `attrib` para ocultação de arquivos é uma técnica de baixo custo amplamente observada em campanhas que afetam o Brasil e a América Latina. Grupos de cibercrime brasileiro utilizam `attrib +h +s` para esconder os loaders e payloads de trojans bancários nativos (família BRATA, Grandoreiro, Guildma) em diretórios de usuário, dificultando a remoção manual por analistas menos experientes. Em investigações de resposta a incidentes em empresas brasileiras de médio porte, diretórios com atributos system+hidden contendo implants foram encontrados persistindo por semanas sem detecção, demonstrando a eficácia da técnica contra ambientes com proteção básica. ## Detecção **Fontes de dados recomendadas:** - **Sysmon Event ID 1 (ProcessCreate):** Execução de `attrib.exe` com argumentos `+h` ou `+s` em diretórios fora de `Windows\` ou `Program Files\` - especialmente em `%APPDATA%`, `%TEMP%`, ou diretórios de usuário - **Sysmon Event ID 11 (FileCreate) + FileDeleteDetected:** Correlacionar criação de arquivo com subsequente modificação de atributo para detectar ocultação pós-criação de implant - **Windows Security Event ID 4663:** Acesso a objetos com flags de auditoria - detecta tentativas de acesso a arquivos com atributo sistema/oculto **Regras de detecção:** - Sigma: `proc_creation_win_attrib_hidden_file.yml` - execução de `attrib.exe` com `+h` em paths suspeitos (SigmaHQ) - Elastic: `file_attribute_modification_hidden` - rule para detecção de modificação de atributo oculto em arquivos criados recentemente ## Referências Adicionais - [MITRE ATT&CK - S1176](https://attack.mitre.org/software/S1176) - [SigmaHQ - attrib Hidden File detection](https://github.com/SigmaHQ/sigma) - 2024