s1205-cipherexe - RunkIntel

# cipher.exe > Tipo: **tool** · S1205 · [MITRE ATT&CK](https://attack.mitre.org/software/S1205) ## Descrição [[s1205-cipherexe|cipher.exe]] é um utilitário nativo da Microsoft que gerencia a criptografia de diretórios e arquivos em partições NTFS (New Technology File System) por meio do Encrypting File System (EFS). Administradores de sistemas o utilizam para habilitar/desabilitar criptografia EFS em arquivos e diretórios sensíveis, listar arquivos criptografados e gerenciar agentes de recuperação de dados. O comando `cipher /w:<diretório>` é usado específicamente para sobregravar espaço livre não-alocado - funcionalidade de secure deletion. Em mãos maliciosas, o [[g0007-apt28|APT28]] (Fancy Bear) utilizou `cipher.exe /w` para realizar wipe de espaço livre em disco após exfiltrar dados, destruindo evidências forenses de arquivos previamente deletados. Essa técnica de anti-forense impede a recuperação de arquivos que foram deletados antes do `cipher /w` ser executado, eliminando vestígios de staging de dados, ferramentas baixadas e deletadas, e outras evidências da intrusão. É classificado como [[t1561-001-disk-content-wipe|T1561.001 - Disk Content Wipe]]. **Plataformas:** Windows ## Técnicas Utilizadas - [[t1561-001-disk-content-wipe|T1561.001 - Disk Content Wipe]] ## Grupos que Usam - [[g0007-apt28|APT28]] ## Relevância LATAM/Brasil O uso de `cipher /w` para anti-forense é relevante em campanhas de espionagem e operações destrutivas que atingem o Brasil. O [[g0007-apt28|APT28]], associado à GRU russa, tem histórico de alvos na América Latina incluindo entidades governamentais e setor de energia. A técnica de wipe de espaço livre dificulta investigações forenses pós-incidente - capacidade crítica em campanhas de espionagem de longo prazo que buscam apagar evidências de permanência prolongada na rede da vítima. ## Detecção **Fontes de dados recomendadas:** - **Sysmon Event ID 1 (ProcessCreaté):** Execução de `cipher.exe` com argumento `/w:` - uso legítimo é raro em ambiente corporativo padrão; qualquer execução em horário fora do expediente ou por usuário não-administrador é suspeita - **Windows Security Event ID 4688:** Criação de processo `cipher.exe /w` com path de diretório em drives de dados - **EDR File Activity:** Volume anormal de atividade de escrita em espaço não-alocado - indicativo de wipe operation em andamento **Regras de detecção:** - Sigma: `proc_creation_win_cipher_disk_wipe.yml` - execução de `cipher.exe /w` em drives não-sistema (SigmaHQ) - Elastic: `process_execution_cipher_wipe` - detecção de cipher com argumentos de wipe ## Referências Adicionais - [MITRE ATT&CK - S1205](https://attack.mitre.org/software/S1205) - [SigmaHQ - cipher disk wipe detection](https://github.com/SigmaHQ/sigma) - 2024