dc0003-malware-metadata

# DC0003 — Malware Metadata ## Descrição O componente de dados **Malware Metadata** engloba dados contextuais sobre um payload malicioso — incluindo hashes criptográficos (MD5, SHA1, SHA256), timestamps de compilação, informações de assinatura digital, tamanho de arquivo, tipo de PE (Portable Executable), strings incorporadas e identificadores de configuração específicos da família de malware. Esses metadados são coletados por repositórios de análise de malware, plataformas de sandbox, soluções EDR e feeds de inteligência de ameaças. A análise de metadados de malware é fundamental para correlação e atribuição. Timestamps de compilação podem indicar o fuso horário de operação do ator de ameaça (embora possam ser forjados). Certificados de assinatura digital — especialmente certificados roubados de empresas legítimas — são indicadores únicos que permitem rastrear clusters de atividade adversária. Watermarks de framework (como identificadores únicos do [[s0154-cobalt-strike]] ou do [[metasploit]]) conectam amostras a operadores específicos. A coleta de metadados de malware ocorre por múltiplos vetores: scanners antivírus registram hashes e veredictos; soluções EDR como CrowdStrike e SentinelOne coletam metadados de PE antes e durante execução; plataformas como VirusTotal, Hybrid Analysis e MalwareBazaar mantêm repositórios públicos de metadados e análises. Em ambientes corporativos, logs de quarentena do AV/EDR são as fontes primárias. Grupos APT sofisticados como [[g0016-apt29]], [[g0096-apt41]] e [[g0032-lazarus-group]] investem significativamente em técnicas para manipular metadados — como falsificar timestamps de compilação (timestomping), assinar malware com certificados roubados, ou empacotar payloads em instaladores legítimos para confundir análise de metadados. ## Telemetria | Fonte | Dado Coletado | Descrição | |-------|--------------|-----------| | AV/EDR Quarantine Logs | Hash SHA256, nome de detecção | Arquivo bloqueado e metadados | | VirusTotal API | Hash, multi-engine scan, PE info | Análise estática detalhada | | Hybrid Analysis | Compilation timestamp, imports, strings | Análise estática + sandbox | | MalwareBazaar | Hash, tipo, família, tag | Repositório de amostras públicas | | Sysmon Event ID 7 | Image Loaded — DLL metadata | Carregamento de módulos com assinatura | | Security Event 4663 | File access com hash opcional | Acesso a arquivos suspeitos | ## Queries de Detecção ### KQL — Microsoft Sentinel ```kql // Detecta execução de binários não assinados ou com assinatura inválida DeviceImageLoadEvents | where not(IsProcessSignatureValid) | where FolderPath !startswith "C:\\Windows\\" | where FolderPath !startswith "C:\\Program Files\\" | project Timestamp, DeviceName, FolderPath, FileName, SHA256, Signer, SignerHash, IsTrusted | order by Timestamp desc ``` ### SPL — Splunk ```spl index=endpoint sourcetype=crowdstrike:events:sensor | where event_simpleName="ProcessRollup2" AND SignInfoFlags="0" | where NOT match(ImageFileName, "^\\\\Device\\\\HarddiskVolume\\d+\\\\Windows\\\\") | stats count, values(ImageFileName) as binaries by aid, ComputerName | sort -count ``` ## Técnicas Relacionadas - [[t1587-develop-capabilities|T1587-develop-capabilities]] — Adversários desenvolvem malware customizado com metadados controlados - [[t1588-obtain-capabilities|T1588-obtain-capabilities]] — Aquisição de malware existente (metadados de terceiros) - [[t1027-obfuscated-files-or-information|T1027-obfuscated-files-or-information]] — Manipulação de metadados para evasão de detecção - [[t1553-subvert-trust-controls|T1553-subvert-trust-controls]] — Uso de certificados roubados para assinar malware > [!tip] Hashes como Indicadores Frágeis > Hashes de arquivo são facilmente alterados por adversários com pequenas modificações no binário (recompilação, padding). Prefira detecção baseada em comportamento e atributos estruturais do PE (imports, seções, strings) em vez de depender exclusivamente de hashes. Ferramentas como YARA permitem criar regras baseadas em padrões estruturais mais resistentes a evasão. ## Contexto LATAM > [!warning] Relevância para SOCs Brasileiros > Famílias de malware bancário focadas no Brasil — como [[s0531-grandoreiro]], [[mekotio]] e [[s0528-javali]] — frequentemente assinam seus instaladores com certificados digitais de empresas brasileiras comprometidas, enganando verificações de assinatura simples. A análise de metadados deve incluir verificação da cadeia de confiança do certificado e não apenas a presença de assinatura. Feeds como VirusTotal Intelligence e o CERT.br fornecem inteligência atualizada sobre certificados abusados em campanhas direcionadas ao Brasil. ## Referências - [MITRE ATT&CK — DC0003: Malware Metadata](https://attack.mitre.org/datasources/DS0015/#Malware%20Metadata) - [VirusTotal API](https://developers.virustotal.com/reference/overview) - [MalwareBazaar — abuse.ch](https://bazaar.abuse.ch/) - [YARA Rules Repository](https://github.com/Yara-Rules/rules)