dc0059-file-metadata

# DC0059 — File Metadata ## Descrição File Metadata (DC0059) captura dados contextuais sobre arquivos — incluindo nome, tamanho, tipo, assinaturas digitais, timestamps (criação, modificação, acesso), permissões, atributos, owner e hashes criptográficos (MD5, SHA-1, SHA-256). Este componente é fundamental para análise forense, detecção de mascaramento de identidade de arquivo e verificação de integridade. A manipulação de metadados de arquivos é uma técnica de evasão comum. O "timestomping" — alterar timestamps de arquivos para confundir a linha do tempo forense — é detectável comparando o timestamp do filesystem com metadados alternativos (como o timestamp do MFT no Windows). Adversários também utilizam extensões de arquivo incorretas (um executável `.exe` renomeado para `.txt`) ou nomes que imitam arquivos legítimos do sistema para [[t1036-masquerading|Masquerading]]. A análise de metadados de arquivos é o primeiro passo em qualquer investigação de malware: verificar se o hash do arquivo corresponde a amostras conhecidas em feeds de inteligência, se a assinatura digital é válida ou falsificada, e se os metadados de compilação do PE (Portable Executable) são consistentes com a identidade declarada do arquivo. A discrepância entre a extensão declarada de um arquivo e seu tipo real (determinado por magic bytes/cabeçalho) é um forte indicador de mascaramento. Ferramentas como `file`, `ExifTool` e análise de PE headers são essenciais para extrair metadados ricos para correlação. ## Telemetria | Plataforma | Fonte | Event ID / Evento | Informações Capturadas | |------------|-------|-------------------|------------------------| | Windows | Sysmon | Event ID 1 — ProcessCreate | ImageFileHash, assinatura digital do executável | | Windows | Sysmon | Event ID 7 — ImageLoad | Assinatura de DLLs carregadas, hash | | Windows | Sysmon | Event ID 11 — FileCreate | Hash (MD5/SHA256) do arquivo criado | | Windows | Windows Security | Event ID 4663 | Atributos de arquivo acessado | | Linux | auditd | syscall: `stat`, `lstat`, `fstat` | Metadata de arquivo: permissões, inode, timestamps | | Linux | auditd + hash | `augenrules --check` + `openssl dgst` | Hash de arquivos críticos monitorados | | macOS | Endpoint Security Framework | `ES_EVENT_TYPE_NOTIFY_STAT` | Metadata de acesso a arquivo | | Todos | EDR / AV | Scan de hash | Comparação com listas de malware conhecidos | ## Queries de Detecção **KQL (Microsoft Sentinel / Defender)** ```kql // Executáveis sem assinatura digital em diretórios de usuário DeviceFileEvents | where ActionType == "FileCreated" | where FileName endswith ".exe" or FileName endswith ".dll" | join kind=leftouter ( DeviceFileCertificateInfo | where not(IsTrusted) ) on SHA256 | where IsTrusted == false or isempty(IsTrusted) | project Timestamp, DeviceName, FolderPath, FileName, SHA256, Signer | order by Timestamp desc ``` **SPL (Splunk)** ```spl index=sysmon EventCode=1 | where NOT Signed="true" | where match(Image, "(?i)(\\users\\|\\temp\\|\\appdata\\)") | where match(Image, "(?i)\.(exe|dll|scr|com)quot;) | stats count by Image, Hashes, Company, Description, host | sort - count ``` ## Técnicas Relacionadas - [[t1036-masquerading|T1036 — Masquerading]] — uso de nomes, extensões ou metadata falsos para se disfarçar de arquivo legítimo - [[t1070-indicator-removal|T1070 — Indicator Removal]] — manipulação de timestamps (timestomping) para dificultar forense - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] — uso de atributos de arquivo para ocultar presença (hidden, system) - [[t1553-subvert-trust-controls|T1553 — Subvert Trust Controls]] — falsificação ou abuso de assinaturas digitais ## Contexto LATAM > [!tip] Análise de Metadata em Malware Brasileiro > Malware bancário brasileiro como [[s0531-grandoreiro|Grandoreiro]] e [[mekotio|Mekotio]] frequentemente utiliza executáveis com metadata de compilação adulterada — versões falsas, empresas inventadas e datas de compilação manipuladas. A análise de metadata via VirusTotal e ferramentas como PE-bear ou CFF Explorer revela essas inconsistências. Em triagem de amostras suspeitas no Brasil, sempre verifique: (1) assinatura digital válida, (2) empresa e produto no PE header condizem com o comportamento, (3) timestamp de compilação é plausível. Hashes SHA-256 devem ser sempre verificados contra feeds de ameaças como o [[_data-sources|MalwareBazaar]] e VirusTotal. ## Referências - [MITRE ATT&CK — DS0022 File / File Metadata](https://attack.mitre.org/datasources/DS0022/#File%20Metadata) - [T1036 — Masquerading](https://attack.mitre.org/techniques/T1036/) - [T1070.006 — Timestomp](https://attack.mitre.org/techniques/T1070/006/)