dc0061-file-modification

# DC0061 — File Modification ## Descrição File Modification (DC0061) monitora alterações feitas ao conteúdo ou atributos de arquivos existentes — incluindo modificações de conteúdo, mudanças de permissões, alteração de timestamps, modificação de atributos (oculto, somente-leitura, sistema) e substituição de arquivos por versões maliciosas. A modificação de arquivos do sistema é uma técnica fundamental de persistência. Adversários modificam scripts de inicialização, arquivos de configuração de serviços, DLLs do sistema e binários de aplicação para manter acesso persistente ou injetar código malicioso. A técnica de DLL hijacking, por exemplo, envolve a criação ou modificação de DLLs em caminhos de pesquisa do Windows. O [[t1486-data-encrypted-for-impact|ransomware]] é o caso mais extremo de modificação em massa de arquivos — onde o conteúdo de cada arquivo é criptografado e a extensão é alterada. Detectar a modificação em alta frequência de arquivos com diversas extensões por um único processo é uma assinatura comportamental forte de ransomware em execução. A modificação de arquivos de configuração críticos (hosts file, sudoers, crontabs, authorized_keys) é especialmente relevante para detectar persistência e escalonamento de privilégios em sistemas Linux e macOS. No Windows, modificações ao arquivo `hosts` (`C:\Windows\System32\drivers\etc\hosts`) são frequentemente usadas para redirecionamento DNS malicioso. ## Telemetria | Plataforma | Fonte | Event ID / Evento | Informações Capturadas | |------------|-------|-------------------|------------------------| | Windows | Sysmon | Event ID 2 — FileCreateTime (timestomp) | Processo que alterou o timestamp, novo valor | | Windows | Sysmon | Event ID 11 — FileCreate | Sobrescrita de arquivo existente | | Windows | Windows Security | Event ID 4670 | Permissões de objeto alteradas | | Windows | Windows Security | Event ID 4663 | Acesso a objeto com flag WRITE_DATA | | Linux | auditd | syscall: `write`, `truncaté`, `chmod`, `chown` | UID, PID, caminho, resultado | | Linux | inotifywait | `IN_MODIFY`, `IN_ATTRIB` | Modificações em arquivos e atributos monitorados | | macOS | Endpoint Security Framework | `ES_EVENT_TYPE_NOTIFY_WRITE`, `ES_EVENT_TYPE_NOTIFY_SETATTR` | Processo, caminho, tipo de modificação | | macOS | FSEvents | Modificações no filesystem | Caminho e tipo de evento | ## Queries de Detecção **KQL (Microsoft Sentinel / Defender)** ```kql // Detecção de ransomware — modificação em massa de arquivos com extensão alterada DeviceFileEvents | where ActionType in ("FileModified", "FileRenamed") | summarize ModifiedFiles = count(), Extensions = make_set(tostring(extract(@"\.(\w+)quot;, 1, FileName)), 10) by DeviceName, InitiatingProcessFileName, bin(Timestamp, 1m) | where ModifiedFiles > 20 and array_length(Extensions) > 3 | order by ModifiedFiles desc ``` **SPL (Splunk)** ```spl index=wineventlog EventCode=4663 | where match(AccessMask, "0x[0-9a-f]*2[0-9a-f]*") | where match(ObjectName, "(?i)(\\etc\\hosts|sudoers|authorized_keys|crontab|sshd_config)") | where NOT match(SubjectUserName, "(?i)(SYSTEM|root)") | stats count by SubjectUserName, ObjectName, ProcessName, host, _time | sort - _time ``` ## Técnicas Relacionadas - [[t1565-data-manipulation|T1565 — Data Manipulation]] — modificação de dados para impactar integridade ou disponibilidade - [[t1491-defacement|T1491 — Defacement]] — modificação de conteúdo web ou de sistema para fins de notoriedade - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] — modificação de scripts e configs de inicialização para persistência - [[t1070-indicator-removal|T1070 — Indicator Removal]] — modificação de logs para apagar evidências - [[t1486-data-encrypted-for-impact|T1486 — Data Encrypted for Impact]] — modificação em massa de arquivos via criptografia de ransomware ## Contexto LATAM > [!danger] Ransomware e Modificação de Arquivos no Brasil > O Brasil é um dos países mais afetados por ransomware globalmente. A detecção de modificação em massa de arquivos é a última linha de defesa comportamental antes que o dano se torne irreversível. SOCs brasileiros devem implementar alertas de alta prioridade para: (1) processos modificando >20 arquivos por minuto, (2) modificação do arquivo `hosts` por processos não-administrativos, (3) alteração de scripts em `cron.d`, `rc.local` ou pastas de inicialização. Correlacione com [[t1490-inhibit-system-recovery|Inhibit System Recovery]] (deleção de shadow copies) para detecção precoce de ransomware [[lockbit|LockBit]] e similares. ## Referências - [MITRE ATT&CK — DS0022 File / File Modification](https://attack.mitre.org/datasources/DS0022/#File%20Modification) - [T1486 — Data Encrypted for Impact](https://attack.mitre.org/techniques/T1486/) - [T1565 — Data Manipulation](https://attack.mitre.org/techniques/T1565/)