det0032-detection-strategy-for-hidden-files-and-directories

# DET0032 — Detection Strategy for Hidden Files and Directories ## Descrição Esta estratégia detecta o uso malicioso de arquivos e diretórios ocultos para esconder payloads, ferramentas ou dados exfiltrados do escrutínio de usuários e algumas soluções de segurança. No Windows, adversários utilizam o atributo `HIDDEN` via `attrib +h`, nomes de arquivo com ponto inicial (incompatíveis com `dir` padrão), ou prefixos de namespace como `\\?\` para criar arquivos em locais protegidos. No Linux/macOS, arquivos e pastas prefixados com `.` são ocultos por padrão no shell. A detecção no Windows foca em: execução de `attrib.exe +h` ou chamadas à API `SetFileAttributes` com `FILE_ATTRIBUTE_HIDDEN` em diretórios de usuário, temporários, ou de sistema; criação de diretórios com nomes que emulam diretórios de sistema legítimos (ex: pasta `.cache` em `%WINDIR%`); e varredura periódica de diretórios críticos em busca de arquivos com atributo oculto sem correspondência em baseline. No Linux e macOS, a criação de arquivos com `.` prefix em diretórios como `/tmp/`, `/var/tmp/`, `~/.config/`, ou em diretórios de serviços legítimos é indicador de staging de ferramentas. O comando `chflags hidden` no macOS oculta arquivos via UF_HIDDEN flag, monitorável via chamadas de sistema (syscall `chflags`). ## Indicadores de Detecção - Execução de `attrib.exe +h +s` em arquivo ou diretório em `%TEMP%`, `%APPDATA%`, ou `%PUBLIC%` - Criação de arquivo com atributo `FILE_ATTRIBUTE_HIDDEN | FILE_ATTRIBUTE_SYSTEM` por processo não-sistema - Diretório criado com nome iniciando em `.` em `%WINDIR%\System32\` ou equivalente - Arquivo criado em `C:\Users\<user>\.hidden_folder\` sem correspondência com aplicação conhecida - Presença de arquivos ocultos em diretórios de startup ou scheduled tasks - Uso de `chflags hidden` ou `SetFile -a V` no macOS em arquivos fora de AppData - Criação de arquivo com nome `.. ` (dois pontos + espaço) — técnica de bypass de detecção ## Técnicas Relacionadas - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1036-masquerading|T1036 — Masquerading]] ## Analytics Relacionadas - [[an0091-analytic-0091|AN0091 — Analytic 0091]] - [[an0092-analytic-0092|AN0092 — Analytic 0092]] - [[an0093-analytic-0093|AN0093 — Analytic 0093]] --- *Fonte: [MITRE ATT&CK — DET0032](https://attack.mitre.org/detectionstrategies/DET0032)*