det0226-detection-strategy-for-masquerading-via-file-type-modification

# DET0226 — Detection Strategy for Masquerading via File Type Modification ## Descrição Esta estratégia detecta a técnica de mascaramento por modificação de tipo de arquivo, onde adversários alteram extensões ou metadados de executáveis maliciosos para parecerem arquivos benignos (ex: `.exe` renomeado para `.pdf`, `.jpg` ou `.docx`). Essa técnica engana usuários e controles de segurança que se baseiam em extensão de arquivo ao invés de análise de magic bytes. A detecção se baseia na discrepância entre a extensão declarada do arquivo e seu magic number real (primeiros bytes que identificam o formato). Por exemplo, um arquivo com extensão `.jpg` mas com magic bytes `MZ` (0x4D5A) é na verdade um executável PE. Ferramentas de análise de conteúdo e EDRs modernos realizam esse tipo de verificação em tempo real. A telemetria necessária inclui monitoramento de arquivo com análise de magic bytes (Event ID 4663 + leitura de cabeçalho), detecção de extensão vs. tipo MIME em gateways de e-mail e proxies web, e regras YARA para identificar executáveis mascarados em diretórios de download e inbox. ## Indicadores de Detecção - Arquivo com extensão de documento (`.pdf`, `.docx`, `.jpg`) contendo magic bytes de executável (`MZ`, `ELF`, `Mach-O`) - Arquivo executado via duplo-clique que não corresponde ao handler esperado para a extensão - Scripts (`.ps1`, `.vbs`, `.js`) renomeados com extensão `.txt` ou `.log` e executados via interpretador diretamente - Associação de extensão modificada no registro para apontar a handler malicioso - Arquivo em `%TEMP%` ou `%APPDATA%` com extensão incomum mas estrutura PE válida - Processo criado a partir de arquivo cujá extensão não corresponde ao tipo real detectado pelo AV/EDR ## Técnicas Relacionadas - [[T1036.008-masquerading-file-type|T1036.008 — Masquerading: File Type Modification]] - [[t1036-masquerading|T1036 — Masquerading]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[T1204.002-user-execution-malicious-file|T1204.002 — User Execution: Malicious File]] - [[T1566.001-spearphishing-attachment|T1566.001 — Spearphishing Attachment]] ## Analytics Relacionadas - [[an0630-analytic-0630|AN0630 — Analytic 0630]] - [[an0631-analytic-0631|AN0631 — Analytic 0631]] - [[an0632-analytic-0632|AN0632 — Analytic 0632]] --- *Fonte: [MITRE ATT&CK — DET0226](https://attack.mitre.org/detectionstrategies/DET0226)*