# DET0406 — Detection Strategy for Extended Attributes Abuse ## Descrição Atributos estendidos (Extended Attributes — xattrs) são metadados adicionais que podem ser associados a arquivos e diretórios em sistemas Linux, macOS e Windows (via NTFS Alternate Data Streams). Adversários abusam desse mecanismo para ocultar payloads, configurações de malware ou scripts dentro de atributos invisíveis ao navegador de arquivos padrão, enquanto o arquivo principal parece legítimo e inócuo. No macOS, o atributo `com.apple.quarantine` pode ser removido para suprimir alertas de Gatekeeper, e atributos customizados podem armazenar shellcode ou dados de configuração. No Linux, ferramentas como `setfattr`/`getfattr` permitem manipulação programática. No Windows, NTFS ADS (Alternate Data Streams) funcionam de forma similar mas são abordados específicamente na estratégia DET0432. A detecção envolve auditoria de operações de escrita em atributos estendidos por processos incomuns, especialmente sobre arquivos em locais sensíveis (binários do sistema, scripts de inicialização). O uso de `xattr` no macOS por processos que não sejam o sistema operacional ou aplicativos de segurança deve ser monitorado via Endpoint Security Framework ou auditd no Linux. ## Indicadores de Detecção - Uso de `xattr`, `setfattr` ou APIs equivalentes por processos não-sistema em arquivos executáveis - Atributos estendidos com conteúdo de grande tamanho (> 1KB) em arquivos aparentemente simples - Remoção do atributo `com.apple.quarantine` de arquivos recém-baixados no macOS - Processos lendo atributos estendidos de múltiplos arquivos em sequência sem correspondente operação de escrita - Scripts ou binários com conteúdo executável armazenado em atributos estendidos não padrão ## Técnicas Relacionadas - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1553-subvert-trust-controls|T1553 — Subvert Trust Controls]] - [[t1222-file-and-directory-permissions-modification|T1222 — File and Directory Permissions Modification]] - [[t1036-masquerading|T1036 — Masquerading]] ## Analytics Relacionadas - [[an1135-analytic-1135|AN1135 — Analytic 1135]] - [[an1136-analytic-1136|AN1136 — Analytic 1136]] --- *Fonte: [MITRE ATT&CK — DET0406](https://attack.mitre.org/detectionstrategies/DET0406)*