det0461-detection-strategy-for-hidden-file-system-abuse

# DET0461 — Detection Strategy for Hidden File System Abuse ## Descrição Adversários sofisticados implementam sistemas de arquivos ocultos para armazenar ferramentas, configurações e dados roubados de forma que não sejam detectáveis por inspeção convencional do sistema de arquivos. Técnicas incluem o uso de setores de disco não alocados, partições ocultas, alternate data streams (ADS) no Windows NTFS, arquivos com atributos de sistema/oculto em combinação com manipulação de APIs de listagem de arquivos, e sistemas de arquivos criptografados embutidos em containers de aparência legítima. Rootkits frequentemente implementam hooks em chamadas de sistema de listagem de arquivos (`NtQueryDirectoryFile` no Windows, `getdents64` no Linux) para ocultar entradas específicas do sistema de arquivos. Essa abordagem torna ferramentas padrão como `dir`, `ls`, Explorer e até alguns antivírus cegos a presença de arquivos maliciosos. Grupos APT como [[g0096-apt41|APT41]] utilizam sistemas de arquivos ocultos para armazenar implantes de longo prazo. A detecção requer comparação entre APIs de baixo nível e alto nível de sistema de arquivos (discrepâncias indicam hooking), análise de setores de disco não alocados, monitoramento de alternate data streams e uso de ferramentas forenses que operam diretamente no nível de bloco de disco, contornando as APIs do sistema operacional possívelmente comprometidas. ## Indicadores de Detecção - Discrepância entre contagem de arquivos retornada por API de alto nível vs. acesso direto a disco via `\\.\PhysicalDrive` - Arquivo com atributo `FILE_ATTRIBUTE_HIDDEN | FILE_ATTRIBUTE_SYSTEM` em diretório de sistema contendo PE não assinado - Alternate Data Stream (`filename:stream`) em arquivo legítimo contendo código executável ou dados de alta entropia - Setores de disco com dados não alocados segundo tabela de partição mas com entropia alta (indicando dados escondidos) - Hook detectado em `NtQueryDirectoryFile` ou `getdents64` por módulo não-sistema - Processo lendo de offset de disco que não corresponde a nenhum arquivo mapeado no sistema de arquivos ## Técnicas Relacionadas - [[T1564005-hidden-file-system|T1564.005 — Hidden File System]] - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] - [[t1014-rootkit|T1014 — Rootkit]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[T1070004-file-deletion|T1070.004 — File Deletion]] - [[t1055-process-injection|T1055 — Process Injection]] ## Analytics Relacionadas - [[an1271-analytic-1271|AN1271 — Analytic 1271]] - [[an1272-analytic-1272|AN1272 — Analytic 1272]] - [[an1273-analytic-1273|AN1273 — Analytic 1273]] --- *Fonte: [MITRE ATT&CK — DET0461](https://attack.mitre.org/detectionstrategies/DET0461)*