det0502-detection-strategy-for-hidden-artifacts-across-platforms

# DET0502 — Detection Strategy for Hidden Artifacts Across Platforms ## Descrição A ocultação de artefatos maliciosos é uma técnica de evasão de defesas em que adversários escondem arquivos, processos, dados e ferramentas usando mecanismos do sistema operacional para dificultar a descoberta durante investigações forenses e varreduras de segurança. No Windows, isso inclui uso de atributos de arquivo oculto (`attrib +h`), Alternate Data Streams (ADS) do NTFS, armazenamento em diretórios do sistema camuflados, e uso de nomes de arquivos que imitam componentes do SO. No Linux/macOS, arquivos começando com ponto, diretórios ocultos e uso de bind mounts são técnicas comuns. A técnica é mapeada como [[t1564-hide-artifacts|T1564 — Hide Artifacts]] no MITRE ATT&CK. Adversários avançados combinam múltiplas técnicas de ocultação: um payload pode ser armazenado em ADS de um arquivo legítimo do sistema (ex: `C:\Windows\System32\notepad.exe:payload`), com o carregador em um diretório oculto e o mecanismo de persistência camuflado como serviço do sistema. Grupos APT como [[g0096-apt41|APT41]] e [[darkside-ransomware|DarkSide]] utilizam extensivamente técnicas de ocultação para manter acesso prolongado sem detecção. A detecção multi-plataforma desta estratégia requer varredura ativa de ADS em sistemas Windows, monitoramento de criação de arquivos com atributo oculto em diretórios do sistema, análise de diretórios com nomes que imitam componentes legítimos do SO, e detecção de uso de técnicas de ocultação em macOS (xattr, quarantine flag removal). ## Indicadores de Detecção - Criação de Alternate Data Stream em arquivo do sistema Windows por processo não administrativo (Sysmon Event ID 15) - Arquivo executável com atributo Hidden (+H) e System (+S) em diretório de sistema (`C:\Windows\System32`) - Diretório criado com nome que imita componente legítimo do Windows (ex: `C:\Windows\System32\`) com caractere Únicode extra - Processo lendo conteúdo de ADS (`:Zone.Identifier`, `:evil`) de arquivos em diretório temporário - Arquivo oculto em diretório `$Recycle.Bin` ou `System Volume Information` fora do contexto de restauração do sistema - Remoção do xattr `com.apple.quarantine` por processo não relacionado ao gerenciador de downloads em macOS - Arquivo prefixado com ponto (`.malware.sh`) em diretório `/tmp` ou `~/Library` no Linux/macOS recém-criado e executado ## Técnicas Relacionadas - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] - [[T1564.004-hide-artifacts-ntfs-file-attributes|T1564.004 — NTFS File Attributes]] - [[t1036-masquerading|T1036 — Masquerading]] - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1562-impair-defenses|T1562 — Impair Defenses]] ## Analytics Relacionadas - [[an1384-analytic-1384|AN1384 — Analytic 1384]] - [[an1385-analytic-1385|AN1385 — Analytic 1385]] - [[an1386-analytic-1386|AN1386 — Analytic 1386]] - [[an1387-analytic-1387|AN1387 — Analytic 1387]] - [[an1388-analytic-1388|AN1388 — Analytic 1388]] --- *Fonte: [MITRE ATT&CK — DET0502](https://attack.mitre.org/detectionstrategies/DET0502)*