# DET0553 — Detection Strategy for Obfuscated Files or Information: Binary Padding ## Descrição O binary padding ([[t1027-001-binary-padding|T1027.001 — Binary Padding]]) é uma técnica de evasão de defesa onde adversários adicionam dados irrelevantes (null bytes, dados aleatórios ou repetidos) a binários maliciosos para alterar o hash do arquivo, inflar seu tamanho e evitar detecção por assinaturas estáticas de antivírus. Essa técnica é particularmente eficaz contra soluções que mantêm listas de hashes conhecidos (blocklists) e contra sandboxes com limites de tamanho de arquivo para análise dinâmica — arquivos inflados acima de 100 MB frequentemente não são processados por sandboxes automatizadas. A detecção de binary padding requer análise de entropia e estrutura dos arquivos executáveis. Binários legítimos possuem seções com entropia consistente com código compilado ou dados compactados. Binários com padding apresentam seções com entropia extremamente baixa (próxima de 0 para null padding) ou padrões repetitivos detectáveis. A análise do PE header em Windows revela discrepâncias entre o tamanho declarado das seções e o tamanho real do arquivo — seções `.rsrc` ou overlay data desproporcionalmente grandes são indicadores fortes. Ferramentas como `pe-sieve`, análise de entropia por seção e comparação entre `SizeOfImage` e tamanho real do arquivo no disco são métodos eficazes. No cenário de ameaças LATAM, banking trojans brasileiros como [[s0531-grandoreiro|Grandoreiro]] são notórios por utilizar binary padding agressivo, inflando executáveis para 300-500 MB para evitar upload automático a sandboxes e serviços de análise. Operadores de [[mekotio|Mekotio]] e [[casbaneiro|Casbaneiro]] também empregam esta técnica. A implementação de regras que detectem executáveis com razão desproporcional entre tamanho de arquivo e tamanho de código efetivo é essencial para SOCs brasileiros que enfrentam estas famílias de malware diariamente. ## Indicadores de Detecção - Arquivo PE com tamanho total superior a 100 MB onde o código executável efetivo (seções `.text`, `.code`) ocupa menos de 10% do tamanho total - Seção `.rsrc` ou overlay data representando mais de 80% do tamanho total do executável - Entropia de seções do PE abaixo de 1.0 (indicando null padding) ou com padrão repetitivo detectável - Arquivo executável criado em disco cujo tamanho aumenta significativamente entre a escrita inicial e a versão final (padding adicionado pós-drop) - Discrepância entre `SizeOfImage` no PE header e tamanho real do arquivo no sistema de arquivos superior a 50 MB - Download ou criação de arquivo `.exe`, `.dll` ou `.scr` com tamanho superior a 100 MB em diretório de usuário (`%TEMP%`, `%APPDATA%`, `Downloads`) ## Técnicas Relacionadas - [[t1027-001-binary-padding|T1027.001 — Binary Padding]] — técnica principal coberta por esta estratégia - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] — família ampla de ofuscação de payloads - [[t1027-002-software-packing|T1027.002 — Software Packing]] — técnica complementar de evasão via empacotamento - [[t1036-masquerading|T1036 — Masquerading]] — frequentemente combinada com padding para evadir detecção - [[t1204-user-execution|T1204 — User Execution]] — execução pelo usuário do binário inflado após entrega via phishing ## Analytics Relacionadas - [[an1528-analytic-1528|AN1528 — Analytic 1528]] - [[an1529-analytic-1529|AN1529 — Analytic 1529]] - [[an1530-analytic-1530|AN1530 — Analytic 1530]] --- *Fonte: [MITRE ATT&CK — DET0553](https://attack.mitre.org/detectionstrategies/DET0553)*