det0584-detection-strategy-for-resource-forking-on-macos

# DET0584 — Detection Strategy for Resource Forking on macOS ## Descrição Resource Forking no macOS ([[T1564.009 - Hide Artifacts Resource Forking|T1564.009]]) é uma técnica de ocultação de dados que explora o sistema de forks de arquivos do HFS+/APFS para armazenar dados maliciosos em streams alternativos invisíveis ao `ls` e ferramentas convencionais de monitoramento. No macOS, arquivos podem ter múltiplas forks: a data fork (dados principais visíveis) e a resource fork (metadados e dados extras). Um adversário pode armazenar payload executável ou dados exfiltrados na resource fork de um arquivo benigno, tornando o arquivo visualmente normal com tamanho aparente reduzido. A resource fork é acessível via o path especial `arquivo/..namedfork/rsrc` ou pela API `FSOpenResourceFile()`. Ferramentas macOS legítimas raramente utilizam resource forks em arquivos de usuário, mas adversários podem criar arquivos com resource forks extensas contendo código ou dados via `xattr -w com.apple.ResourceFork` ou diretamente via API. A técnica é menos conhecida que Alternative Data Streams do Windows mas produz resultado equivalente em termos de evasão. A detecção requer ferramentas de monitoramento que acessem atributos estendidos e forks de arquivo, como `xattr`, `GetFileInfo` (parte do Xcode) ou soluções EDR com suporte a macOS. Processos que criam ou acessam a resource fork de arquivos de documentos, binários ou configurações devem ser monitorados, especialmente se o processo não for utilitário de sistema Apple legítimo. ## Indicadores de Detecção - Escrita em resource fork (`/..namedfork/rsrc`) de arquivo por processo não-Apple - Uso de `xattr -w com.apple.ResourceFork` com dados extensos por script ou processo suspeito - Arquivo com discrepância entre tamanho aparente e tamanho total incluindo forks alternativas - Acesso `FSOpenResourceFile()` a arquivo de documento ou binário por processo de terceiros - Resource fork contendo dados comprimidos ou cifrados em arquivo aparentemente vazio - Processo lendo resource fork de arquivo criado recentemente em pasta temporária ## Técnicas Relacionadas - [[T1564.009-hide-artifacts-resource-forking|T1564.009 — Resource Forking]] - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[T1553.001-subvert-trust-controls-gatekeeper-bypass|T1553.001 — Gatekeeper Bypass]] - [[T1222.002-file-and-directory-permissions-modification-linux-mac|T1222.002 — Linux and Mac File Permissions Modification]] ## Analytics Relacionadas - [[an1609-analytic-1609|AN1609 — Analytic 1609]] --- *Fonte: [MITRE ATT&CK — DET0584](https://attack.mitre.org/detectionstrategies/DET0584)*