det0591-cross-platform-behavioral-detection-of-file-timestomping-via-metadata-ta

# DET0591 — Cross-Platform Behavioral Detection of File Timestomping via Metadata Tampering ## Descrição Timestomping ([[T1070.006 - Indicator Removal Timestomp|T1070.006]]) é uma técnica de evasão forense onde adversários alteram os timestamps de arquivos maliciosos (Modified, Accessed, Created — MAC) para dificultar a reconstrução da linha do tempo do ataque. No Windows, a API `SetFileTime` é utilizada por ferramentas como `timestomp` (parte do Metasploit) e pelo Meterpreter para retroalimentar timestamps de implantes a datas anteriores ao comprometimento. Em Linux/macOS, o comando `touch -t` ou chamadas `utimes()` produzem o mesmo efeito. A detecção de timestomping é desafiadora porque envolve identificar inconsistências entre diferentes fontes de timestamp. O $STANDARD_INFORMATION da MFT (NTFS) pode ser modificado via API, mas o $FILE_NAME da MFT é atualizado apenas pelo kernel e não pode ser facilmente falsificado em userspace. Ferramentas forenses como Autopsy e plataformas EDR comparam esses campos para identificar discrepâncias que indicam timestomping. Em Linux, o ctime (change time) não pode ser modificado via interface padrão de usuário. A estratégia de detecção multiplataforma combina: análise de inconsistências entre $SI e $FN na MFT (Windows), comparação entre mtime e ctime em sistemas Unix (ctime anterior a mtime indica manipulação), e monitoramento de chamadas `SetFileTime`, `utimes()` e `futimens()` por processos suspeitos. EDRs com suporte forense são necessários para implementação completa. ## Indicadores de Detecção - Arquivo com timestamp $STANDARD_INFORMATION (MFT) anterior ao timestamp $FILE_NAME (MFT) - Sysmon Event ID 2 (modificação de criationtime de arquivo) por processo suspeito - Arquivo com mtime (modificação) anterior ao ctime (mudança de metadados) em sistema Linux - Chamada `SetFileTime` por processo não pertencente a backup ou ferramenta de sincronização - Binário malicioso com data de criação reportada anterior a sua família de malware conhecida - Timestamp de arquivo em diretório com dezenas de arquivos todos com data idêntica suspeita ## Técnicas Relacionadas - [[T1070.006-indicator-removal-timestomp|T1070.006 — Timestomp]] - [[t1070-indicator-removal|T1070 — Indicator Removal]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] - [[t1036-masquerading|T1036 — Masquerading]] ## Analytics Relacionadas - [[an1626-analytic-1626|AN1626 — Analytic 1626]] - [[an1627-analytic-1627|AN1627 — Analytic 1627]] - [[an1628-analytic-1628|AN1628 — Analytic 1628]] - [[an1629-analytic-1629|AN1629 — Analytic 1629]] --- *Fonte: [MITRE ATT&CK — DET0591](https://attack.mitre.org/detectionstrategies/DET0591)*