t1560-001-archive-via-utility

# T1560.001 - Archive via Utility ## Técnica Pai Esta é uma sub-técnica de [[t1560-archive-collected-data|T1560 - T1560 - Archive Collected Data]]. ## Descrição Antes de exfiltrar dados coletados, adversários frequentemente recorrem a utilitários nativos ou de terceiros para compactar e/ou criptografar os arquivos de interesse. Essa etapa reduz o volume de tráfego de saída, dificulta a inspeção pelo monitoramento de rede e permite que o conteúdo sejá transportado de forma discreta - muitas vezes disfarçado como um arquivo legítimo de backup ou transferência interna. No Windows, ferramentas como `makecab`, `diantz` e `xcopy` estão disponíveis nativamente e são frequentemente abusadas porque geram pouco alarme em ambientes corporativos. O `certutil`, originalmente projetado para manipulação de certificados, também é usado para codificar arquivos em Base64, criando uma camada adicional de ofuscação. Em ambientes Linux e macOS, o `tar` e o `zip` cumprem papel semelhante. Utilitários de terceiros como 7-Zip, WinRAR e WinZip ampliam ainda mais as opções disponíveis ao atacante - especialmente quando já estão instalados no alvo. **Contexto Brasil/LATAM:** No Brasil, organizações dos setores financeiro e governo são alvos frequentes de grupos como [[g1040-play|Play]] e [[g0102-conti-group|Wizard Spider]], que empregam WinRAR e 7-Zip para empacotar dados financeiros e registros de clientes antes da exfiltração via protocolos cifrados. A ubiquidade dessas ferramentas em ambientes corporativos brasileiros - muitas vezes sem controle de uso por política - torna a detecção especialmente desafiadora. Campanhas direcionadas a infraestrutura crítica da América Latina registradas em 2024 e 2025 mostram uso consistente de arquivamento como etapa pré-exfiltração. ## Attack Flow ```mermaid graph TB A[Acesso Inicial] --> B[Coleta de Dados] B --> C["T1560.001<br/>Arquivamento via Utilitário"]:::highlight C --> D[Staging de Dados] D --> E[Exfiltração] classDef highlight fill:#e74c3c,color:#fff ``` ## Como Funciona ### 1. Preparação O adversário identifica os arquivos ou diretórios de interesse coletados durante a fase de [[t1074-002-remote-data-staging|Remote Data Staging]]. Ele seleciona o utilitário mais conveniente - preferêncialmente um já presente no sistema para evitar instalações suspeitas. Em sistemas Windows, `makecab` e `diantz` são opções nativas; em Linux, `tar` é quase sempre disponível. ### 2. Execução Os arquivos são compactados em um único arquivo - `.zip`, `.rar`, `.7z`, `.cab` ou `.tar.gz` - frequentemente protegidos por senha para impedir inspeção por ferramentas de DLP e proxies corporativos. O `certutil` pode ser invocado para converter o arquivo para Base64 (`certutil -encode dados.zip dados.b64`), disfarçando ainda mais o conteúdo. O nome do arquivo resultante costuma imitar nomenclatura legítima de backup corporativo. ### 3. Pós-execução O arquivo compactado é movido para um diretório de staging - frequentemente uma pasta temporária, compartilhamento de rede acessível externamente ou um serviço de armazenamento em nuvem legítimo. Em seguida, é exfiltrado via [[t1048-exfiltration-over-alternative-protocol|protocolo alternativo]] ou canal C2 já estabelecido. O arquivo original pode ser excluído do sistema para apagar evidências. ## Detecção **Event IDs relevantes (Windows):** | Event ID | Fonte | Descrição | |----------|-------|-----------| | 4688 | Security | Criação de processo - monitorar `makecab.exe`, `certutil.exe`, `7z.exe`, `rar.exe` | | 1 | Sysmon | Process Creaté - linha de comando com parâmetros de compressão | | 11 | Sysmon | FileCreaté - arquivos `.zip`, `.rar`, `.7z`, `.cab` criados fora de pastas esperadas | | 4663 | Security | Acesso a objeto - leitura massiva de arquivos antes da criação do arquivo compactado | **Sigma Rule:** ```yaml title: Arquivamento Suspeito via Utilitário Nativo (T1560.001) id: b3d7a1f2-44c9-4e8a-a9c0-3f2d1e8b7c6a status: experimental description: Detecta uso de utilitários nativos do Windows para compactar arquivos, padrão associado à fase de arquivamento pré-exfiltração. references: - T1560.001 logsource: category: process_creation product: windows detection: selection_makecab: Image|endswith: - '\makecab.exe' - '\diantz.exe' CommandLine|contains: '/V' selection_certutil: Image|endswith: '\certutil.exe' CommandLine|contains: - '-encode' - '-decode' selection_winrar: Image|endswith: - '\rar.exe' - '\WinRAR.exe' CommandLine|contains: - ' a ' - '-hp' condition: 1 of selection_* timeframe: 5m falsepositives: - Processos legítimos de backup corporativo - Scripts de TI que geram arquivos compactados level: medium tags: - attack.collection - attack.t1560.001 ``` ## Mitigação | Controle | Mitigação | Recomendação Prática para Organizações Brasileiras | |----------|-----------|-----------------------------------------------------| | [[m1047-audit\|M1047 - Audit]] | Auditorar uso de utilitários de compressão | Registrar e alertar execuções de `makecab`, `certutil -encode`, `7z a`, `rar a` em hosts que não são servidores de backup. Integrar ao SIEM com baseline de comportamento normal. | | Allowlisting | Controle de aplicações | Restringir instalação de WinRAR e 7-Zip a estações autorizadas via GPO. No Brasil, muitas organizações têm essas ferramentas instaladas por padrão sem controle de versão ou uso. | | DLP | Prevenção de perda de dados | Implementar inspeção de conteúdo em proxies para detectar arquivos compactados com senha saindo da rede. Soluções como Forcepoint e Symantec DLP têm suporte a este padrão. | | EDR | Detecção comportamental | Regras de EDR para correlacionar leitura massiva de arquivos seguida de criação de arquivo compactado no mesmo processo - padrão raro em uso legítimo. | ## Threat Actors - [[g0125-silk-typhoon|HAFNIUM]] - grupo chinês que arquiva dados de e-mail e documentos internos antes da exfiltração em ataques a servidores Exchange no Brasil e outros países - [[g0045-apt10|menuPass]] - usa `rar.exe` e 7-Zip extensivamente para empacotar documentos de propriedade intelectual coletados de alvos no setor de tecnologia e governo - [[g0102-conti-group|Wizard Spider]] - emprega WinRAR com senha em campanhas de ransomware; o arquivamento antecede a exfiltração dupla antes da criptografia - [[g0064-apt33|APT33]] - grupo iraniano que compacta dados de engenharia e OT antes de exfiltrar de organizações de infraestrutura crítica - [[g0117-fox-kitten|Fox Kitten]] - usa `certutil -encode` como técnica de ofuscação adicional sobre dados já compactados - [[g0052-copykittens|CopyKittens]] - comprime dados coletados de sistemas comprometidos no Oriente Médio e, em menor frequência, LATAM - [[g1017-volt-typhoon|Volt Typhoon]] - grupo chinês focado em infraestrutura crítica que usa comandos nativos (`ntdsutil`, `makecab`) para minimizar o footprint em sistemas Windows - [[g0006-apt1|APT1]] - pioneiro no uso sistemático de WinRAR com senha para exfiltrar grandes volumes de documentos corporativos em operações de espionagem prolongadas - [[g0129-mustang-panda|Mustang Panda]] - arquiva documentos de interesse geopolítico usando RAR antes de exfiltrar via C2 customizado - [[g1040-play|Play]] - grupo de ransomware ativo no Brasil que usa WinRAR para empacotar dados financeiros antes da exfiltração e negociação de extorsão dupla ## Software Associado - [[s0538-crutch|Crutch]] - backdoor do grupo [[g0010-turla|Turla]] com capacidade de compressão integrada para exfiltração disfarçada - [[s0439-okrum|Okrum]] - implante que utiliza arquivamento para consolidar capturas de tela e keylogs antes do envio ao C2 - [[s0160-certutil|certutil]] - ferramenta nativa do Windows abusada para encoding Base64 de arquivos coletados; disponível em todas as versões do Windows - [[s1043-ccf32|ccf32]] - ferramenta customizada de compressão usada por grupos de espionagem chineses - [[s0260-invisimole|InvisiMole]] - malware sofisticado que compacta dados coletados (áudio, capturas, documentos) antes da exfiltração - [[s0062-dustysky|DustySky]] - RAT palestino que inclui rotinas de compressão para módulos de coleta de arquivos - [[s0187-daserf|Daserf]] - backdoor jáponês que arquiva arquivos coletados em formato CAB antes da exfiltração - [[s1141-lunarweb|LunarWeb]] - implante que usa compressão para reduzir o footprint das comúnicações de exfiltração - [[s0378-poshc2|PoshC2]] - framework C2 open-source com módulos de compressão e staging integrados - [[s1168-samplecheck5000|SampleCheck5000]] - ferramenta de análise de malware abusada para arquivamento e staging em ambientes comprometidos --- *Fonte: [MITRE ATT&CK - T1560.001](https://attack.mitre.org/techniques/T1560/001)*