# T1027.003 - Steganography > [!abstract] Técnica MITRE ATT&CK > **ID:** T1027.003 | **Tática:** Defense Evasion | **Plataformas:** Windows, Linux, macOS > **Técnica pai:** [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] ## Descrição Esteganografia é a arte de ocultar informação dentro de outras informações - ao contrário da criptografia, que torna o conteúdo ilegível, a esteganografia torna o conteúdo invisível. Em contexto de segurança ofensiva, adversários utilizam técnicas esteganográficas para embarcar payloads maliciosos, comandos codificados ou dados exfiltrados dentro de arquivos de mídia aparentemente benignos: imagens PNG/JPEG, arquivos de áudio MP3/WAV, vídeos, documentos ou até mesmo texto. O objetivo central da técnica é **evadir inspeção de rede e controles de segurança de conteúdo**: firewalls de próxima geração (NGFW), proxies de inspeção TLS, antivírus e soluções de DLP tipicamente não analisam o conteúdo binário bruto de arquivos de mídia em busca de código oculto - eles verificam assinaturas de malware conhecidas, não desvios esteganográficos. Esta subtécnica compõe [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]], que agrupa o conjunto de métodos para ofuscar código, dados e comúnicações. A esteganografia é particularmente eficaz em ambientes corporativos onde tráfego de imagens e mídia é considerado "ruído branco" e raramente inspecionado com profundidade. > [!danger] Ameaça em Evolução > A técnica foi adotada por grupos APT de alto nível (Coreia do Norte, Irã, China) e por operadores de malware financeiro. Com o aumento do compartilhamento de imagens em ambientes corporativos via Teams, Slack e email, a superfície de ataque esteganográfico cresce continuamente. --- ## Como Funciona ### Princípio Técnico: LSB Injection O método mais comum é a injeção no **Least Significant Bit (LSB)** de imagens raster. Cada pixel de uma imagem colorida é representado por 3 bytes (R, G, B), cada um com 8 bits. Alterando apenas o bit menos significativo de cada canal de cor, é possível embarcar ~1 bit de payload por canal - o equivalente a 3 bits por pixel - sem alteração visual perceptível ao olho humano. Para uma imagem PNG de 1024×768 pixels: - Capacidade total: 1024 × 768 × 3 bits = ~2,36 Mb de payload - Degradação visual: imperceptível (variação máxima de 1/255 por canal) ``` Pixel original (R=142): 1000 1110 Pixel com payload (R=143): 1000 1111 ^--- bit do payload (1) ``` ### Variantes Técnicas | Método | Mídia | Payload típico | Uso por APTs | |--------|-------|----------------|-------------| | LSB Injection | PNG, BMP | Shellcode, chaves, comandos | [[g0138-andariel\|Andariel]], [[g0067-apt37\|APT37]] | | EOF Appending | JPEG, GIF | Executáveis, scripts | [[g0127-ta551\|TA551]], [[g0081-tropic-trooper\|Tropic Trooper]] | | Metadata (EXIF) | JPEG | URLs de C2, configs | [[g0069-mango-sandstorm\|MuddyWater]] | | Audio LSB | WAV, MP3 | Beacons C2 | [[g1006-earth-lusca\|Earth Lusca]] | | HTML/CSS Comments | HTML, CSS | Comandos codificados | [[g0065-leviathan\|Leviathan]] | | Invoke-PSImage | PNG | Payloads PowerShell completos | [[g0060-bronze-butler\|BRONZE BUTLER]] | ### Cadeia de Execução Típica 1. **Preparação**: Adversário embarca payload (shellcode, script, chave de criptografia, comando C2) dentro de arquivo de imagem legítimo usando ferramenta esteganográfica 2. **Entrega**: Arquivo de mídia é entregue via email, download de site comprometido, CDN pública (Imgur, GitHub, Steam Workshop) ou diretamente no C2 3. **Extração**: Dropper ou malware já presente no host extrai o payload oculto usando algoritmo correspondente 4. **Execução**: Payload extraído é executado em memória (fileless) ou gravado em disco e invocado via [[t1059-001-powershell|PowerShell]], [[t1059-003-windows-command-shell|cmd.exe]] ou API direta --- ## Attack Flow ```mermaid graph TB A([Preparação do Payload]) --> B[Embed em Arquivo de Mídia<br/>LSB / EOF / EXIF / Invoke-PSImage] B --> C{Canal de Distribuição} C -->|Email / Phishing| D[Anexo ou Link para Imagem] C -->|CDN Pública| E[Imgur / GitHub / Steam / OneDrive] C -->|Site Comprometido| F[Download Drive-by] C -->|C2 Existente| G[Download sob Comando] D --> H[Imagem Baixada pelo Alvo<br/>Parece legítima - sem assinatura AV] E --> H F --> H G --> H H --> I[Dropper / Malware Existente<br/>Extrai Payload Oculto] I --> J{Tipo de Payload} J -->|Shellcode| K[Injeção em Memória<br/>Process Hollowing] J -->|Script PowerShell| L[Invoke-Expression<br/>Execução Fileless] J -->|Chave C2| M[Descriptografa Canal C2<br/>Beacon Estabelecido] J -->|Comando| N[Execução de Instrução<br/>do Operador] K --> O([Controle Total do Sistema<br/>Sem Artefatos em Disco]) L --> O M --> O N --> O style A fill:#5bc0de,color:#fff style O fill:#d9534f,color:#fff style H fill:#f0ad4e,color:#333 style I fill:#f0ad4e,color:#333 ``` --- ## Exemplos de Uso por Atores Reais ### RDAT / MuddyWater - Exchange Web Services com Imagens BMP O [[g0069-mango-sandstorm|MuddyWater]], grupo iraniano de espionagem, utilizou o malware [[s0495-rdat|RDAT]] em campanhas documentadas pela Symantec e pelo Talos Intelligence entre 2020 e 2022. O RDAT implementa um canal C2 incomum: embarca dados de comúnicação em imagens BMP anexadas a emails Exchange via Exchange Web Services (EWS). Tanto o envio quanto o recebimento de instruções são feitos através de imagens em aparência normal, tornando a comúnicação práticamente invisível para soluções de DLP e inspeção de tráfego que não inspecionam conteúdo de imagens em emails. ### APT37 / Andariel - Imagens Maliciosas em Campanhas Watering Hole O [[g0067-apt37|APT37]] (também conhecido como ScarCruft, Reaper) e seu subgrupo [[g0138-andariel|Andariel]], ambos ligados à Coreia do Norte, têm histórico extenso de uso de esteganografia. Campanhas documentadas pelo ESET e pelo AhnLab contra alvos sul-coreanos, jáponeses e do Sudeste Asiático utilizaram imagens PNG hospedadas em sites de notícias comprometidos - os chamados watering holes. Os malwares [[s0513-liteduke|LiteDuke]], [[s0139-powerduke|PowerDuke]] e [[s0439-okrum|Okrum]] todos implementam capacidade de extração esteganográfica como mecanismo de atualização de payload e recebimento de comandos. ### TA551 (Shathak) - Invoke-PSImage em Campanhas de Spam O grupo [[g0127-ta551|TA551]] - operador de campanhas de spam em larga escala que distribuem malware como IcedID, Ursnif e Qbot - foi documentado usando a ferramenta `Invoke-PSImage` para ocultar scripts [[t1059-001-powershell|PowerShell]] completos dentro de arquivos PNG. A imagem é baixada por um macro malicioso em documento Office. O PowerShell então extrai e executa o script a partir dos pixels da imagem, sem nunca gravar o payload em disco - técnica puramente fileless. ### Earth Lusca - Esteganografia em Campanhas LATAM O [[g1006-earth-lusca|Earth Lusca]], grupo chinês documentado pela Trend Micro, utilizou esteganografia em campanhas que afetaram entidades governamentais e do setor de telecomúnicações na América Latina e no Sudeste Asiático. O grupo embarca configurações de C2 e chaves de criptografia dentro de imagens JPEG hospedadas em plataformas legítimas como GitHub e Dropbox, tornando o tráfego C2 indistinguível de downloads normais de conteúdo. ### Bandook / Diavol - Campanhas com Impacto no Brasil O [[s0234-bandook|Bandook]] RAT, utilizado em campanhas de espionagem comercial e crime organizado, implementa capacidades esteganográficas para recebimento de atualizações de payload. O [[s0659-diavol|Diavol]] ransomware, atribuído ao grupo TrickBot, utiliza imagens para ocultar chaves de criptografia e configurações de exfiltração. Ambos foram observados em campanhas com alvos brasileiros, especialmente no setor financeiro e manufatureiro. --- ## Detecção ### Desafios de Detecção > [!warning] Alta Dificuldade de Detecção > Não existe método determinístico simples para detectar esteganografia. A detecção eficaz requer combinação de análise estatística, comportamental e de contexto. Nenhuma solução de detecção baseada em assinatura é suficiente isoladamente. **Indicadores de comportamento suspeito (não determinísticos):** - Processos lendo imagens e imediatamente executando código (correlação de eventos) - Downloads de imagens seguidos de PowerShell ou WScript em curto intervalo - Imagens com entropia incomum (análise estocástica detecta LSB injection) - Comúnicação C2 via plataformas de hospedagem de imagens (Imgur, GitHub raw) - Tamanho de arquivo de imagem anormalmente grande para suas dimensões ### Regra Sigma - Invoke-PSImage e Extração de Payload de Imagem ```yaml title: Extração de Payload Esteganográfico via PowerShell (T1027.003) id: d4f2a8c1-7e33-4b55-9021-af6c1b345678 status: experimental description: > Detecta padrões de extração de payload esteganográfico via PowerShell, incluindo uso de Invoke-PSImage e manipulação de bytes de imagem. Cobertura: leitura de pixels, conversão de bytes, Invoke-Expression após download de imagem. references: - https://attack.mitre.org/techniques/T1027/003/ - https://github.com/peewpw/Invoke-PSImage author: RunkIntel Detection Engineering daté: 2026-03-25 tags: - attack.defense_evasion - attack.t1027.003 logsource: product: windows category: ps_script definition: PowerShell Script Block Logging habilitado (Event ID 4104) detection: selection_psimage: ScriptBlockText|contains: - 'Invoke-PSImage' - 'Get-Pixels' selection_lsb_patterns: ScriptBlockText|contains|all: - '.GetPixel' - 'Invoke-Expression' selection_byte_extraction: ScriptBlockText|contains|all: - '[System.Drawing.Bitmap]' - 'Invoke-Expression' condition: 1 of selection_* falsepositives: - Ferramentas de processamento de imagem legítimas com execução dinâmica (muito raro) level: high ``` ### Regra Sigma - Download de Imagem Seguido de Execução de Script ```yaml title: Download de Imagem Seguido de Execução PowerShell (T1027.003 - Comportamental) id: e5g3b9d2-8f44-4c66-a132-bg7d2c456789 status: experimental description: > Detecta sequência de download de arquivo de imagem (PNG/JPG/BMP/GIF) seguida de invocação de PowerShell dentro de jánela de 60 segundos - padrão consistente com extração e execução de payload esteganográfico. references: - https://attack.mitre.org/techniques/T1027/003/ author: RunkIntel Detection Engineering daté: 2026-03-25 tags: - attack.defense_evasion - attack.t1027.003 logsource: product: windows category: process_creation detection: selection_image_download: CommandLine|contains: - '.png' - '.jpg' - '.jpeg' - '.bmp' - '.gif' selection_followup_exec: Image|endswith: - '\powershell.exe' - '\wscript.exe' - '\cscript.exe' - '\mshta.exe' timeframe: 60s condition: selection_image_download | near selection_followup_exec falsepositives: - Aplicações que baixam banners/assets e iniciam PowerShell para tarefas não relacionadas level: medium ``` --- ## Mitigação | Controle | Implementação | Eficácia | |----------|---------------|----------| | Inspeção de Conteúdo Profunda (DPI) | Implementar soluções de inspeção que realizem análise estatística de entropia em arquivos de imagem no gateway de email e proxy web | Alta para detecção de LSB clássico | | Sandbox de Arquivos | Detonar arquivos de imagem recebidos externamente em sandbox antes da entrega - observar se geram processos filho ou comúnicação de rede | Alta para malware que auto-executa | | Restrição de PowerShell | Aplicar Constrained Language Mode e AppLocker/WDAC para bloquear `Invoke-Expression` com conteúdo derivado de imagens | Alta para Invoke-PSImage | | Monitoramento de Plataformas de CDN | Alertar em downloads de domínios de hospedagem de imagens (raw.githubusercontent.com, i.imgur.com) por processos incomuns (PowerShell, WScript, cmd) | Média | | Script Block Logging | Habilitar PowerShell Script Block Logging (Event ID 4104) para capturar código extraído e executado em memória | Alta - captura payload após extração | | Análise de Anomalias de Rede | Usar análise de comportamento de rede (NBA) para identificar comúnicação C2 via plataformas de imagem - padrão de upload/download periódico de imagens para mesmo host | Média-Alta | --- ## Contexto Brasil/LATAM > [!info] Relevância Regional > A América Latina é alvo crescente de grupos APT que utilizam esteganografia, especialmente em campanhas de espionagem governamental e fraude financeira. ### Campanhas com Impacto Documentado na Região O [[g1006-earth-lusca|Earth Lusca]] comprometeu entidades governamentais e do setor de telecomúnicações na América Latina usando esteganografia como mecanismo de entrega de payload. Documentado pela Trend Micro em 2022, o grupo utilizou imagens hospedadas em CDNs públicas para entregar configurações de C2 para malware já implantado, evadindo inspeção de tráfego em ambientes com proxies corporativos. Grupos de crime organizado financeiro que atuam no Brasil têm adotado técnicas similares: RATs como [[s0234-bandook|Bandook]] e variantes do Remcos são distribuídos em campanhas de spear-phishing contra empresas brasileiras com imagens embutidas em documentos Word/Excel via macros - uma combinação de [[t1566-002-spearphishing-link|T1566.002 - Spearphishing Link]] e T1027.003. ### Desafios para SOCs Brasileiros - A maioria dos firewalls e proxies implantados em empresas brasileiras realiza inspeção de conteúdo baseada em assinatura, não em análise estatística - não detectam esteganografia por LSB - Plataformas como GitHub, OneDrive e Dropbox são amplamente permitidas em ambientes corporativos brasileiros, facilitando o uso dessas CDNs como canais de entrega de payloads esteganográficos - A LGPD cria tensão entre a inspeção profunda de conteúdo de comunicação e o direito à privacidade dos funcionários - SOCs devem ter políticas claras que autorizem inspeção técnica de conteúdo de rede ### Recomendações Específicas - Implementar análise de entropia em gateways de email para anexos de imagem - ferramentas como `stegdetect`, `steganalysis` ou módulos de sandbox (ANY.RUN, Cuckoo) - Criar regras de detecção comportamental no SIEM correlacionando downloads de imagem com execuções posteriores de scripts - Monitorar específicamente URLs de raw content do GitHub e Pastebin - muito utilizados como C2 "dead drop" por grupos APT --- ## Referências - [MITRE ATT&CK - T1027.003](https://attack.mitre.org/techniques/T1027/003/) - [Trend Micro - Earth Lusca Operations](https://www.trendmicro.com/en_us/research/22/a/earth-lusca-employs-sophisticated-infrastructure-varied-tools-and-techniques.html) - [ESET - LiteDuke / PowerDuke Steganography](https://www.welivesecurity.com/2019/10/30/eset-discovers-dukes-new-tools/) - [Talos Intelligence - RDAT Backdoor Analysis](https://blog.talosintelligence.com/2020/08/rdat-backdoor.html) - [Symantec - Waterbug / Turla Steganography](https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence) - [Invoke-PSImage - GitHub (referência técnica)](https://github.com/peewpw/Invoke-PSImage) **Técnicas Relacionadas:** [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] · [[t1059-001-powershell|T1059.001 - PowerShell]] · [[t1566-002-spearphishing-link|T1566.002 - Spearphishing Link]] · [[t1071-001-web-protocols|T1071.001 - Web Protocols]] · [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] **Software Associado:** [[s0495-rdat|RDAT]] · [[s0139-powerduke|PowerDuke]] · [[s0513-liteduke|LiteDuke]] · [[s0470-bbk|BBK]] · [[s0511-regduke|RegDuke]] · [[s0439-okrum|Okrum]] · [[s0234-bandook|Bandook]] · [[s0659-diavol|Diavol]] · [[s0458-ramsay|Ramsay]] · [[s0471-builddowner|build_downer]] --- *Fonte: [MITRE ATT&CK - T1027.003](https://attack.mitre.org/techniques/T1027/003)*