# T1027.009 - Embedded Payloads ## Técnica Pai Esta é uma sub-técnica de [[t1027-obfuscated-files|T1027 - T1027 - Obfuscated Files or Information]]. ## Descrição **Embedded Payloads** (Payloads Embutidos) é uma subtécnica de [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] na qual adversários ocultam código malicioso dentro de arquivos aparentemente legítimos - binários, documentos, scripts, imagens ou arquivos compactados. O objetivo é fazer com que o payload passe despercebido em inspeções superficiais, contorne controles de confiança baseados em assinatura digital e evite a detecção por soluções de segurança que analisam arquivos individualmente sem inspecionar seu conteúdo interno. A técnica se distingue da [[t1027-003-steganography|Esteganografia (T1027.003)]] por não necessáriamente alterar os bits de dados de uma mídia legítima de forma imperceptível ao olho humano - em Embedded Payloads o adversário pode simplesmente anexar ou sobrepor dados maliciosos a um binário existente (técnica de **overlay**), aninhar um executável dentro de outro arquivo do mesmo formato, ou empacotar um script dentro de um documento Office com macros. A importância da técnica cresce quando combinada com [[t1553-subvert-trust-controls|Subvert Trust Controls (T1553)]]: em alguns casos, o arquivo portador (carrier) possui assinatura digital válida de um vendor legítimo, enquanto o payload embutido é extraído e executado em memória, nunca passando pelos controles de verificação de assinatura do sistema operacional. --- ## Como Funciona ### Técnicas de Embedding **1. Binary Overlay (Sobreposição em Binários)** O método mais simples: o adversário concatena o payload (shellcode, PE, script) ao final de um binário PE legítimo assinado. O Windows PE loader ignora dados após o certificado de assinatura em algumas implementações, permitindo que o binário continue com assinatura válida mesmo com dados adicionados. Um stager separado lê o binário em disco, localiza o offset do payload pelo tamanho declarado no PE header ou por um marcador mágico, extrai e injeta em memória. **2. Nesting - Arquivos Aninhados do Mesmo Formato** Adversários embtem um executável dentro de outro executável, ou um script PowerShell dentro de outro script, usando a estrutura de recursos do PE (seção `.rsrc`) ou blocos de dados ignorados pelo parser principal. O arquivo externo serve como dropper: ao executar, extrai o payload interno para um caminho temporário ou diretamente em memória via [[t1055-process-injection|Process Injection]]. **3. Documentos Office com Macros e Payloads Embutidos** Arquivos .docx, .xlsx e .pptx são contêineres ZIP. Adversários inserem payloads binários como partes do documento (objetos OLE, streams VBA, ou arquivos adicionais dentro do ZIP) que não são visíveis ao usuário mas são extraídos e executados pelas macros. O [[s0367-emotet|Emotet]] popularizou a técnica de documentos Word com payloads DLL embutidos em streams OLE. **4. Script Aninhado em Script (Run-Only AppleScript)** No macOS, adversários criam AppleScript em formato **run-only** (compilado) que contém um segundo script ofuscado. O formato run-only impede inspeção direta do código-fonte, enquanto o script externo extrai e executa o interno. O malware [[s1048-macososaminer|macOS.OSAMiner]] utilizou essa técnica para persistir por anos sem detecção em sistemas macOS. **5. Payload Embutido para Process Injection** O caso mais operacionalmente relevante: o payload embutido não é um executável autônomo, mas um módulo de injeção. O carrier é um binário legítimo (explorer.exe, svchost.exe, um browser) e o payload é shellcode injetado via [[t1055-process-injection|Process Injection]] que passa a rodar no contexto desse processo - herdando suas permissões, reputação e comúnicações de rede. O [[badhatch|BADHATCH]] e o [[s0483-icedid|IcedID]] utilizam essa abordagem para injetar módulos de C2 em browsers, facilitando comúnicação via HTTPS que mistura com tráfego legítimo. ### Fluxo Típico de Ataque Um vetor comum combina [[t1566-001-spearphishing-attachment|Spearphishing Attachment]] com Embedded Payloads: o documento phishing contém uma macro que extrai um DLL embutido em um stream OLE, registra o DLL com regsvr32 ou rundll32, e o DLL por sua vez extrai um segundo payload da sua própria seção de recursos. Esse padrão de múltiplos estágios aninhados (matryoshka) dificulta análise estática automatizada. --- ## Attack Flow ```mermaid graph TB A([Adversário prepara<br/>arquivo portador]) --> B[Payload malicioso<br/>embedado no carrier<br/>PE overlay / OLE stream / recursos] B --> C[Carrier distribuído<br/>via vetor de entrega] C --> C1>attachment] C --> C2[Download via<br/>site comprometido] C --> C3[Supply chain<br/>trojaned package] C1 --> D[Vítima executa<br/>o arquivo carrier] C2 --> D C3 --> D D --> E{Carrier extrai\npayload embutido} E --> E1[Gravação em disco<br/>caminho temporário] E --> E2[Extração direta<br/>em memória] E1 --> F1[Execução via<br/>rundll32 / regsvr32<br/>/ wscript] E2 --> F2Process Injection\nem processo legítimo] F1 --> G[Payload de 2º estágio<br/>executado] F2 --> G G --> H{Capacidades do payload} H --> H1[C2 commúnication<br/>HTTPS/DNS] H --> H2Persistência\nRegistro/WMI/Serviço] H --> H3[Download de<br/>módulos adicionais] H --> H4Credential Dumping\ne movimento lateral] style A fill:#c0392b,color:#fff style G fill:#8e44ad,color:#fff style H1 fill:#27ae60,color:#fff style H2 fill:#2980b9,color:#fff style H3 fill:#2980b9,color:#fff style H4 fill:#e67e22,color:#fff ``` --- ## Exemplos de Uso ### Lazarus Group - Dtrack e DEADEYE O [[g0032-lazarus-group|Lazarus Group]] (Coreia do Norte) é um dos operadores mais prolíficos de Embedded Payloads. O [[s0567-dtrack|Dtrack]] RAT - utilizado em ataques contra instituições financeiras indianas e a usina nuclear de Kudankulam - usa um dropper que embute múltiplos payloads dentro de um executável legítimo aparente. O dropper decodifica o payload interno (criptografado com XOR simples), escreve em um arquivo temporário e executa. O [[s1052-deadeye|DEADEYE]], um loader do Lazarus, embute shellcode na seção de recursos do PE portador e usa técnicas anti-análise como verificações de ambiente antes de extrair o payload. ### Moonstone Sleet - Supply Chain com Payloads Embutidos O grupo [[g1036-moonstone-sleet|Moonstone Sleet]], identificado pela Microsoft como um cluster norte-coreano derivado do Lazarus, foi documentado em 2024 distribuindo pacotes npm maliciosos com payloads embutidos em arquivos JavaScript que pareciam utilitários legítimos. O payload era extraído via decodificação Base64 em runtime e executado sem gravar arquivos adicionais em disco - combinando Embedded Payloads com elementos de [[t1027-011-fileless-storage|Fileless Storage]]. ### TA577 - Emotet e IcedID com DLLs em Streams OLE O [[g1037-ta577|TA577]] é um Initial Access Broker que opera distribuindo [[s0367-emotet|Emotet]] e [[s0483-icedid|IcedID]] via campanhas de e-mail em massa. Em campanhas documentadas em 2023, o TA577 distribuía documentos Word com payloads DLL embutidos em streams OLE. A DLL era extraída pela macro VBA e executada via rundll32 - um padrão de embedded payload que evoluiu continuamente para escapar de filtros de e-mail e sandboxes. ### Netwalker - Payload PowerShell Embutido em Script O ransomware [[s0457-netwalker|Netwalker]] utilizou uma técnica notável: o payload DLL era embutido como uma longa string codificada em Base64 dentro de um script PowerShell. O script agia como seu próprio loader - decodificava a string, a carregava em memória via reflexão .NET e executava sem gravar o DLL em disco. Essa combinação de Embedded Payload com [[t1620-reflective-code-loading|Reflective Code Loading]] tornou o Netwalker particularmente evasivo. ### CHIMNEYSWEEP - Payload em Documento de Isca Persa O [[s1149-chimneysweep|CHIMNEYSWEEP]], atribuído a atores iranianos e documentado pela SentinelOne, utilizava documentos PDF e Word em persa como isca para ativistas e jornalistas. Os documentos continham conteúdo legítimo visível ao usuário enquanto macros extraíam e executavam um payload embutido. A técnica é especialmente eficaz em contextos de spearphishing direcionado onde o conteúdo da isca é customizado para a vítima. --- ## Detecção ### Estrategia Geral A detecção eficaz de Embedded Payloads requer análise em múltiplas camadas: 1. **Análise estática avançada**: verificar discrepâncias entre o tamanho declarado no PE header e o tamanho real do arquivo (indicativo de overlay); inspecionar seções de recursos para entropias anômalas 2. **Análise dinâmica/sandbox**: monitorar escrita de novos executáveis ou DLLs em diretórios temporários por processos de produtividade (Word, Excel, browsers) 3. **Telemetria de processo**: Sysmon eventos 11 (FileCreaté) e 1 (ProcessCreaté) para identificar filhos inesperados de aplicativos Office 4. **Monitoramento de rede**: correlacionar execução de documentos com conexões de saída suspeitas ### Regra Sigma - Documento Office Criando Executável em Disco ```yaml title: Office Application Drops Executable to Temp Directory id: c5d6e7f8-a9b0-1234-cdef-012345678901 status: stable description: > Detecta aplicações Office criando arquivos executáveis (PE, DLL, scripts) em diretórios temporários - padrão típico de extração de payload embutido. references: - https://attack.mitre.org/techniques/T1027/009/ - https://blog.talosintelligence.com/ author: RunkIntel daté: 2026-03-25 tags: - attack.defense_evasion - attack.t1027.009 - attack.execution logsource: category: file_event product: windows detection: selection_process: Image|endswith: - '\WINWORD.EXE' - '\EXCEL.EXE' - '\POWERPNT.EXE' - '\OUTLOOK.EXE' - '\AcroRd32.exe' - '\Acrobat.exe' selection_file: TargetFilename|contains: - '\Temp\' - '\AppData\Local\Temp\' - '\Users\Public\' TargetFilename|endswith: - '.exe' - '.dll' - '.ps1' - '.vbs' - '.js' - '.bat' - '.cmd' condition: selection_process and selection_file falsepositives: - Instaladores legítimos iniciados a partir de anexos de e-mail - Software de produtividade que extrai componentes no primeiro uso level: high ``` ### Regra Sigma - Alta Entropia em Seção de Recursos PE ```yaml title: High Entropy Resource Section in Newly Created PE id: d6e7f8a9-b0c1-2345-def0-123456789012 status: experimental description: > Detecta criação de arquivos PE com seção de recursos de alta entropia, indicativa de payload embutido criptografado ou comprimido. references: - https://attack.mitre.org/techniques/T1027/009/ author: RunkIntel daté: 2026-03-25 tags: - attack.defense_evasion - attack.t1027.009 logsource: category: file_event product: windows detection: selection: TargetFilename|endswith: - '.exe' - '.dll' FileEntropy|gte: 7.2 TargetFilename|contains: - '\Temp\' - '\Downloads\' - '\AppData\' condition: selection falsepositives: - Instaladores com conteúdo comprimido - Aplicativos legítimos que empacotam recursos criptografados level: medium ``` --- ## Mitigação | ID | Mitigação | Descrição Detalhada | Eficácia | |----|-----------|---------------------|----------| | [[Antimalware]] | AV com análise comportamental | Soluções AV modernas com capacidade de inspeção dinâmica (sandbox embutida) são mais eficazes do que as baseadas apenas em hash/assinatura para detecção de payloads embutidos. Priorizar EDRs com análise de conteúdo de arquivos e emulação de scripts | Alta | | [[m1040-behavior-prevention-on-endpoint\|M1040 - Behavior Prevention on Endpoint]] | Prevenção comportamental | Implementar regras de Attack Surface Reduction (ASR) do Microsoft Defender: bloquear filhos de processo de aplicativos Office, bloquear criação de executáveis por scripts, bloquear injection de código em processos. Regras ASR específicas: `D4F940AB-401B-4EFC-AADC-AD5F3C50688A` (bloquear filhos do Office) | Alta | | M1038 - Execution Prevention | AppLocker / WDAC | Implementar políticas que impeçam execução de binários não assinados em diretórios temporários. Whitelist por publisher (assinatura digital) combinado com rules por path | Alta | | M1021 - Restrict Web-Based Content | Filtro de e-mail e web | Bloquear macros em documentos Office recebidos por e-mail externo via Microsoft Exchange transport rules. Usar sandboxing de anexos (Microsoft Defender for Office 365, Proofpoint) para detonar documentos antes da entrega | Alta | | M1017 - User Training | Conscientização | Treinar usuários para não habilitar macros em documentos recebidos de fontes externas. Especialmente relevante no Brasil onde phishing via documentos Office permanece sendo o vetor de acesso inicial mais comum | Média | --- ## Contexto Brasil/LATAM Embedded Payloads é a técnica mais prevalente em campanhas de malware bancário e ransomware que afetam o Brasil - tornando-a uma das técnicas de maior relevância operacional para defensores na região. **Malware bancário brasileiro e Embedded Payloads:** O ecossistema de malware bancário originário do Brasil - incluindo famílias como **Grandoreiro**, **Mekotio**, **Guildma** (Astaroth) e **Javali** - historicamente utilizou documentos maliciosos com payloads embutidos como principal vetor de distribuição. O **Astaroth/Guildma** é especialmente notável: utilizava arquivos LNK com comandos embutidos que faziam download de DLLs via BITSAdmin, e embutia o payload principal em streams de dados alternativos (ADS) do NTFS - uma variação de Embedded Payloads específica do Windows. **Ransomware e Initial Access Brokers:** Campanhas de ransomware que afetaram órgãos do governo federal e estadual brasileiro em 2022-2024 frequentemente utilizaram [[s0367-emotet|Emotet]] e [[s0483-icedid|IcedID]] como vetores de acesso inicial - ambos distribuídos via documentos Office com payloads embutidos. O [[g0032-lazarus-group|Lazarus Group]], ativo em alvos financeiros na América Latina, também usa Embedded Payloads como técnica de acesso inicial em campanhas direcionadas a exchanges de criptomoedas e bancos da região. **Desafios específicos para equipes brasileiras:** - Alta taxa de uso de software Microsoft Office sem licença (versões antigas sem recursos de segurança modernos) aumenta a superfície de ataque para macros maliciosas - Campanhas em português brasileiro customizadas com conteúdo convincente (notas fiscais, boletos, comúnicações de órgãos governamentais) aumentam a taxa de clique em phishing - Muitas organizações brasileiras de médio porte não possuem capacidade de sandboxing de e-mail - dependendo apenas de AV convencional - Prioridade: implantar Attack Surface Reduction (ASR) rules via Microsoft Defender, especialmente as regras que bloqueiam filhos de processo do Office **Referências a campanhas documentadas no Brasil:** - Kaspersky LATAM documentou múltiplas campanhas de malware bancário usando Embedded Payloads contra clientes de bancos brasileiros (2020-2024) - CERT.br registrou incidentes envolvendo documentos Office maliciosos como principal vetor em phishing corporativo --- ## Referências - [MITRE ATT&CK - T1027.009: Embedded Payloads](https://attack.mitre.org/techniques/T1027/009/) - [SentinelOne - CHIMNEYSWEEP Analysis](https://www.sentinelone.com/labs/chimneysweep/) - [Microsoft - Moonstone Sleet Threat Actor Profile (2024)](https://www.microsoft.com/en-us/security/blog/2024/05/28/moonstone-sleet-emerges-as-new-north-korean-threat-actor/) - [Kaspersky - Malware Bancário LATAM Report](https://latam.kaspersky.com/blog/) - [Talos Intelligence - TA577 and Emotet Campaigns](https://blog.talosintelligence.com/) - [CERT.br - Relatório Anual de Atividades](https://www.cert.br/stats/) - [Red Canary - Embedded Payload Detection Patterns](https://redcanary.com/) *Fonte: [MITRE ATT&CK - T1027.009](https://attack.mitre.org/techniques/T1027/009)*