t1027-013-encryptedencoded-file

# T1027.013 - Encrypted/Encoded File ## Técnica Pai Esta é uma sub-técnica de [[t1027-obfuscated-files|T1027 - T1027 - Obfuscated Files or Information]]. ## Descrição Adversários criptografam ou codificam arquivos para esconder strings, bytes e padrões específicos que poderiam ser detectados por soluções de segurança. O objetivo central é mascarar artefatos maliciosos presentes em arquivos utilizados durante uma intrusão - impedindo que mecanismos de detecção baseados em assinaturas estáticas identifiquem o conteúdo antes que ele sejá executado. Técnicas relacionadas, como [[t1027-002-software-packing|Software Packing]], [[t1027-003-steganography|Steganografia]] e [[t1027-009-embedded-payloads|Embedded Payloads]], compartilham o mesmo objetivo amplo de ofuscação. O conteúdo inteiro de um arquivo pode ser ofuscado, ou apenas partes críticas - como endereços de servidores C2, chaves de criptografia ou código shellcode. Arquivos podem ser cifrados com chaves hardcoded ou fornecidas pelo usuário, além de serem codificados com esquemas padrão como Base64, XOR ou ROT13. Para aumentar a resistência à análise, as camadas de criptografia podem ser aplicadas de forma redundante, criando múltiplos estágios de decodificação antes da execução real. O conteúdo ofuscado é revelado apenas no momento da execução, geralmente por meio de [[Decode Files or Information]]. Um padrão frequentemente observado envolve o abuso de documentos Word protegidos por senha ou arquivos SFX (Self-Extracting Archives) como vetor de entrega inicial - especialmente em campanhas de [[t1566-phishing|Phishing]]. Esses arquivos executam um stub descompressor quando invocados via [[t1204-user-execution|User Execution]], revelando o payload encriptado somente naquele momento. Outra variante abusa de Byte Order Mark (BOM) em arquivos de texto para manipular o conteúdo até que um [[t1059-command-and-scripting-interpreter|Command and Scripting Interpreter]] processe o arquivo. **Contexto Brasil/LATAM:** No Brasil e na América Latina, esta técnica é amplamente empregada por grupos de ameaça financeiramente motivados que distribuem RATs e bankers via e-mails de phishing com anexos ofuscados - frequentemente arquivos `.zip`, `.iso` ou documentos Office com macros em Base64/XOR. Famílias como [[qilin|Qilin]] e [[s1153-cuckoo-stealer|Cuckoo Stealer]] utilizam esta técnica para contornar soluções de e-mail gateway e antivírus comuns no mercado corporativo brasileiro. ## Attack Flow ```mermaid graph TB A[Entrega do Arquivo<br/>Ofuscado] --> B[Execução pelo<br/>Usuário T1204] B --> C{T1027.013\nDecifração\nem Memória}:::highlight C --> D[Payload<br/>Ativado] D --> E[C2 / Persistência] classDef highlight fill:#e74c3c,color:#fff,stroke:#c0392b ``` ## Como Funciona 1. **Preparação:** O adversário empacota o payload malicioso - shellcode, RAT ou dropper - aplicando criptografia (AES, XOR, RC4) ou codificação (Base64, hex) ao arquivo. Em alguns casos, aplica múltiplas camadas para aumentar a opacidade contra análise estática. O arquivo resultante não contém strings ou padrões identificáveis por assinaturas tradicionais. 2. **Execução:** O arquivo é entregue via [[t1566-phishing|Phishing]], mídia removível ou download drive-by. Quando a vítima abre o arquivo - um documento Office, PDF ou executável - um stub de decodificação embarcado (script, macro ou código nativo) decifra o payload diretamente na memória ou em um arquivo temporário em disco antes de executá-lo. Este processo está diretamente ligado a [[Decode Files or Information]]. 3. **Pós-execução:** O payload decifrado é executado via [[t1059-command-and-scripting-interpreter|Command and Scripting Interpreter]] ou chamadas de API nativas, estabelecendo persistência ou abrindo canal de C2. O arquivo original cifrado pode ser deletado ou mantido como isca. Logs de execução revelam o processo de decodificação apenas em ambientes com monitoramento comportamental avançado. ## Detecção **Fontes de dados:** - **Windows Event ID 4688** - criação de processos filhos por aplicativos de escritório (Word, Excel abrindo cmd.exe ou wscript.exe) - **Windows Event ID 7045 / 4697** - instalação de novos serviços logo após abertura de arquivo suspeito - **Sysmon Event ID 1** - linha de comando com strings Base64 longas ou flags de decodificação - **Sysmon Event ID 3** - conexões de rede iniciadas por processos de documentos ou intérpretes de script - **EDR behavior alerts** - processo de decodificação alocando memória executável (VirtualAllocEx + WriteProcessMemory) - **AV/sandbox** - detecção de payloads encriptados com entropy alta (> 7.0) em arquivos anexos **Sigma Rule:** ```yaml title: Arquivo com Alta Entropia Executado por Processo de Escritório id: 8d3f1a2c-5e4b-4f7a-9c1d-2b3e4f5a6b7c status: experimental description: Detecta processo filho suspeito originado de aplicativo Office após abertura de arquivo com possível payload cifrado logsource: category: process_creation product: windows detection: selection_parent: ParentImage|endswith: - '\WINWORD.EXE' - '\EXCEL.EXE' - '\POWERPNT.EXE' - '\mshta.exe' selection_child: Image|endswith: - '\cmd.exe' - '\powershell.exe' - '\wscript.exe' - '\cscript.exe' - '\rundll32.exe' condition: selection_parent and selection_child falsepositives: - Macros legítimas em ambientes administrativos level: high tags: - attack.defense_evasion - attack.t1027.013 ``` ## Mitigação | Mitigação | Recomendação Prática | |-----------|---------------------| | [[Antimalware]] | Habilitar análise heurística e comportamental no antivírus - detecção baseada em entropia de arquivo e comportamento de decodificação em memória. Soluções como CrowdStrike, SentinelOne e Defender for Endpoint com ML habilitado são mais eficazes que AV baseado apenas em assinaturas. | | [[m1040-behavior-prevention-on-endpoint\|M1040 - Behavior Prevention on Endpoint]] | Configurar regras de Attack Surface Reduction (ASR) no Microsoft Defender para bloquear macros de Office de criarem processos filhos. Em ambientes corporativos brasileiros, desabilitar macros por padrão e exigir assinatura digital para macros legítimas reduz significativamente a superfície de ataque. | ## Threat Actors Os seguintes grupos utilizam T1027.013 como parte de suas cadeias de ataque, frequentemente combinando arquivos cifrados com vetores de entrega via spear-phishing: - [[g0100-inception-framework|Inception]] - grupo de espionagem que usa documentos RTF cifrados para campanhas direcionadas - [[g0070-dark-caracal|Dark Caracal]] - APT de origem libanesa com histórico de uso de payloads em Base64 em aplicativos Android e Windows - [[g0066-elderwood|Elderwood]] - grupo chinês conhecido por zero-days entregues via arquivos Office cifrados - [[g0012-darkhotel|Darkhotel]] - APT especializado em ataques a redes de hotéis com payloads ofuscados em SFX - [[g0134-transparent-tribe|Transparent Tribe]] - grupo paquistanês que usa documentos maldoc com macros e payloads XOR - [[g0007-apt28|APT28]] - GRU/Russia; conhecido por usar arquivos de isca com payloads cifrados em campanhas de espionagem - [[g0026-apt18|APT18]] - grupo chinês focado em saúde e tecnologia, usa ofuscação multicamada - [[g0065-leviathan|Leviathan]] - APT chinês (TEMP.Periscope) com foco em setor marítimo; usa arquivos cifrados em RATs - [[g0121-sidewinder|Sidewinder]] - APT sul-asiático com uso extensivo de arquivos RTF e LNK cifrados - [[g0087-apt39|APT39]] - grupo iraniano (Chafer) focado em coleta de dados pessoais; usa cifração para evadir EDR ## Software Associado - [[s1052-deadeye|DEADEYE]] (malware) - loader com múltiplas camadas de ofuscação - [[qilin|Qilin]] (malware) - ransomware com payloads cifrados em Go - [[s0678-torisma|Torisma]] (malware) - implante do Lazarus Group com payload cifrado XOR - [[osxoceanlotusd|OSX_OCEANLOTUS.D]] (malware) - backdoor macOS com strings cifradas em RC4 - [[s0136-usbstealer|USBStealer]] (malware) - malware de roubo via USB com arquivos cifrados - [[s0082-emissary|Emissary]] (malware) - RAT com comunicação C2 cifrada em arquivo de configuração - [[s1153-cuckoo-stealer|Cuckoo Stealer]] (malware) - stealer com dropper em Base64 multicamada - [[s0487-kessel|Kessel]] (malware) - implante com codificação customizada para evadir detecção - [[s0565-raindrop|Raindrop]] (malware) - loader do SolarWinds attack com payload cifrado em Cobalt Strike - [[s0433-rifdoor|Rifdoor]] (malware) - backdoor norcoreano com cifração de configuração e C2 --- *Fonte: [MITRE ATT&CK - T1027.013](https://attack.mitre.org/techniques/T1027/013)*