# T1027.015 - Compression > [!info] Técnica Pai > Esta é uma sub-técnica de **[[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]]**. Adversários utilizam compressão para ocultar payloads maliciosos, dificultar análise estática e reduzir o tamanho de arquivos para entrega furtiva. ## Descrição **Compression** (Compressão) é uma sub-técnica de ofuscação na qual adversários comprimem arquivos maliciosos, shellcode ou payloads completos antes da entrega ou armazenamento. Embora a compressão sejá tecnologia amplamente utilizada por software legítimo, adversários a exploram específicamente para: 1. **Evasão de assinaturas**: motores antivírus baseados em assinatura verificam padrões de bytes específicos. A compressão altera completamente o perfil de bytes de um payload, tornando assinaturas estáticas ineficazes até que o arquivo sejá descomprimido. 2. **Redução de tamanho para entrega**: payloads comprimidos são menores, facilitando transferência via email (limites de anexo), download rápido em ambientes monitorados e armazenamento em locais com espaço limitado (como chaves de Registro do Windows). 3. **Ofuscação de conteúdo**: analistas que visualizam o arquivo comprimido em editores hexadecimais não conseguem identificar strings, APIs ou padrões comportamentais diretamente - dificultando análise forense manual. 4. **Concatenação para evasão**: técnica avançada onde múltiplos arquivos ZIP são concatenados em um único arquivo. Ferramentas como 7zip podem processar apenas o primeiro diretório central, ignorando um segundo payload malicioso embutido no mesmo arquivo. Os **formatos mais utilizados** por malware incluem: **ZIP** (ubíquo, suportado nativamente no Windows), **GZIP** (comum em Linux, frequente em payloads web), **LZMA/7z** (alta razão de compressão, usado em implantes avançados), **RAR** (frequente em campanhas de phishing), **Deflaté** (inline em documentos Office) e **Zlib** (embutido em binários). Além da compressão de arquivos individuais, adversários comprimem **shellcode diretamente na memória** ou dentro de estruturas de dados (como valores de Registro), aproveitando funções como `RtlDecompressBuffer` do Windows para descompressão in-memory sem escrita em disco - combinando com [[t1027-011-fileless-storage|T1027.011 - Fileless Storage]]. > [!warning] Combinações Perigosas > Compressão combinada com [[Encoded File]] cria camadas de ofuscação que frustram análise estática. O payload passa por: compressão → cifração → encoding (Base64) → entrega. Cada camada deve ser removida em ordem inversa durante análise. ## Como Funciona O ciclo completo de uso de compressão por malware envolve as seguintes etapas: **Fase de Preparação (Lado do Atacante):** 1. O payload malicioso (shellcode, PE, script) é comprimido usando uma biblioteca padrão ou implementação customizada. 2. Opcionalmente, o arquivo comprimido é cifrado com senha ou chave hardcoded. 3. Opcionalmente, o binário comprimido passa por encoding adicional (Base64, XOR) para camada extra de ofuscação. 4. O resultado final é empacotado em um container de entrega (ZIP, RAR, anexo de email, documento Office com macro). **Fase de Entrega:** - Email de spearphishing com [[t1566-001-spearphishing-attachment|anexo comprimido]] contendo payload malicioso - Download via HTTP/S de servidor C2 ou domínio comprometido - Arquivo self-extracting (SFX) que extrai e executa automaticamente ao abrir - Armazenamento comprimido em chave de Registro para [[t1027-011-fileless-storage|execução fileless]] **Fase de Execução na Vítima:** 1. Usuário abre arquivo comprimido (manualmente) ou self-extracting (automaticamente). 2. Payload é extraído para diretório temporário (`%TEMP%`, `/tmp/`). 3. Payload principal é executado (por macro, link, ou extração automática SFX). 4. Em casos fileless: rotinas de descompressão são chamadas in-memory sem escrita em disco. **Variante de Concatenação ZIP:** - Arquivo ZIP legítimo é criado normalmente. - Um segundo arquivo ZIP malicioso é concatenado ao final do primeiro. - Ferramentas como 7zip leem apenas o primeiro diretório central - "veem" apenas o conteúdo legítimo. - O extrator nativo do Windows (Explorer) processa o último diretório central - extrai o payload malicioso. - Resultado: arquivo passa em verificações de AV que analisam conteúdo ZIP, mas entrega malware. ## Attack Flow ```mermaid graph TB A([Atacante Prepara Payload]) --> B[Comprimir Arquivo Malicioso<br/>ZIP / GZIP / LZMA / RAR] B --> C{Técnica de Entrega} C -->|Email| D[Spearphishing<br/>com Anexo Comprimido] C -->|Web| E[Download de Servidor C2<br/>ou Site Comprometido] C -->|Documento| F[Macro em Office<br/>Descomprime In-Memory] C -->|Registro| G[Shellcode Comprimido<br/>em Chave de Registro] D --> H[Vítima Recebe<br/>Arquivo ZIP/RAR] E --> H F --> I[Execução Fileless<br/>RtlDecompressBuffer] G --> I H --> J{Tipo de Arquivo?} J -->|Arquivo Normal| K[Usuário Extrai<br/>Manualmente] J -->|Self-Extracting SFX| L[Extração + Execução<br/>Automática ao Abrir] J -->|ZIP Concatenado| M[Extrator Nativo Processa<br/>Segundo Diretório Central] K --> N[Payload Extraído<br/>em Disco] L --> N M --> N I --> O([Payload Executa<br/>Sem Tocar Disco]) N --> P[AV Tenta Escanear<br/>Payload Extraído] P -->|Assinatura Não Encontrada| O P -->|Detectado| Q([Bloqueado]) O --> R[Estabelece Persistência<br/>Conecta ao C2] style A fill:#2d2d2d,color:#fff style Q fill:#c0392b,color:#fff style O fill:#27ae60,color:#fff style R fill:#8e44ad,color:#fff style I fill:#e67e22,color:#fff style M fill:#e74c3c,color:#fff ``` ## Exemplos de Uso ### Gamaredon Group - Campanhas de Espionagem contra Ucrânia O [[g0047-gamaredon|Gamaredon Group]] (APT russo) distribui implantes VBScript e PowerShell comprimidos via ZIP em campanhas de [[t1566-001-spearphishing-attachment|spearphishing]] direcionadas a entidades governamentais. Os arquivos ZIP frequentemente imitam documentos oficiais ucranianos (formulários militares, comúnicados governamentais) para induzir abertura. O payload interno é um script que baixa o RAT principal em etapas subsequentes. ### Molerats - Campanha Gaza Cybergang O [[g0021-molerats|Molerats]], grupo de hacktivismo/espionagem pró-palestino, entrega implantes como o [[darkwatchman|DarkWatchman]] e o [[s0012-poisonivy|PoisonIvy]] via arquivos RAR e ZIP com senhas hardcoded enviadas em emails subsequentes. A técnica de senha separada força analistas a processarem dois emails distintos para reconstruir o ataque. ### TA2541 - Campanhas contra Aviação e Transporte O [[g1018-ta2541|TA2541]], grupo de crime cibernético com histórico de ataques ao setor de aviação e transporte, distribui [[s1183-strelastealer|StrelaStealer]] e outros infostealers via ZIP com nomes que imitam manifestos de carga, faturas e documentos de remessa. O grupo frequentemente usa ZIP auto-extraível para eliminar a necessidade de ação do usuário após abertura. ### Threat Group-3390 - Iron Tiger O [[g0027-threat-group-3390|Threat Group-3390]] (Iron Tiger), APT chinês, armazena shellcode LZMA-comprimido em chaves de Registro do Windows como técnica de [[t1027-011-fileless-storage|fileless storage]]. Durante execução, o loader descomprime o shellcode com `RtlDecompressBuffer` diretamente na memória e executa sem jámais gravar em disco - evadindo antivírus tradicionais baseados em arquivo. ### Leviathan (APT40) - China O [[g0065-leviathan|Leviathan]] (APT40, TEMP.Periscope) usa arquivos ZIP protegidos por senha em operações de espionagem contra entidades de defesa e naval. A senha é fornecida no corpo do email de phishing, forçando o analista de segurança que intercepta o email a ter o contexto completo para extrair - mas impedindo análise automática de gateways de email que inspecionam apenas o arquivo. ### Famílias de Malware - RTM e Hancitor O [[g0048-rtm|RTM]] (Remote Transaction Malware), especializado em fraudes bancárias no Leste Europeu e atualmente ativo no Brasil, distribui implantes via ZIP dentro de emails que imitam faturas de fornecedores. O [[s0499-hancitor|Hancitor]] (downloader) usa Gzip in-memory para descompressão de payloads de segundo estágio antes de escrevê-los em disco temporariamente. ## Detecção > [!tip] Estrategia de Detecção > A detecção efetiva combina análise de conteúdo em gateways de email (descompressão forçada antes de entrega), monitoramento de processo para ferramentas de compressão lançadas por processos incomuns, e análise comportamental de arquivos extraídos em diretórios temporários. ### Regra Sigma - Extração de Arquivo Comprimido em Diretório Temporário ```yaml title: Suspeito - Payload Extraído de Arquivo Comprimido em Diretório Temporário id: c5f8a2d4-7e1b-4f9c-b3a6-2d8e5f1c9b3e status: experimental description: > Detecta extração de executáveis ou scripts de arquivos comprimidos diretamente em diretórios temporários - padrão comum em entrega de malware via anexo comprimido ou download de C2. author: RunkIntel daté: 2026-03-25 references: - https://attack.mitre.org/techniques/T1027/015/ tags: - attack.defense_evasion - attack.t1027.015 logsource: category: file_event product: windows detection: selection_temp_extract: TargetFilename|contains: - '\AppData\Local\Temp\' - '\AppData\Roaming\Temp\' - '\Windows\Temp\' TargetFilename|endswith: - '.exe' - '.dll' - '.ps1' - '.vbs' - '.js' - '.bat' - '.cmd' selection_parent_extract: ParentImage|endswith: - '\7z.exe' - '\WinRAR.exe' - '\winzip32.exe' - '\explorer.exe' condition: selection_temp_extract and selection_parent_extract falsepositives: - Instaladores legítimos que se auto-extraem em diretório temporário - Atualizações de software level: medium ``` ### Regra Sigma - Descompressão In-Memory via RtlDecompressBuffer ```yaml title: Suspeito - Uso de RtlDecompressBuffer por Processo Não-Sistema id: d2e9b5f7-3a4c-4d8b-9e1f-7c3a6b2d5e8f status: experimental description: > RtlDecompressBuffer é usada por malware para descompressão in-memory de shellcode armazenado em Registro ou recurso embutido, evitando escrita em disco. Processo fora do contexto de sistema é suspeito. author: RunkIntel daté: 2026-03-25 tags: - attack.defense_evasion - attack.t1027.015 - attack.t1027.011 logsource: product: windows service: sysmon detection: selection_api: EventID: 7 ImageLoaded: 'ntdll.dll' CallTrace|contains: 'RtlDecompressBuffer' filter_system: Image|startswith: - 'C:\Windows\System32\' - 'C:\Windows\SysWOW64\' condition: selection_api and not filter_system falsepositives: - Software legítimo usando compressão in-memory para performance level: high ``` ### Indicadores Comportamentais | Comportamento | Descrição | Ferramenta de Detecção | |--------------|-----------|----------------------| | ZIP com senha seguido de extração | Email com ZIP + senha em texto separado | Gateway de email + DLP | | Arquivo SFX executado diretamente | Auto-extração inicia processo filho | EDR + Process Monitoring | | Criação de PE em `%TEMP%` após extração | Payload malicioso extraído | AV + File Integrity | | RegKey com dados comprimidos | Shellcode LZMA em HKCU\Software | Sysmon Event 13 + Hunting | | ZIP concatenado (tamanho inconsistente) | Dois diretórios centrais no arquivo | YARA + Análise de Arquivo | ## Mitigação | ID | Mitigação | Descrição | Eficácia | |---|-----------|-----------|----------| | M1049 | [[Antimalware]] | Soluções modernas com capacidade de descompressão em múltiplas camadas antes de escanear - detecta payloads em ZIP, RAR, 7z | Alta para assinaturas conhecidas | ### Controles Complementares - **Gateway de Email com Descompressão Ativa**: configurar MTA/SEG para descompressão recursiva de até N camadas antes de entrega, escaneando o conteúdo real - **Bloqueio de Tipos de Arquivo**: bloquear extensões executáveis (`.exe`, `.dll`, `.ps1`) dentro de arquivos comprimidos em gateways de email corporativo - **Sandbox de Detonação**: submeter automaticamente arquivos comprimidos suspeitos a sandbox (CrowdStrike Falcon Sandbox, Any.run) para análise comportamental - **YARA para Detecção de ZIP Concatenado**: implementar regras que detectam múltiplos bytes de assinatura de ZIP (`PK\x03\x04`) no mesmo arquivo - **Monitoramento de Diretórios Temporários**: alertar para criação de executáveis em `%TEMP%` por processos de extração de arquivos - **Restrição de Self-Extracting Archives**: via GPO, bloquear execução de SFX em ambientes onde não são necessários ## Contexto Brasil/LATAM > [!example] Relevância Regional A compressão de payloads é uma das técnicas de evasão mais prevalentes em campanhas direcionadas ao Brasil e América Latina, especialmente em contextos de **fraude bancária** e **espionagem corporativa**: **Banking Trojans Brasileiros**: O ecossistema de trojans bancários brasileiro (Grandoreiro, Javali, Casbaneiro, Guildma) historicamente distribui seus implantes via ZIP e RAR enviados por email imitando faturas de boletos bancários, NFes (Notas Fiscais Eletrônicas) e notificações de Receita Federal. A familiaridade cultural com esses documentos aumenta a taxa de abertura. O [[g0048-rtm|RTM]] foi documentado operando contra empresas brasileiras usando exatamente esse vetor. **Phishing de Temporada**: Campanhas sazonais (Imposto de Renda - março/abril, Black Friday, Carnaval) distribuem malware em arquivos ZIP com nomes como `Declaracao_IR_2025.zip` ou `Cupom_BlackFriday.zip`. O [[financial|setor financeiro]] e o [[setor-varejo|setor varejo]] são os principais alvos. **TA2541 e Setor de Aviação**: O [[g1018-ta2541|TA2541]] foi documentado com campanhas contra companhias aéreas e operadoras de carga na América Latina, usando ZIP com documentos de frete falsificados para entregar RATs como AsyncRAT e NetWire. **Ransomware LockBit / Cl0p no Brasil**: Grupos de ransomware que operam no Brasil como [[s1202-lockbit-30|LockBit 3.0]] e Cl0p distribuem droppers comprimidos via phishing corporativo. O ZIP muitas vezes contém um documento Office com macro que baixa o ransomware final - adicionando uma camada extra de ofuscação. **Gamaredon em Contexto de Guerra Híbrida**: Embora com foco primário em Ucrânia, campanhas do [[g0047-gamaredon|Gamaredon Group]] com técnicas de compressão foram documentadas em ataques a embaixadas e entidades governamentais latino-americanas, possívelmente como espionagem diplomática colateral. **Impacto em Ambientes Corporativos Brasileiros**: Pesquisa da Kaspersky LATAM indica que o Brasil é consistentemente o país com maior volume de detecções de malware na América Latina - e que arquivos comprimidos são o vetor de entrega inicial mais comum em incidentes que resultam em comprometimento. ## Referências - [MITRE ATT&CK - T1027.015: Compression](https://attack.mitre.org/techniques/T1027/015/) - [MITRE ATT&CK - T1027: Obfuscated Files or Information](https://attack.mitre.org/techniques/T1027/) - [Kaspersky LATAM - Panorama de Ameaças 2025](https://latam.kaspersky.com/blog/) - [BleepingComputer - ZIP Concatenation Evasion Technique](https://www.bleepingcomputer.com) - [Talos Intelligence - TA2541 Analysis](https://blog.talosintelligence.com) - [Mandiant - RTM Banking Trojan LATAM](https://www.mandiant.com) --- **Técnica Pai:** [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] **Técnicas Relacionadas:** [[Encoded File]] · [[t1027-011-fileless-storage|T1027.011 - Fileless Storage]] · [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] · [[t1204-002-malicious-file|T1204.002 - Malicious File]] **Malware Associado:** [[s0453-pony|Pony]] · [[darkwatchman|DarkWatchman]] · [[s0499-hancitor|Hancitor]] · [[g0048-rtm|RTM]] · [[s1188-line-runner|Line Runner]] · [[s1050-pcshare|PcShare]] · [[s1228-pubload|PUBLOAD]] · [[s0517-pillowmint|Pillowmint]] · [[s0466-windtail|WindTail]] · [[s1183-strelastealer|StrelaStealer]] **Atores:** [[g0021-molerats|Molerats]] · [[g0027-threat-group-3390|Threat Group-3390]] · [[g0047-gamaredon|Gamaredon Group]] · [[g0126-higaisa|Higaisa]] · [[g1018-ta2541|TA2541]] · [[g0103-mofang|Mofang]] · [[g0065-leviathan|Leviathan]] *Fonte: [MITRE ATT&CK - T1027.015](https://attack.mitre.org/techniques/T1027/015)*