t1036-003-rename-legitimate-utilities

# T1036.003 - Rename Legitimaté Utilities ## Técnica Pai Sub-técnica de [[t1036-masquerading|T1036 - Masquerading]] ## Descrição Adversários podem renomear utilitários legítimos do sistema operacional ou ferramentas conhecidas para tentar contornar mecanismos de segurança que monitoram o uso dessas ferramentas pelo nome. Soluções de monitoramento e controle podem estar em vigor para binários legítimos que adversários são capazes de abusar - incluindo utilitários nativos do OS e ferramentas como PSExec, AutoHotKey e IronPython. É possível contornar essas defesas renomeando o utilitário antes de utilizá-lo (por exemplo: renomear `rundll32.exe` para `svchost32.exe` ou `explorer.exe`). Um caso alternativo ocorre quando um utilitário legítimo é copiado para um diretório diferente e renomeado para evitar detecções baseadas em caminhos não-padrão de execução. Essa técnica é eficaz contra defesas baseadas em: - **Nome do processo:** detecção por nome exato do executável (`cmd.exe`, `powershell.exe`) - **Caminho esperado:** alertas quando `rundll32.exe` executa fora de `C:\Windows\System32\` - **Lista de permissão por nome:** allowlisting que autoriza um binário pelo nome sem verificar o hash Ao renomear o utilitário, o adversário mantém toda a funcionalidade do binário original enquanto evade regras de detecção construídas em cima do nome ou caminho esperado. ## Como Funciona O fluxo de execução da técnica varia conforme o sistema operacional e o objetivo do adversário: **Windows - Renomeação de binário nativo:** 1. O adversário copia um utilitário do sistema (ex: `certutil.exe`, `bitsadmin.exe`, `rundll32.exe`) para um diretório controlável (`%TEMP%`, `%APPDATA%`, pasta do usuário). 2. O arquivo copiado é renomeado para algo que se confunda com um processo legítimo de sistema (`svchost32.exe`, `lsass32.exe`, `explorer32.exe`). 3. O binário renomeado é executado com os mesmos parâmetros que seriam usados com o original. 4. Regras de detecção baseadas no nome do processo original não disparam; regras baseadas em caminho podem não cobrir o novo caminho. **Linux/macOS - Cópia de ferramenta para diretório não-monitorado:** 1. O adversário copia ferramentas como `curl`, `wget`, `python3`, ou `nc` para diretórios como `/tmp/`, `/dev/shm/` ou diretórios home. 2. O binário copiado é renomeado para algo inocente (`updaté`, `helper`, `.cache`). 3. A ferramenta renomeada executa downloads, conexões reversas ou scripts maliciosos sem disparar alertas baseados no caminho-padrão do utilitário. **Ferramentas externas (PSExec, AutoHotKey):** 1. Após entrega inicial da ferramenta, o adversário a renomeia antes de executar. 2. Soluções que bloqueiam `psexec.exe` pelo nome são contornadas por `svc_updater.exe`. **Metadados incompatíveis como indicador de comprometimento:** Quando um binário renomeado é executado, seus metadados internos (FileDescription, ProductName, OriginalFilename no PE header em Windows) continuam referênciando o nome original - criando um artefato forense detectável por soluções que correlacionam nome do processo com `OriginalFilename` no cabeçalho PE. ## Attack Flow ```mermaid graph TB A[Acesso Inicial / Carga Maliciosa Entregue] --> B[Identificação do Utilitário Alvo certutil, rundll32, powershell, curl] B --> C[Cópia para Diretório Controlável %TEMP%, %APPDATA%, /tmp] C --> D[Renomeação do Binário certutil.exe → svcupdaté.exe] D --> E{Tipo de Evasão} E --> F[Evasão por Nome regras assinam nome original] E --> G[Evasão por Caminho regras baseadas em path padrão] F --> H[Execução do Binário Renomeado funcionalidade original mantida] G --> H H --> I[Download de Payload Adicional C2 staging, lateral movement] H --> J[Execução de Script Malicioso DLL injection, shellcode] I --> K[Persistência / Exfiltração objetivo final do adversário] J --> K ``` ## Exemplos de Uso **menuPass (APT10) - PSExec renomeado:** O grupo [[g0045-apt10|menuPass]], também conhecido como APT10, foi documentado renomeando o PSExec e outras ferramentas Sysinternals para nomes genéricos de serviço de sistema antes de usá-los em movimentação lateral dentro de redes corporativas. Essa tática foi particularmente eficaz contra ambientes que bloqueavam `psexec.exe` pelo nome. **Lazarus Group - Masquerading de ferramentas:** O [[g0032-lazarus-group|Lazarus Group]] consistentemente utiliza renomeação de utilitários como parte de sua métodologia de pós-exploração. Em campanhas direcionadas ao setor financeiro, binários como `certutil.exe` foram renomeados e usados para decode de payloads adicionais, contornando soluções de monitoramento que alertavam específicamente sobre `certutil.exe`. **APT32 (OceanLotus) - Evasão em ambientes macOS:** O [[g0050-apt32|APT32]] foi documentado copiando e renomeando utilitários de sistema macOS para diretórios de suporte de aplicativo, aproveitando a natureza hierárquica do macOS e a menor cobertura de detecção para binários nativos renomeados. **GALLIUM - Operações de espionagem:** O grupo [[g0093-gallium|GALLIUM]], em operações visando operadoras de telecomúnicações, utilizou renomeação de utilitários de rede (`netsh`, `net`) para passar despercebido durante a fase de reconhecimento interno. **Malware que aplica a técnica:** - [[s1183-strelastealer|StrelaStealer]] - rename de ferramentas de staging - [[darkgaté|DarkGaté]] - masquerading de componentes do loader - [[s0046-cozycar|CozyCar]] - rename de droppers como processos legítimos ## Detecção **Estrategias de detecção por camada:** | Camada | Indicador | Ferramenta | |--------|-----------|------------| | PE Header | `OriginalFilename` diverge do nome do processo em execução | Sysmon Event ID 1, EDR | | Hash | Hash SHA256 do executável baté com utilitário do sistema mas nome é diferente | EDR, FIM | | Caminho | Binários do sistema executando fora de `C:\Windows\System32\` | Sysmon, Windows Event Logs | | Comportamento | Processo com nome genérico fazendo chamadas de rede, injeção ou escrita em disco | EDR comportamental | | Parent-child | Relação pai-filho incomum (ex: `svchost32.exe` iniciando `cmd.exe`) | Sysmon Event ID 1 | **Regra Sigma - Metadados de PE incompatíveis com nome do processo:** ```yaml title: Execução de Utilitário do Windows Renomeado via OriginalFilename status: experimental logsource: category: process_creation product: windows detection: selection_certutil: OriginalFileName: "CertUtil.exe" filter_certutil: Image|endswith: "\\certutil.exe" selection_rundll32: OriginalFileName: "RUNDLL32.EXE" filter_rundll32: Image|endswith: "\\rundll32.exe" selection_powershell: OriginalFileName: - "PowerShell.EXE" - "pwsh.dll" filter_powershell: Image|endswith: - "\\powershell.exe" - "\\pwsh.exe" condition: > (selection_certutil and not filter_certutil) or (selection_rundll32 and not filter_rundll32) or (selection_powershell and not filter_powershell) falsepositives: - Ferramentas de gestão de software que façam cópias de utilitários do sistema - Pacotes de instalação que incluem binários do sistema level: high tags: - attack.defense_evasion - attack.t1036.003 ``` **Regra Sigma - Execução de binário do sistema fora do caminho padrão:** ```yaml title: Binário do Sistema Windows Executado em Caminho Não-Padrão status: experimental logsource: category: process_creation product: windows detection: selection: OriginalFileName: - "CertUtil.exe" - "RUNDLL32.EXE" - "RegSvr32.exe" - "MSHTA.EXE" - "wscript.exe" - "cscript.exe" - "bitsadmin.exe" filter_system_paths: Image|startswith: - "C:\\Windows\\System32\\" - "C:\\Windows\\SysWOW64\\" - "C:\\Windows\\WinSxS\\" condition: selection and not filter_system_paths falsepositives: - Atualizações do Windows durante processo de substituição de arquivo - Ferramentas de virtualização que redirecionam caminhos de sistema level: high tags: - attack.defense_evasion - attack.t1036.003 ``` ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | M1022 | [[m1022-restrict-file-and-directory-permissions\|M1022 - Restrict File and Directory Permissions]] | Restringir permissões de escrita em diretórios do sistema (`C:\Windows\System32\`) para impedir que usuários não-privilegiados adicionem ou substituam binários. Controlar quais usuários podem copiar executáveis para diretórios temporários. | **Controles adicionais recomendados:** - **Application Control (Allowlisting):** Implementar controle de aplicação que verifique o hash SHA256 do executável, não apenas o nome. Soluções como Windows Defender Application Control (WDAC) e AppLocker com verificação de hash são eficazes. - **Correlação OriginalFilename vs. Nome do Processo:** Configurar SIEM para comparar o campo `OriginalFilename` do cabeçalho PE com o nome do processo em execução - divergências são indicadores de alto valor. - **Monitoramento de criação de arquivo em diretórios suspeitos:** Alertar quando executáveis conhecidos do sistema são copiados para `%TEMP%`, `%APPDATA%`, `/tmp` ou diretórios de usuário. - **File Integrity Monitoring (FIM):** Monitorar diretórios do sistema para detectar adição de novos executáveis que compartilham hash com utilitários conhecidos. ## Contexto Brasil/LATAM A renomeação de utilitários legítimos é amplamente utilizada por grupos de ameaça que visam organizações brasileiras, especialmente nos setores [[financial|financeiro]] e [[government|governo]], onde defesas baseadas em nome de processo são comuns mas defesas baseadas em hash ou comportamento são menos prevalentes. **Padrões observados em campanhas contra o Brasil:** - **APT38 e setor bancário:** O [[g0082-apt38|APT38]], em operações contra instituições financeiras brasileiras, utilizou renomeação de ferramentas como componente padrão de pós-exploração, renomeando binários de staging para padrões de nomenclatura que imitavam processos legítimos do sistema bancário core. - **Grupos de ransomware:** Operadores de ransomware como LockBit e BlackCat consistentemente renomeiam ferramentas de movimentação lateral (`psexec`, `cobalt strike beacon`) antes de distribuí-las lateralmente pela rede, aproveitando-se de detecções baseadas em nome de arquivo presentes em soluções de NGAV mais antigas ainda prevalentes no mercado brasileiro. - **Trojans bancários brasileiros:** Famílias como Grandoreiro e Mekotio utilizam componentes com nomes que imitam processos do sistema Windows, dificultando a triagem manual por analistas SOC com menor experiência. **Recomendação específica para organizações LATAM:** A migração de detecção baseada em nome de processo para detecção baseada em hash e comportamento é a principal prioridade. Soluções EDR modernas com capacidade de leitura de metadados PE são fundamentais para detectar esta técnica de forma confiável. ## Referências - [[t1036-masquerading|T1036 - Masquerading]] - técnica pai - [[m1022-restrict-file-and-directory-permissions|M1022 - Restrict File and Directory Permissions]] - mitigação principal - [[g0045-apt10|menuPass]] - grupo APT documentado usando renomeação de PSExec - [[g0032-lazarus-group|Lazarus Group]] - uso recorrente de renomeação de certutil e ferramentas similares - [[g0082-apt38|APT38]] - operações contra setor financeiro com renomeação de ferramentas - [[t1027-obfuscated-files|T1027 - Obfuscated Files or Information]] - técnica frequentemente usada em conjunto - [[t1059-001-powershell|T1059.001 - PowerShell]] - utilitário frequentemente alvo de renomeação *Fonte: MITRE ATT&CK - T1036.003*