t1036-004-masquerade-task-or-service

# T1036.004 - Masquerade Task or Service ## Técnica Pai Esta é uma sub-técnica de [[t1036-masquerading|T1036 - T1036 - Masquerading]]. ## Descrição Adversários utilizam essa técnica para manipular o nome de uma tarefa agendada ou serviço do sistema operacional, fazendo-o parecer legítimo ou inofensivo aos olhos de analistas e ferramentas de monitoramento. No Windows, um serviço possui dois identificadores distintos - o nome interno (`ServiceName`) e o nome de exibição (`DisplayName`) - ambos podendo ser forjados. No Linux, unidades systemd e entradas do cron também são alvos frequentes, onde o adversário atribui nomes como `systemd-updaté` ou `dbus-helper` para mimetizar processos do sistema. Além dos nomes, outros campos como descrição, caminho do executável e argumentos de linha de comando são cuidadosamente escolhidos para completar a ilusão. Um serviço malicioso pode se chamar `WindowsUpdateService` e exibir a descrição "Provides Windows updaté functionality" enquanto executa uma shell reversa em segundo plano. Esse nível de camuflagem é especialmente eficaz contra equipes de segurança que dependem de listas de processos e visualizações do Gerenciador de Tarefas como primeira triagem. **Contexto Brasil/LATAM:** Grupos como [[g0099-blind-eagle-apt-c-36|APT-C-36]] e [[g1016-fin13|FIN13]] - com histórico de operações direcionadas ao Brasil e México - utilizam esta técnica para garantir persistência em redes corporativas de setores financeiro e energético. O [[g1016-fin13|FIN13]], com atuação documentada em instituições financeiras mexicanas, disfarça tarefas agendadas com nomes de ferramentas administrativas legítimas utilizadas no ambiente-alvo (ex: SAP, TOTVS). No Brasil, a combinação desta técnica com [[g0008-carbanak|Carbanak]] foi observada em ataques contra o sistema bancário nacional, onde serviços renomeados como `MicrosoftDefenderUpdaté` persistiam por semanas sem detecção. ## Attack Flow ```mermaid graph TB A[Acesso Inicial] --> B[Persistência Planejada] B --> C["T1036.004<br/>Masquerade Task/Service<br/>(nomeação legítima)"]:::highlight C --> D[Execução Silenciosa] D --> E[C2 Mantido] classDef highlight fill:#e74c3c,color:#fff ``` ## Como Funciona **1. Preparação** O adversário levanta o inventário de serviços e tarefas agendadas legítimas do ambiente-alvo. Ferramentas como `sc query`, `schtasks /query` ou leitura direta do registro Windows são usadas para identificar nomes plausíveis. No Linux, `systemctl list-units` e `crontab -l` cumprem o mesmo papel. O nome escolhido deve existir no ambiente (ou ser verossímil) para evitar alertas de ferramentas de baselining. **2. Execução** O serviço ou tarefa maliciosa é criada com o nome forjado. No Windows via `sc creaté "WindowsUpdateHelper" binPath= "C:\ProgramData\evil.exe"` ou modificação direta de chaves em `HKLM\SYSTEM\CurrentControlSet\Services\`. No Linux, uma unit file systemd é criada em `/etc/systemd/system/` com `Description=Network Manager Helper` apontando para o payload. O [[s0013-plugx|PlugX]] e o [[s0449-maze|Maze]] são exemplos de malware que automatizam essa criação. **3. Pós-execução** Com o serviço mascarado em operação, o adversário mantém persistência e execução contínua mesmo após reinicializações. O monitoramento humano é enganado pelo nome legítimo; ferramentas de EDR sem análise comportamental não correlacionam o serviço com atividade maliciosa. O [[g0102-conti-group|Wizard Spider]] utilizou esta fase para manter o Ryuk ransomware em hibernação por dias antes da detonação. ## Detecção **Event IDs relevantes (Windows):** | Event ID | Fonte | Sinal | |----------|-------|-------| | 4697 | Security | Instalação de novo serviço no sistema | | 7045 | System | Novo serviço instalado (inclui binPath) | | 4698 | Security | Tarefa agendada criada | | 4702 | Security | Tarefa agendada modificada | | 4688 | Security | Criação de processo - correlacionar com binPath suspeito | **Sigma Rule:** ```yaml title: Masquerade Task or Service - Nome Legítimo com Binário Suspeito id: a7c3f2b1-e4d9-4a0e-bb5f-9c8d2e1f3a4b status: experimental description: > Detecta criação de serviço Windows com nome que imita componentes legítimos do sistema operacional, mas com binário em localização não padrão. logsource: product: windows service: system definition: EventID 7045 detection: selection: EventID: 7045 ServiceName|contains: - 'WindowsUpdaté' - 'MicrosoftDefender' - 'WinDefend' - 'Svchost' - 'Spooler' - 'NetworkList' filter_legitimate: ServiceFileName|startswith: - 'C:\Windows\System32\' - 'C:\Windows\SysWOW64\' - 'C:\Program Files\Windows Defender\' condition: selection and not filter_legitimate falsepositives: - Software legítimo de terceiros que usa nomes similares level: high tags: - attack.defense_evasion - attack.t1036.004 ``` ## Mitigação | Controle | Implementação | Relevância para Organizações Brasileiras | |----------|--------------|------------------------------------------| | Inventário de serviços | Mantenha baseline de todos os serviços e tarefas agendadas autorizados via GPO ou SCCM | Crítico para bancos e empresas reguladas pela LGPD | | Monitoramento de Event ID 7045/4698 | Alertar criação de qualquer novo serviço fora de jánela de change management | SIEM com regra de detecção ativa | | Restrição de criação de serviços | Bloquear via AppLocker/WDAC a criação de serviços por usuários não-administradores | Aplicar especialmente em estações de trabalho | | Análise comportamental (EDR) | Correlacionar nome do serviço com localização do binário e comportamento de rede | Soluções com telemetria de processo como CrowdStrike, Defender for Endpoint | | Revisão periódica de cron/systemd | No Linux, auditar `/etc/systemd/system/` e `/etc/cron.d/` semanalmente | Relevante para servidores de aplicação e bancos de dados | | Privilege tiering | Restringir quem pode criar serviços via `sc.exe` ou `New-Service` (PowerShell) | Modelo de menor privilégio conforme ISO 27001 | ## Threat Actors - [[g0143-aquatic-panda|Aquatic Panda]] - grupo chinês que usa serviços mascarados como parte de campanhas de espionagem em telecomúnicações, inclusive com interesse em infraestrutura LATAM - [[g0094-kimsuky|Kimsuky]] - APT norte-coreano que registra serviços com nomes de ferramentas de segurança para persistir em redes governamentais - [[g0008-carbanak|Carbanak]] - grupo financeiro que disfarça backdoors como serviços de atualização em redes de bancos; com histórico de vítimas no Brasil - [[g0046-fin7|FIN7]] - especializado em varejo e hotelaria; usa tarefas agendadas mascaradas para manter acesso a sistemas de PDV - [[g1016-fin13|FIN13]] - ator focado em instituições financeiras mexicanas, com técnica documentada de renomear tarefas como processos SAP - [[g0099-blind-eagle-apt-c-36|APT-C-36]] - grupo colombiano (Blind Eagle) com campanhas ativas contra governo e empresas brasileiras - [[g0050-apt32|APT32]] - OceanLotus; utiliza serviços mascarados em campanhas de espionagem contra empresas estrangeiras no Sudeste Asiático e LATAM - [[g1035-winter-vivern|Winter Vivern]] - ator europeu que imita nomes de serviços de segurança do Windows para evadir EDR - [[g0102-conti-group|Wizard Spider]] - operadores do Ryuk/Conti; usam serviços renomeados para manter persistência pré-detonação de ransomware - [[g1002-bitter|BITTER]] - APT sul-asiático com campanhas de espionagem industrial que inclui mascaramento de serviços em alvos de manufatura ## Software Associado - [[s0013-plugx|PlugX]] - RAT chinês que automatiza registro de serviço com nome de componente legítimo do Windows durante instalação - [[s0449-maze|Maze]] - ransomware que criava serviço mascarado como serviço de backup antes de criptografar arquivos - [[s1064-svcready|SVCReady]] - loader que se instala como serviço Windows com nome genérico para garantir execução na inicialização - [[s1033-dcsrv|DCSrv]] - malware de limpeza que usa nome de serviço de DC para persistir em controladores de domínio comprometidos - [[s0438-attor|Attor]] - espionagem com serviço disfarçado como driver de teclado legítimo - [[s0495-rdat|RDAT]] - malware do OilRig que usa serviço Windows mascarado para comunicação C2 via DNS - [[s1042-sugardump|SUGARDUMP]] - stealer que persiste via tarefa agendada com nome de ferramenta de diagnóstico - [[s0223-powerstats|POWERSTATS]] - backdoor PowerShell do MuddyWater instalado como serviço com nome de componente de sistema - [[s0410-fysbis|Fysbis]] - backdoor Linux que cria entradas systemd imitando serviços de gerenciamento de rede - [[s0688-meteor|Meteor]] - wiper iraniano que cria tarefas agendadas com nomes de utilitários legítimos antes da destruição --- *Fonte: [MITRE ATT&CK - T1036.004](https://attack.mitre.org/techniques/T1036/004)*