t1036-005-match-legitimate-resource-name-or-location

# T1036.005 - Match Legitimaté Resource Name or Location ## Técnica Pai Esta é uma sub-técnica de [[t1036-masquerading|T1036 - T1036 - Masquerading]]. ## Descrição A técnica T1036.005 consiste em nomear ou posicionar arquivos maliciosos de forma a imitar recursos legítimos do sistema operacional ou aplicações confiáveis. O objetivo central é enganar tanto analistas humanos quanto ferramentas automatizadas de defesa, que tendem a confiar em artefatos com nomes ou localizações reconhecíveis. Um binário malicioso chamado `svchost.exe` depositado fora do diretório `System32` legítimo, por exemplo, pode passar despercebido em uma triagem superficial. Essa subtécnica de [[t1036-masquerading|T1036 - Masquerading]] se manifesta de diversas formas: executáveis colocados em diretórios do sistema Windows como `C:\Windows\System32\` ou `C:\Windows\SysWOW64\`, chaves de registro nomeadas de forma a se confundir com entradas legítimas de softwares populares, e em ambientes containerizados, recursos criados em namespaces confiáveis que mimetizam o padrão de nomenclatura de pods e clusters Kubernetes. Em sistemas Linux e macOS, o mesmo princípio se aplica ao colocar scripts em `/usr/bin/` ou `/etc/init.d/` com nomes de daemons conhecidos. O impacto na cadeia de detecção é significativo: sistemas de EDR e SIEM configurados com allowlists baseadas em nome ou caminho de arquivo ficam especialmente vulneráveis a esta técnica. Ela é frequentemente combinada com [[t1055-process-injection|T1055 - Process Injection]] e [[t1574-hijack-execution-flow|T1574 - Hijack Execution Flow]] para maximizar a persistência furtiva. **Contexto Brasil/LATAM:** No Brasil, esta técnica é amplamente explorada por grupos de ameaça que visam o setor [[_sectors|financeiro]] e órgãos de [[_sectors|governo]]. Amostras de [[s0459-mechaflounder|MechaFlounder]] e [[s0482-bundlore|Bundlore]] identificadas em incidentes nacionais utilizaram esta abordagem para ocultar cargas maliciosas em pastas do sistema. O [[g0047-gamaredon|Gamaredon Group]], ativo em campanhas com impacto regional, emprega consistentemente essa técnica para manter implantes em ambientes corporativos brasileiros e latino-americanos sem acionar alertas de segurança convencionais. ## Attack Flow ```mermaid graph TB A[Acesso Inicial] --> B[Execução de Payload] B --> C["T1036.005 - Masquerading<br/>Nomear/posicionar arquivo"] C --> D[Persistência Furtiva] D --> E[Ação sobre Objetivos] style C fill:#e74c3c,color:#fff ``` ## Como Funciona 1. **Preparação:** O agente de ameaça seleciona um nome de processo ou caminho de diretório legítimo como alvo de imitação - por exemplo, `lsass.exe`, `svchost.exe` ou o caminho `C:\Windows\System32\`. Em ambientes containerizados, identifica namespaces e convenções de nomenclatura de pods confiáveis no cluster Kubernetes alvo. 2. **Execução:** O payload malicioso é depositado no caminho imitado ou recebe o nome escolhido. Em Windows, isso pode ser feito via `cmd.exe`, [[t1059-001-powershell|PowerShell]] ou [[t1047-windows-management-instrumentation|WMI]]. O registro do Windows pode ter chaves inseridas com nomes semelhantes a entradas legítimas de software para garantir execução na inicialização. Em Linux, scripts são inseridos em locais como `/etc/cron.d/` ou `/usr/local/bin/` com nomes de utilitários do sistema. 3. **Pós-execução:** O artefato opera sob a cobertura do nome ou caminho legítimo, evitando inspeção manual. Ferramentas de segurança baseadas em allowlist de nome/caminho não disparam alertas. O ator pode combinar com [[t1036-masquerading|T1036]] para manipular também metadados (ícone, versão de produto) do executável, reforçando a aparência de legitimidade. ## Detecção **Fontes de dados:** - **Windows Security Event Log:** Event ID 4688 (criação de processo) - verificar se o caminho do executável corresponde ao esperado para aquele nome de processo - **Sysmon Event ID 1** (Process Creaté): campo `Image` vs. hashes conhecidos - hash de `svchost.exe` legítimo não deve divergir - **Sysmon Event ID 11** (FileCreaté): arquivos criados em diretórios do sistema por processos não esperados - **EDR telemetry:** anomalia de parent-child process - `explorer.exe` executando `svchost.exe` fora de `System32` é indicativo - **Registro do Windows:** monitorar `HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run` para entradas com nomes suspeitos - **Container/Kubernetes:** auditoria de criação de pods em namespaces `kube-system` ou `default` por usuários não privilegiados **Sigma Rule:** ```yaml title: Executable Running From Unusual Location With Legitimaté System Name id: a7b3c1e4-9f2d-4e8b-b6a1-3c7f5d2e9a0b status: experimental description: Detecta executáveis com nomes de processos legítimos do Windows sendo executados a partir de caminhos não padrão (possível T1036.005) references: - T1036.005 logsource: category: process_creation product: windows detection: selection_legit_names: Image|endswith: - '\svchost.exe' - '\lsass.exe' - '\csrss.exe' - '\wininit.exe' - '\services.exe' filter_legit_paths: Image|startswith: - 'C:\Windows\System32\' - 'C:\Windows\SysWOW64\' condition: selection_legit_names and not filter_legit_paths falsepositives: - Ferramentas de virtualização ou sandboxes podem criar cópias em caminhos alternativos level: high tags: - attack.defense_evasion - attack.t1036.005 ``` ## Mitigação | Mitigação | Recomendação Prática | |-----------|---------------------| | [[m1022-restrict-file-and-directory-permissions\|M1022 - Restrict File and Directory Permissions]] | Restringir permissão de escrita em `C:\Windows\System32\`, `C:\Windows\`, `/usr/bin/` e outros diretórios de sistema. Apenas administradores devem poder depositar arquivos nessas pastas. Auditar regularmente arquivos recém-criados em diretórios do sistema. | | [[m1038-execution-prevention\|M1038 - Execution Prevention]] | Implementar application allowlisting (Windows Defender Application Control ou AppLocker) baseado em hash criptográfico - não apenas em nome ou caminho. Garantir que políticas de allowlist verifiquem a assinatura digital do arquivo. | | [[m1045-code-signing\|M1045 - Code Signing]] | Exigir assinatura de código válida para executáveis em diretórios do sistema. Alertar sobre processos com nomes de sistema que não possuam assinatura Microsoft legítima. Em organizações brasileiras, integrar com políticas de ICP-Brasil quando aplicável. | ## Threat Actors - [[g0139-teamtnt|TeamTNT]] - grupo focado em ambientes cloud e containers; usa nomes de processos legítimos para ocultar mineradores de criptomoeda em clusters Kubernetes - [[g0047-gamaredon|Gamaredon Group]] - APT de origem russa com histórico de campanhas na América Latina; emprega masquerading para manter persistência em redes corporativas - [[g1017-volt-typhoon|Volt Typhoon]] - APT chinês focado em infraestrutura crítica; conhecido por usar binários do sistema Windows para disfarçar atividades maliciosas (living-off-the-land) - [[g0060-bronze-butler|BRONZE BUTLER]] - grupo de espionagem com foco em setor industrial; utiliza nomes de processos legítimos em implantes de longo prazo - [[g1018-ta2541|TA2541]] - ator focado em aviação e transporte; usa masquerading para distribuir RATs - [[g0096-apt41|APT41]] - grupo chinês de dupla motivação (espionagem + crime financeiro); aplica T1036.005 em múltiplas campanhas documentadas - [[g1044-apt42|APT42]] - APT iraniano com foco em ativismo e governo; utiliza nomes de serviços legítimos para persistência - [[g1046-storm-1811|Storm-1811]] - grupo focado em engenharia social e ransomware; usa binários renomeados para evadir detecção - [[g0119-indrik-spider|Indrik Spider]] - operador do Evil Corp; conhecido por usar nomes de processo legítimos em cargas de ransomware - [[g0046-fin7|FIN7]] - grupo financeiro altamente sofisticado; usa [[s0482-bundlore|Bundlore]] e outras ferramentas com masquerading para atacar o setor varejista e financeiro ## Software Associado - [[s0083-misdat|Misdat]] (malware) - backdoor que se disfarça como serviço legítimo do Windows - [[s0629-rainyday|RainyDay]] (malware) - implante que imita nomes de processos do sistema para persistência - [[s0459-mechaflounder|MechaFlounder]] (malware) - identificado em incidentes no setor financeiro com técnica de path masquerading - [[s1050-pcshare|PcShare]] (ferramenta) - RAT que se instala em diretórios do sistema com nomes de processos legítimos - [[s1239-toneshell|TONESHELL]] (malware) - backdoor usado pelo grupo [[g1018-ta2541|TA2541]] com técnicas de masquerading - [[slothfulmedia|SLOTHFULMEDIA]] (malware) - malware com capacidade de renomear componentes para imitar drivers legítimos - [[s0081-elise|Elise]] (malware) - implante que deposita artefatos em `System32` com nomes de DLLs do sistema - [[s0072-owaauth|OwaAuth]] (malware) - webshell que imita módulos legítimos de servidores web - [[s0482-bundlore|Bundlore]] (malware) - adware/dropper macOS que se disfarça como instaladores legítimos - [[s0085-s-type|S-Type]] (malware) - backdoor que usa paths de sistema para evasão --- *Fonte: [MITRE ATT&CK - T1036.005](https://attack.mitre.org/techniques/T1036/005)*