# T1036.008 - Masquerade File Type
## Técnica Pai
Sub-técnica de [[t1036-masquerading|T1036 - Masquerading]].
## Descrição
Adversários podem disfarçar payloads maliciosos como arquivos legítimos manipulando sua formatação - incluindo assinatura (magic bytes), extensão, ícone e conteúdo interno. Cada tipo de arquivo possui um padrão estrutural definido: o cabeçalho hexadecimal no início do arquivo, comumente chamado de *magic bytes*, é utilizado por sistemas operacionais e soluções de segurança para identificar o tipo real do arquivo, independentemente da extensão declarada.
Por exemplo, um arquivo JPEG sempre começa com os bytes `0xFF 0xD8`, enquanto um executável PE (Windows) começa com `0x4D 0x5A` (a sequência "MZ"). Adversários exploram essa lógica em dois sentidos: alteram os magic bytes de um executável malicioso para simular um arquivo de imagem ou documento, ou nomeiam um backdoor PHP com extensão `.gif` para enganar sistemas de upload e filtros de válidação. Tipos de arquivo considerados benignos - como `.txt`, `.jpg`, `.gif` e `.pdf` - tipicamente recebem tratamento menos restritivo por ferramentas de segurança e usuários.
Uma variação avançada dessa técnica é o uso de **arquivos políglotas**: arquivos que satisfazem a estrutura de dois ou mais formatos simultaneamente e se comportam de forma diferente dependendo da aplicação que os processa. Um arquivo que é ao mesmo tempo um PDF válido e um arquivo ZIP válido, por exemplo, pode passar por inspeção visual e ferramentas de análise estática enquanto carrega código malicioso oculto. Essa técnica é frequentemente combinada com [[t1105-ingress-tool-transfer|T1105 - Ingress Tool Transfer]] para mover malware para dentro de redes-alvo sem acionar alertas de transferência de executáveis.
## Como Funciona
A manipulação do tipo de arquivo pode ser realizada de diversas formas:
**1. Alteração de extensão apenas**
A forma mais simples: renomear `malware.exe` para `document.pdf`. Engana usuários mas não ferramentas que inspecionam o conteúdo real do arquivo.
**2. Alteração dos magic bytes**
O adversário edita os primeiros bytes do arquivo para corresponder ao tipo-alvo (ex: substituir `4D 5A` por `FF D8` para simular JPEG). Sistemas que dependem apenas do cabeçalho para classificar o arquivo serão enganados.
**3. Arquivo poliglota**
Estrutura o payload de forma que ele sejá simultaneamente válido para dois formatos. Exemplo: um arquivo `.jar` que é também um arquivo `.zip` válido - ambos os formatos usam a mesma estrutura central ZIP. O malware se apresenta como arquivo compactado para inspeção, mas é executado como Java quando processado pela JVM.
**4. Substituição de ícone**
Executáveis no Windows podem embutir ícones personalizados em seus recursos PE. Um adversário substitui o ícone padrão por um ícone de documento Word ou PDF, aumentando a credibilidade visual do arquivo disfarçado.
**5. Upload bypass via extensão falsa**
Em ataques contra aplicações web, um backdoor (ex: shell PHP) é nomeado como `imagem.gif` ou `foto.jpg.php` para contornar filtros de upload que verificam apenas a extensão declarada, não o conteúdo real.
## Attack Flow
```mermaid
graph TB
A[Desenvolvimento do payload malicioso] --> B[Manipulação de tipo de arquivo]
B --> B1[Alteração de magic bytes]
B --> B2[Renomeação de extensão]
B --> B3[Construção de arquivo poliglota]
B1 --> C[Transferência para o alvo]
B2 --> C
B3 --> C
C --> D{Método de entrega}
D --> D1[Upload em aplicação web]
D --> D2[Transferência via rede]
D --> D3[Engenharia social por email]
D1 --> E[Execução do payload disfarçado]
D2 --> E
D3 --> E
E --> F[Bypass de controles de segurança]
F --> G[Comprometimento do sistema]
```
## Exemplos de Uso
**Volt Typhoon** - grupo chinês de espionagem - utiliza binários legítimos do sistema (LOLBins) em conjunto com técnicas de mascaramento de arquivo para manter persistência em infraestrutura crítica sem acionar EDRs. Ferramentas são transferidas com extensões de arquivo benignas para evitar inspeção em trânsito.
**BlackByte** - ransomware-as-a-service - emprega arquivos com extensões manipuladas durante a fase de pós-exploração para mover ferramentas de movimentação lateral através de redes corporativas onde transferências de executáveis são bloqueadas.
**Mustang Panda** - APT chinês com foco em alvos governamentais no Sudeste Asiático - utiliza arquivos com ícones de documentos PDF/Word que são executáveis PE, frequentemente distribuídos por spear phishing para alvos diplomáticos.
**Malware associado:**
- [[s1190-kapeka|Kapeka]]: backdoor distribuído com extensão manipulada para evadir detecção inicial
- [[lumma-stealer|Lumma Stealer]]: stealer distribuído via arquivos LNK mascarados como instaladores legítimos
- [[s0650-qakbot|QakBot]]: distribui payloads com extensões falsas via documentos Office com macros
- [[s1130-raspberry-robin|Raspberry Robin]]: worm que propaga via USB usando arquivos `.lnk` disfarçados
- [[brute-ratel-c4|Brute Ratel C4]]: framework C2 que usa artefatos com cabeçalhos manipulados para evadir EDRs
- [[s1053-avoslocker|AvosLocker]]: ransomware que usa drivers legítimos renomeados para bypass de defesas
## Detecção
```yaml
title: Detecção de Mascaramento de Tipo de Arquivo
status: experimental
logsource:
category: file_event
product: windows
detection:
selection_mismatch:
TargetFilename|endswith:
- '.jpg'
- '.gif'
- '.png'
- '.pdf'
- '.txt'
FileContent|startswith:
- '4D5A' # MZ header - executável PE
- '504B0304' # PK header - ZIP/JAR/DOCX
selection_double_ext:
TargetFilename|re: '.*\.(jpg|gif|png|pdf|txt)\.(exe|dll|bat|ps1|vbs)