# T1036 - Masquerading ## Descrição **Masquerading** é uma das técnicas de evasão de defesa mais fundamentais e amplamente utilizadas no arsenal de adversários modernos. O princípio central é simples: fazer com que artefatos maliciosos - arquivos, processos, serviços, contas, tarefas agendadas - **pareçam legítimos** aos olhos de usuários, analistas e ferramentas de segurança. A técnica engloba um espectro amplo de métodos de disfarce: renomear utilitários do sistema, manipular extensões de arquivo, imitar nomes de processos legítimos, falsificar assinaturas de código, explorar características visuais do Únicode para inverter texto, e até sobrescrever argumentos de processo em memória. Qualquer forma de manipulação de identidade de um artefato se enquadra nesta técnica. Masquerading é frequentemente usada em conjunto com outras técnicas de execução e evasão. Um adversário pode usar [[t1059-command-and-scripting-interpreter|T1059 - Command and Scripting Interpreter]] para executar um payload que se disfarça de ferramenta legítima ([[t1036-003-rename-legitimate-utilities|T1036.003]]), ou usar [[Job]] com um nome que imita uma tarefa do sistema ([[t1036-004-masquerade-task-or-service|T1036.004]]). Grupos tão diversos como [[g0034-sandworm|Sandworm Team]] (nexo Rússia), [[g0050-apt32|APT32]] (nexo Vietnã), [[g0049-oilrig|OilRig]] (nexo Irã) e [[g0045-apt10|menuPass]] (nexo China) documentadamente usam variantes desta técnica, demonstrando sua universalidade independente de origem geográfica ou objetivo. > **Tática:** [[_defense-evasion|Defense Evasion]] > **Plataformas:** Windows, Linux, macOS, Containers, ESXi --- ## Como Funciona Masquerading opera manipulando **qualquer atributo de identidade** de um artefato. Os vetores de disfarce incluem: ### Disfarce por Nome e Localização - **Renomear utilitários legítimos:** copiar `cmd.exe` para `svchost.exe` e executar da pasta `%TEMP%` - o nome engana, mas a localização incomum denuncia ([[t1036-003-rename-legitimate-utilities|T1036.003]]) - **Copiar para localização legítima:** colocar malware em `C:\Windows\System32\` com nome convincente ([[t1036-005-match-legitimate-resource-name-or-location|T1036.005]]) - **Nomes de processo imitadores:** nomear o malware `svch0st.exe` (zero no lugar do O), `lsass_.exe` ou `explorer32.exe` ### Disfarce por Metadados de Arquivo - **Dupla extensão:** arquivo nomeado `documento_fiscal.pdf.exe` - o Windows oculta extensões por padrão, usuário vê `documento_fiscal.pdf` ([[t1036-007-double-file-extension|T1036.007]]) - **Espaço após nome:** `malware.exe ` - o espaço final pode confundir algumas verificações ([[t1036-006-space-after-filename|T1036.006]]) - **Right-to-Left Override (RTLO):** caractere Únicode U+202E inverte a ordem de exibição - `gpj.malware.exe` com RTLO aparece como `exe.erawlam.jpg` ([[t1036-002-right-to-left-override|T1036.002]]) - **Tipo de arquivo falso:** arquivo PE disfarçado como documento Office com ícone alterado ([[t1036-008-masquerade-file-type|T1036.008]]) ### Disfarce de Processos e Serviços - **Masquerade Task or Service:** criar serviço Windows com nome `Windows Updaté` ou `Google Chrome Helper` ([[t1036-004-masquerade-task-or-service|T1036.004]]) - **Overwrite Process Arguments:** sobrescrever `argv[0]` em memória no Linux para que `ps` mostre processo benigno ([[t1036-011-overwrite-process-arguments|T1036.011]]) - **Break Process Trees:** desvincular o processo malicioso da árvore de processos suspeita ([[t1036-009-break-process-trees|T1036.009]]) ### Disfarce de Assinatura e Identidade Digital - **Assinatura de código inválida ou falsificada:** assinar malware com certificado expirado ou revogado que imita uma empresa legítima ([[t1036-001-invalid-code-signature|T1036.001]]) - **Masquerade Account Name:** criar conta `svc_backup` ou `admin_helpdesk` para se misturar a contas de serviço legítimas ([[t1036-010-masquerade-account-name|T1036.010]]) - **Browser Fingerprint:** simular fingerprint de navegador legítimo para C2 passar por tráfego web normal ([[t1036-012-browser-fingerprint|T1036.012]]) --- ## Attack Flow ```mermaid graph TB A["🔴 Acesso Inicial<br/>Phishing / Exploit / Supply Chain"] --> B B["📦 Payload Entregue<br/>Arquivo malicioso disfarçado"] B --> C1["📄 Disfarce de Arquivo<br/>T1036.007 - Dupla extensão<br/>T1036.002 - RTLO Únicode<br/>T1036.008 - Tipo de arquivo falso"] B --> C2["📂 Disfarce de Localização<br/>T1036.003 - Renomear utilitário<br/>T1036.005 - Copiar p/ pasta legítima"] C1 --> D["🚀 Execução pelo Usuário<br/>ou Mecanismo Automatizado"] C2 --> D D --> E["⚙️ Processo Malicioso em Execução<br/>Aparenta ser legítimo no Task Manager"] E --> F1["🔄 Persistência Disfarçada<br/>T1036.004 - Serviço/Tarefa com nome legítimo<br/>T1036.010 - Conta de serviço mascarada"] E --> F2["🧠 Evasão Contínua<br/>T1036.011 - Sobrescrever args de processo<br/>T1036.009 - Quebrar árvore de processos<br/>T1036.012 - Browser fingerprint no C2"] F1 --> G["🎯 Objetivos do Adversário<br/>Exfiltração / Ransomware / Espionagem"] F2 --> G G --> H["👁️ Analista Enganado<br/>Alertas ignorados por parecerem<br/>processos/serviços legítimos"] style A fill:#c0392b,color:#fff style D fill:#e67e22,color:#fff style G fill:#8e44ad,color:#fff style H fill:#2c3e50,color:#fff ``` --- ## Sub-técnicas - [[t1036-001-invalid-code-signature|T1036.001 - Invalid Code Signature]] - [[t1036-002-right-to-left-override|T1036.002 - Right-to-Left Override]] - [[t1036-003-rename-legitimate-utilities|T1036.003 - Rename Legitimaté Utilities]] - [[t1036-004-masquerade-task-or-service|T1036.004 - Masquerade Task or Service]] - [[t1036-005-match-legitimate-resource-name-or-location|T1036.005 - Match Legitimaté Resource Name or Location]] - [[t1036-006-space-after-filename|T1036.006 - Space after Filename]] - [[t1036-007-double-file-extension|T1036.007 - Double File Extension]] - [[t1036-008-masquerade-file-type|T1036.008 - Masquerade File Type]] - [[t1036-009-break-process-trees|T1036.009 - Break Process Trees]] - [[t1036-010-masquerade-account-name|T1036.010 - Masquerade Account Name]] - [[t1036-011-overwrite-process-arguments|T1036.011 - Overwrite Process Arguments]] - [[t1036-012-browser-fingerprint|T1036.012 - Browser Fingerprint]] ## Exemplos de Uso ### Sandworm Team - Masquerading em operações de sabotagem O [[g0034-sandworm|Sandworm Team]] (GRU, Rússia) utilizou Masquerading extensivamente nas campanhas contra infraestrutura ucraniana e em operações de interferência eleitoral. O grupo renomeou ferramentas de ataque para imitar utilitários do sistema Windows, e criou serviços com nomes como `Windows Event Collector` para garantir persistência discreta. ### APT32 (OceanLotus) - Ataques a empresas brasileiras O [[g0050-apt32|APT32]], grupo vietnamita com histórico de operações contra empresas multinacionais incluindo alvos no Brasil, usa sistematicamente Masquerading via arquivos com dupla extensão em e-mails de spear-phishing (ex: `contrato_prestação_serviços.docx.exe`) e renomeação de scripts para parecerem ferramentas de administração legítimas. ### OilRig - Campanhas com disfarce de ferramentas legítimas O [[g0049-oilrig|OilRig]] (Iran) utiliza Masquerading combinado com [[t1059-command-and-scripting-interpreter|scripting]] - scripts PowerShell e Python nomeados como utilitários de sistema, tarefas agendadas com nomes que imitam atualizações do Windows. ### Contagious Interview - Campanhas de engenharia social técnica O grupo [[g1052-contagious-interview|Contagious Interview]] (nexo DPRK) disfarça instaladores Node.js maliciosos como pacotes NPM legítimos - um caso sofisticado de Masquerading no ecossistema de desenvolvimento de software, atingindo desenvolvedores em todo o mundo incluindo Brasil. ### Malware: RedLine Stealer e DarkTortilla O [[s1240-redline-stealer|RedLine Stealer]] frequentemente é distribuído em arquivos com dupla extensão ou nomes que imitam softwares populares. O [[s1066-darktortilla|DarkTortilla]], um crypter polimórfico, implementa múltiplas variantes de Masquerading para entregar payloads de forma furtiva. --- ## Detecção ### Sigma Rule - Processo iniciado de localização incomum com nome de sistema ```yaml title: System Process Running from Unusual Location id: c1d2e3f4-5678-9abc-def0-123456789abc status: stable description: > Detecta processos com nomes idênticos a binários do sistema Windows sendo executados de locais não-padrão, padrão clássico de Masquerading via T1036.003 e T1036.005. references: - https://attack.mitre.org/techniques/T1036/ author: RunkIntel daté: 2026-03-25 tags: - attack.defense_evasion - attack.t1036 - attack.t1036.003 - attack.t1036.005 logsource: category: process_creation product: windows detection: selection: Image|endswith: - '\svchost.exe' - '\lsass.exe' - '\csrss.exe' - '\wininit.exe' - '\winlogon.exe' - '\services.exe' - '\smss.exe' - '\taskhost.exe' filter_system32: Image|startswith: - 'C:\Windows\System32\' - 'C:\Windows\SysWOW64\' condition: selection and not filter_system32 falsepositives: - Ferramentas de pentest legítimas em ambientes de laboratório - Virtualizações com paths alternativos (raros) level: high ``` ### Sigma Rule - Arquivo com caractere RTLO no nome ```yaml title: Right-to-Left Override Character in Filename id: d2e3f4a5-6789-0bcd-ef01-23456789abcd status: stable description: > Detecta criação de arquivos contendo o caractere Únicode U+202E (Right-to-Left Override) no nome, técnica usada para fazer arquivos executáveis parecerem documentos ou imagens (T1036.002). references: - https://attack.mitre.org/techniques/T1036/002/ author: RunkIntel daté: 2026-03-25 tags: - attack.defense_evasion - attack.t1036.002 logsource: category: file_event product: windows detection: selection: TargetFilename|contains: "\u202E" condition: selection falsepositives: - Extremamente raros em contexto legítimo level: critical ``` ### Indicadores de detecção complementares | Método | Indicador | Sub-técnica | |--------|-----------|-------------| | Hash comparison | Hash do binário difere do legítimo apesar do mesmo nome | T1036.003, T1036.005 | | Parent-child analysis | `explorer.exe` → `svchost.exe` (incomum) | T1036.003 | | Signature válidation | Certificado expirado, revogado ou de empresa desconhecida | T1036.001 | | Path inspection | Binário de sistema em `%TEMP%`, `%APPDATA%`, `Downloads` | T1036.005 | | Extension analysis | Arquivo com dupla extensão ou extensão oculta | T1036.007 | | Únicode analysis | Caracteres de controle Únicode em nomes de arquivo | T1036.002 | | Service baseline | Novo serviço com nome similar a serviço nativo do Windows | T1036.004 | --- ## Mitigação | ID | Mitigação | Aplicação para T1036 | |----|-----------|---------------------| | [[m1047-audit\|M1047 - Audit]] | Auditar regularmente processos, serviços, tarefas e contas em execução contra baseline conhecida | Alta - identifica desvios de nomes/localizações | | [[m1045-code-signing\|M1045 - Code Signing]] | Exigir que todos os executáveis sejam assinados com certificados válidos e confiáveis | Alta - bloqueia binários sem assinatura válida | | [[m1040-behavior-prevention-on-endpoint\|M1040 - Behavior Prevention on Endpoint]] | Soluções EDR com análise comportamental que detectam execução de processos em locais anômalos | Alta - detecta comportamento mesmo com nome correto | | [[m1038-execution-prevention\|M1038 - Execution Prevention]] | AppLocker / WDAC: permitir execução apenas de paths e hashes autorizados | Alta - previne execução de binários renomeados fora de paths aprovados | | [[m1022-restrict-file-and-directory-permissions\|M1022 - Restrict File and Directory Permissions]] | Restringir escrita em pastas de sistema (`System32`, `Program Files`) a processos privilegiados | Média - dificulta cópia de malware para locais legítimos | | [[Antimalware]] | AV/EDR com detecção de anomalia de metadata e heurística de masquerading | Média - eficaz para variantes conhecidas | | [[m1018-user-account-management\|M1018 - User Account Management]] | Auditar e restringir criação de contas de serviço; monitorar nomes suspeitos | Média - dificulta masquerading de contas | | [[m1017-user-training\|M1017 - User Training]] | Treinar usuários para verificar extensões de arquivo, não confiar em ícones | Baixa - reduz vetor de engenharia social | --- ## Contexto Brasil/LATAM Masquerading é uma das técnicas mais prevalentes em ataques direcionados ao Brasil, observada em práticamente todas as categorias de ameaça: **Phishing e malware bancário:** A técnica de dupla extensão ([[t1036-007-double-file-extension|T1036.007]]) é onipresente em campanhas de phishing contra usuários brasileiros. Arquivos como `nota_fiscal_nfe.pdf.exe`, `boleto_vencido.pdf.exe` e `comprovante_pagamento.doc.exe` são vetores clássicos que exploram a configuração padrão do Windows de ocultar extensões de arquivo. O Brasil, como maior economia da América Latina, é alvo constante dessas campanhas. **Campanhas de espionagem corporativa:** Grupos como [[g0050-apt32|APT32]] e atores vinculados ao [[g0049-oilrig|OilRig]] direcionados a empresas brasileiras dos setores de energia, mineração e financeiro utilizam Masquerading para fazer implantes parecerem ferramentas legítimas de TI corporativa (agentes de monitoramento, atualizadores, coletores de log). **Ransomware na região:** Operações de ransomware que atingiram hospitais, prefeituras e empresas de logística brasileiras usaram Masquerading para disfarçar droppers como atualizações de software legítimo antes da execução do payload de criptografia. **Linux e servidores:** Com a ampla adoção de Linux em infraestrutura brasileira (servidores web, bancos de dados), a sub-técnica [[t1036-011-overwrite-process-arguments|T1036.011 - Overwrite Process Arguments]] tornou-se relevante para implantes como o [[s1161-bpfdoor|BPFDoor]], que sobrescreve seus próprios argumentos de processo para se disfarçar de processos do sistema em servidores Linux comprometidos. > **Alerta para times de resposta a incidentes:** Em investigações de comprometimento em ambientes Windows, verificar extensões reais (não apenas o que o Explorer exibe), comparar hashes de binários com baselines do sistema, e válidar assinaturas digitais são passos essenciais para detectar Masquerading. --- ## Referências - [MITRE ATT&CK - T1036](https://attack.mitre.org/techniques/T1036/) - [MITRE D3FEND - File Verification](https://d3fend.mitre.org/) - [Microsoft - AppLocker Technical Reference](https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/applocker/applocker-technical-reference) - [Sigma Rules - Masquerading Detection](https://github.com/SigmaHQ/sigma/tree/master/rules/windows/process_creation) ## Técnicas Relacionadas - [[t1059-command-and-scripting-interpreter|T1059 - Command and Scripting Interpreter]] - [[Job]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - [[t1574-hijack-execution-flow|T1574 - Hijack Execution Flow]] ## Threat Actors que Usam - [[g0045-apt10|menuPass]] - [[g0050-apt32|APT32]] - [[g1052-contagious-interview|Contagious Interview]] - [[g0060-bronze-butler|BRONZE BUTLER]] - [[g0049-oilrig|OilRig]] - [[g1003-ember-bear|Ember Bear]] - [[g0034-sandworm|Sandworm Team]] - [[g0133-nomadic-octopus|Nomadic Octopus]] - [[g1030-agrius|Agrius]] - [[g1007-aoqin-dragon|Aoqin Dragon]] ## Software Associado - [[s0453-pony|Pony]] (malware) - [[s0565-raindrop|Raindrop]] (malware) - [[s0622-appleseed|AppleSeed]] (malware) - [[s1018-saint-bot|Saint Bot]] (malware) - [[s0658-xcsset|XCSSET]] (malware) - [[s1066-darktortilla|DarkTortilla]] (malware) - [[s1240-redline-stealer|RedLine Stealer]] (malware) - [[s0661-foggyweb|FoggyWeb]] (malware) - [[s0696-flagpro|Flagpro]] (malware) - [[s1046-powgoop|PowGoop]] (malware) --- *Fonte: [MITRE ATT&CK - T1036](https://attack.mitre.org/techniques/T1036)*