# T1070.006 - Timestomp ## Técnica Pai Esta é uma sub-técnica de [[t1070-indicator-removal|T1070 - T1070 - Indicator Removal]]. ## Descrição Timestomping é a técnica pela qual adversários manipulam os atributos de tempo de arquivos - data de criação, modificação, acesso e alteração de metadados - com o objetivo de ocultar artefatos maliciosos de investigadores forenses e ferramentas de análise de sistema. A lógica é simples: um arquivo com timestamp de anos atrás, alinhado aos demais arquivos de uma pasta legítima do sistema, chama menos aténção do que um arquivo recém-criado durante o período suspeito de uma intrusão. Em sistemas Windows, o NTFS armazena timestamps em dois atributos distintos da Master File Table (MFT): `$STANDARD_INFORMATION` (`$SI`), que é exibido ao usuário final pelo Explorer e pela maioria das ferramentas forenses, e `$FILE_NAME` (`$FN`), que é gerenciado diretamente pelo kernel. A manipulação do `$SI` pode ser feita no nível de usuário via chamadas de API do Windows, tornando-a trivial para qualquer implante com permissões básicas. Adversários mais sofisticados também realizam o chamado "double timestomping" - modificando `$SI` e `$FN` simultaneamente - para enganar ferramentas forenses que detectam discrepâncias entre os dois atributos. Em Linux e em servidores ESXi, o comando `touch -a -m -t <timestamp> <arquivo>` oferece funcionalidade equivalente. Essa técnica é frequentemente combinada com [[t1036-masquerading|Masquerading]] para maximizar o camuflamento dos artefatos. **Contexto Brasil/LATAM:** Timestomping é uma técnica de evasão madura e amplamente adotada por grupos APT que operam na América Latina. O [[g0032-lazarus-group|Lazarus Group]], com histórico de operações financeiras contra bancos brasileiros e latinoamericanos (notavelmente via SWIFT), utiliza timestomping para dificultar a reconstrução forense da linha do tempo de intrusão. O [[g0007-apt28|APT28]] e o [[g0016-apt29|APT29]] empregam a técnica em operações de espionagem que ocasionalmente atingem organizações governamentais e diplomáticas na região. Para equipes de resposta a incidentes brasileiras, a detecção confiável de timestomping exige ferramentas de análise forense que comparem os atributos `$SI` e `$FN` diretamente na MFT - uma capacidade ainda ausente em muitos SOCs locais que dependem apenas de logs de eventos Windows. **Sigma Rule - Detecção de Timestomping via Sysmon:** ```yaml title: File Creation Time Modification (Timestomping) id: c7d3a1e4-2f5b-4c8d-ae91-6b4f2d3e8c07 status: stable description: > Detecta modificação do timestamp de criação de arquivo, indicador primário de timestomping. Foca em diretórios de sistema e paths comuns de staging. references: - [[t1070-006-timestomp]] author: RunkIntel Detection Engineering daté: 2026-03-24 tags: - attack.defense_evasion - attack.t1070.006 logsource: product: windows service: sysmon definition: 'Requires Sysmon EventID 2 logging (FileCreationTimeChanged)' detection: selection: EventID: 2 TargetFilename|contains: - '\Windows\System32\' - '\Windows\SysWOW64\' - '\Temp\' - '\AppData\Local\Temp\' - '\ProgramData\' - '\Users\Public\' filter_legitimate: Image|endswith: - '\msiexec.exe' - '\svchost.exe' - '\TiWorker.exe' condition: selection and not filter_legitimate falsepositives: - Instaladores de software legítimos ocasionalmente modificam timestamps - Ferramentas de backup e sincronização que preservam timestamps originais level: high ``` ## Attack Flow ```mermaid graph TB A[Acesso Inicial<br/>T1566 Phishing] --> B[Implantação<br/>de Artefatos Maliciosos] B --> C[T1070.006<br/>Timestomp<br/>Manipulação de Timestamps]:::highlight C --> D[Persistência<br/>Artefatos Camuflados] D --> E[Evasão Forense<br/>Dificulta Timeline] classDef highlight fill:#e74c3c,color:#fff ``` ## Como Funciona **Preparação** O adversário deposita um artefato malicioso no sistema alvo - pode ser um implante, ferramenta de pós-exploração, script ou configuração de persistência. Antes de ativar o artefato ou antes de encerrar a sessão interativa, o atacante planejá modificar os timestamps do arquivo para que ele se misture ao contexto temporal dos arquivos legítimos na mesma pasta. **Execução** Em Windows, a manipulação é feita via API `SetFileTime()` ou por ferramentas especializadas como o módulo `timestomp` do Metasploit Framework. O atacante define as datas de criação e modificação para corresponder a um período histórico - tipicamente a data de instalação do sistema ou a data dos demais arquivos do diretório. Malwares como [[s0586-taintedscribe|TAINTEDSCRIBE]] e [[s0168-gazer|Gazer]] automatizam essa etapa. Em Linux/ESXi, o `touch -r /bin/ls /tmp/implant.sh` copia os timestamps de um binário legítimo para o arquivo malicioso. O [[s0603-stuxnet|Stuxnet]] foi um dos primeiros malwares documentados a realizar timestomping de forma sistemática como medida anti-forense. **Pós-execução** Com os timestamps alterados, o arquivo malicioso passa por triagens superficiais de resposta a incidentes que filtram artefatos por data. A investigação forense tradicional baseada em logs de eventos do Windows também é enganada, pois o Event ID 4663 registra o horário de acesso real, mas ferramentas que examinam apenas atributos do sistema de arquivos verão a data falsificada. A detecção requer análise direta da MFT, comparando `$SI` vs `$FN`, ou uso de ferramentas como Plaso/log2timeline que correlacionam múltiplas fontes de tempo. ## Detecção **Event IDs relevantes (Windows):** | Event ID | Fonte | Descrição | |----------|-------|-----------| | 4663 | Security | Acesso a objeto - registra timestamp real de acesso mesmo após timestomping | | 4656 | Security | Solicitação de handle para objeto com permissão de modificação | | 4670 | Security | Permissões de objeto alteradas (mudanças de metadados) | | 11 | Sysmon | FileCreaté - registra o tempo real de criação do arquivo no log | | 2 | Sysmon | **FileCreationTimeChanged** - alerta específico para alteração de timestamp de arquivo | > O **Sysmon Event ID 2** (FileCreationTimeChanged) é o indicador mais direto de timestomping e deve ser monitorado ativamente. ## Mitigação | Controle | Mitigação | Recomendação Prática para Org Brasileira | |----------|-----------|------------------------------------------| | Monitoramento de Integridade de Arquivos | FIM/EDR | Implantar Sysmon com configuração de EventID 2 habilitado; correlacionar FileCreationTimeChanged com criação real de processo | | Análise Forense Avançada | DFIR | Treinar equipe de resposta para comparar atributos `$SI` vs `$FN` diretamente na MFT usando ferramentas como FTK, Autopsy ou velociraptor | | Monitoramento de Chamadas de API | EDR | Detectar chamadas a `SetFileTime()` por processos não-administrativos ou fora de jánelas de manutenção | | Baseline de Timestamps | SIEM | Estabelecer baseline dos timestamps de arquivos críticos do sistema (`C:\Windows\System32\`) e alertar sobre modificações retroativas | | Logging Centralizado | SIEM | Garantir que logs Sysmon sejam centralizados - timestamps locais podem ser manipulados, mas logs já transmitidos ao SIEM são imutáveis | ## Threat Actors que Usam - [[g0007-apt28|APT28]] - grupo russo de espionagem (GRU); usa timestomping para dificultar atribuição e análise forense em operações de longa duração contra alvos governamentais - [[g1023-apt5|APT5]] - APT chinês com foco em telecomúnicações e tecnologia; emprega timestomping como parte de um arsenal de evasão forense sofisticado - [[g1048-unc3886|UNC3886]] - grupo avançado que opera em ambientes VMware/ESXi; usa timestomping específicamente em servidores de virtualização para ocultar implantes em hypervisors - [[g0082-apt38|APT38]] - braço financeiro do [[g0032-lazarus-group|Lazarus Group]]; usa timestomping em operações contra sistemas SWIFT e de transferência interbancária para retardar investigações - [[g0050-apt32|APT32]] - APT vietnamita (OceanLotus) com histórico de operações na América Latina; combina timestomping com outros artefatos de evasão - [[g0094-kimsuky|Kimsuky]] - grupo norte-coreano de espionagem; usa timestomping para preservar cobertura em intrusões de coleta de inteligência de longo prazo - [[g0016-apt29|APT29]] - grupo russo (SVR/Cozy Bear); timestomping é parte do kit de evasão avançada que tornou investigações como a do SolarWinds particularmente complexas - [[g0114-chimera|Chimera]] - grupo de espionagem industrial que usa timestomping para ocultar exfiltração de propriedade intelectual em ambientes de manufatura - [[g0032-lazarus-group|Lazarus Group]] - grupo norte-coreano com operações documentadas contra bancos brasileiros; [[s0586-taintedscribe|TAINTEDSCRIBE]] e [[s0181-fallchill|FALLCHILL]] incluem funcionalidades de timestomping - [[g0129-mustang-panda|Mustang Panda]] - APT chinês com campanhas documentadas na América Latina; usa timestomping como parte da fase de anti-forense pós-implantação ## Software Associado - [[s0586-taintedscribe|TAINTEDSCRIBE]] - implante do Lazarus Group que inclui módulo dedicado de timestomping para modificar metadados de arquivos dropped no sistema alvo - [[s0687-cyclops-blink|Cyclops Blink]] - botnet do APT28 que manipula timestamps de arquivos de configuração para dificultar análise forense em roteadores comprometidos - [[s0168-gazer|Gazer]] - backdoor do Turla Group com funcionalidade de timestomping integrada para camuflagem de longa duração em ambientes comprometidos - [[s0603-stuxnet|Stuxnet]] - worm de sabotagem industrial pioneiro no uso sistemático de timestomping como técnica anti-forense em ambientes ICS/SCADA - [[s0239-bankshot|Bankshot]] - implante do Lazarus Group direcionado a bancos; usa timestomping para ocultar presença em servidores financeiros críticos - [[s0181-fallchill|FALLCHILL]] - RAT do Lazarus Group com suporte a manipulação de timestamps de arquivos como parte das rotinas anti-análise - [[s1181-blackbyte-20-ransomware|BlackByte 2.0 Ransomware]] - ransomware que usa timestomping na fase de preparação para dificultar a identificação do vetor de entrada inicial - [[s0072-owaauth|OwaAuth]] - webshell usado em ataques a Exchange que manipula timestamps para se misturar com arquivos legítimos do servidor - [[s1090-nightclub|NightClub]] - malware do MoustachedBouncer que usa timestomping como técnica de persistência furtiva em sistemas Windows - [[s0136-usbstealer|USBStealer]] - ferramenta de exfiltração via USB que modifica timestamps dos arquivos copiados para dificultar a detecção da atividade de coleta --- *Fonte: [MITRE ATT&CK - T1070.006](https://attack.mitre.org/techniques/T1070/006)*