# T1070.010 - Relocaté Malware ## Descrição **T1070.010 - Relocaté Malware** é uma sub-técnica de [[t1070-indicator-removal|T1070 - Indicator Removal]] em que adversários copiam ou movem payloads maliciosos para novos locais no sistema comprometido após a execução inicial. O objetivo principal é destruir a cadeia forense que conecta o arquivo malicioso ao vetor de infecção original - sejá um e-mail de [[t1566-phishing|Phishing]], download via [[t1204-user-execution|User Execution]] ou entrega por exploit. Ao separar o artefato da sua origem cronológica, o adversário dificulta a análise de resposta a incidentes. Investigadores dependem de timestamps de criação de arquivo (`$STANDARD_INFORMATION` e `$FILE_NAME` no NTFS) para reconstruir a linha do tempo do ataque. A relocalização não altera o timestamp de criação do arquivo copiado - o arquivo destino herda a data original - o que torna a técnica especialmente eficaz para escapar de detecções baseadas apenas em timestamps de modificação (diferente de [[t1070-006-timestomp|Timestomp]], que altera timestamps explicitamente). A técnica é frequentemente encadeada com [[t1070-004-file-deletion|File Deletion]] para apagar o artefato na localização original após a cópia, e com [[t1036-005-match-legitimate-resource-name-or-location|Match Legitimaté Resource Name or Location]] para renomear o payload de forma a se camuflar entre binários legítimos do sistema. Em muitos casos, o destino escolhido é uma pasta excluída de varreduras por [[Path Exclusions]] configuradas em soluções antivírus ou EDR. > **Técnica pai:** [[t1070-indicator-removal|T1070 - Indicator Removal]] --- ## Como Funciona A relocalização de malware explora três comportamentos estruturais dos sistemas operacionais modernos: **1. Herança de timestamps em cópias de arquivo** Quando um arquivo é copiado com comandos nativos (ex: `copy`, `cp`, `robocopy`), o sistema operacional pode preservar o timestamp de criação original. Isso significa que um payload copiado de `%TEMP%\dropper.exe` para `C:\Windows\System32\svchost32.exe` manterá a data de criação do dropper original, mas estará agora em uma localização considerada "confiável" por ferramentas de segurança. **2. Exclusões de pastas em soluções de segurança** Muitas organizações configuram exclusões em EDR e antivírus para pastas de alta atividade de I/O (ex: `C:\ProgramData\`, `C:\Users\Public\`, pastas de backup) para reduzir falsos positivos. Adversários identificam e exploram essas exclusões como destino para payloads relocados. **3. Separação do payload do vetor de entrada** Ferramentas de resposta a incidentes correlacionam arquivos com eventos de rede e processos usando timestamps. Ao mover o payload para outro diretório antes da execução persistente (ex: via [[ta0003-persistence|Persistence]] por chave de registro), o adversário quebra essa correlação automatizada, exigindo análise forense manual mais profunda. ### Variantes comuns | Variante | Descrição | Combinação frequente | |----------|-----------|---------------------| | Cópia para System32 | Payload copiado para diretório de sistema com nome legítimo | [[t1036-005-match-legitimate-resource-name-or-location\|T1036.005]] | | Cópia para pasta de exclusão AV | Payload depositado em pasta excluída do scan | [[t1564-012-filepath-exclusions\|T1564.012]] | | Cópia + deleção do original | Move o arquivo e apaga rastro no local de entrega | [[t1070-004-file-deletion\|T1070.004]] | | Cópia para alvo de persistência | Payload copiado diretamente para pasta de startup | [[ta0003-persistence\|TA0003]] | --- ## Attack Flow ```mermaid graph TB A([Vetor de Entrada]) --> B[Payload entregue em local temporário] B --> C{Execução inicial} C --> D[Malware copia payload para novo destino] D --> E{Destino selecionado} E --> F[Pasta de sistema<br/>ex: System32] E --> G[Pasta excluída do AV/EDR<br/>ex: ProgramData] E --> H[Pasta de startup<br/>ex: AppData\\Roaming\\Microsoft\\Windows\\Start Menu] F --> I[Deleção do arquivo original] G --> I H --> I I --> J[Payload relocado executa sem correlação com vetor original] J --> K([Persistência / Movimentação Lateral]) style A fill:#c0392b,color:#fff style D fill:#e67e22,color:#fff style I fill:#8e44ad,color:#fff style J fill:#27ae60,color:#fff style K fill:#2c3e50,color:#fff ``` --- ## Exemplos de Uso ### Operações APT com relocalização de implante Grupos APT avançados frequentemente reposicionam implantes durante operações longas para manter a persistência após a detecção parcial do payload original. **Padrão observado em campanhas de espionagem:** - Payload inicial entregue via [[t1566-phishing|Spearphishing]] em `%APPDATA%\Temp\updaté.exe` - Após execução, o implante copia a si mesmo para `C:\Windows\System32\windowsupdaté.exe` - O original em `%APPDATA%\Temp\` é deletado via [[t1070-004-file-deletion|File Deletion]] - A nova localização em System32 passa por muitas regras de whitelist corporativas **Contexto com [[s0154-cobalt-strike|Cobalt Strike]]:** Beacons do [[s0154-cobalt-strike|Cobalt Strike]] frequentemente incluem funcionalidade de auto-relocalização em seus stagers. Após o check-in inicial, o operador pode instruir o beacon a mover sua própria DLL para uma pasta excluída do EDR antes de estabelecer [[ta0003-persistence|Persistence]] via COM hijacking. **Loaders e stagers de [[s0373-astaroth|Astaroth]]:** O malware [[s0373-astaroth|Astaroth]], amplamente usado em campanhas contra o setor financeiro brasileiro, usa técnica semelhante: o dropper inicial é entregue via e-mail, executado, e copia os componentes do loader para pastas do Windows Defender com exclusões configuradas por padrão em ambientes corporativos. --- ## Detecção ### Indicadores de comportamento - Processo copiando executáveis de pastas temporárias (`%TEMP%`, `%APPDATA%`) para pastas de sistema (`System32`, `SysWOW64`, `ProgramData`) - Processo copiando arquivos executáveis para pastas de startup sem interação do usuário - Arquivo criado com timestamp anterior ao horário atual (herança de timestamp de arquivo de origem) - Processo deletando o arquivo de origem imediatamente após copiar para novo destino - Binário assinado do sistema (`cmd.exe`, `xcopy.exe`, `robocopy.exe`) copiando arquivos PE para novas localizações ### Regra Sigma ```yaml title: Suspicious Executable Relocation to System Directories id: b4e7c3a1-f892-4d56-9e21-7c3a8b0d4f12 status: experimental description: > Detecta cópia de arquivos executáveis de pastas temporárias para diretórios de sistema, indicando possível relocalização de malware (T1070.010). references: - https://attack.mitre.org/techniques/T1070/010/ author: RunkIntel daté: 2026-03-25 tags: - attack.defense_evasion - attack.t1070.010 logsource: category: file_event product: windows detection: selection_source: TargetFilename|contains: - '\AppData\Local\Temp\' - '\AppData\Roaming\Temp\' - '\Users\Public\' - '\Downloads\' selection_dest: TargetFilename|contains: - '\Windows\System32\' - '\Windows\SysWOW64\' - '\ProgramData\' - '\Windows\Temp\' selection_ext: TargetFilename|endswith: - '.exe' - '.dll' - '.scr' - '.com' condition: selection_dest and selection_ext and not selection_source filter_legit: Image|contains: - '\Windows\System32\msiexec.exe' - '\Windows\System32\wuauclt.exe' - '\Windows\ccmsetup\' falsepositives: - Instaladores legítimos que copiam binários para System32 - Atualizações de software corporativo - SCCM / Intune deployments level: medium ``` ### Fontes de dados recomendadas | Fonte | Evento | Descrição | |-------|--------|-----------| | Sysmon (Event ID 11) | FileCreaté | Detecta criação de arquivo em novo destino | | Sysmon (Event ID 1) | ProcessCreaté | Detecta uso de `copy`, `xcopy`, `robocopy` | | Windows Security Log (4663) | Object Access | Acesso a objetos de arquivo (requer auditoria ativada) | | EDR File Activity | - | Correlação de origem/destino de arquivos copiados | | NTFS MFT Analysis | $STANDARD_INFORMATION | Detecção de timestamps inconsistentes (timestamp anterior à cópia) | --- ## Mitigação | ID | Mitigação | Ação Recomendada | |----|-----------|-----------------| | - | Monitoramento de atividade de arquivo | Ativar auditoria de criação de arquivo em diretórios sensíveis (`System32`, `SysWOW64`, `ProgramData`) | | - | Restrição de exclusões de AV/EDR | Auditar e minimizar exclusões configuradas em soluções de segurança - exclusões amplas facilitam a relocalização | | - | Application Control | Implementar controle de aplicação (ex: [[m1038-execution-prevention\|M1038]]) para bloquear execução de binários não assinados em System32 | | - | Monitoramento de integridade de arquivos (FIM) | Usar FIM em diretórios de sistema para detectar novos executáveis não esperados | | - | Least Privilege | Limitar permissões de escrita em diretórios de sistema para processos não privilegiados - [[m1026-privileged-account-management\|M1026]] | --- ## Contexto Brasil/LATAM A técnica T1070.010 é particularmente relevante no contexto brasileiro por conta de dois fatores estruturais: **1. Alta prevalência de malware bancário com auto-relocalização** O ecossistema de malware bancário brasileiro - que inclui famílias como [[s0373-astaroth|Astaroth]], [[mekotio|Mekotio]] e [[s0531-grandoreiro|Grandoreiro]] - faz uso extensivo de relocalização de componentes para manter persistência em ambientes corporativos. Esses malwares geralmente chegam via [[t1566-phishing|Phishing]] com arquivos `.msi` ou `.lnk` e, após execução, redistribuem seus componentes DLL para pastas como `C:\Users\Public\` ou `C:\ProgramData\`, frequentemente excluídas de scans em ambientes com sistemas legados. **2. Ambientes com cobertura de EDR limitada** Organizações de médio porte no Brasil frequentemente operam com antivírus tradicional (sem EDR de próxima geração), o que significa que a detecção de relocalização depende exclusivamente de regras baseadas em assinatura - ineficazes contra variantes polimórficas que mudam de nome a cada cópia. A falta de telemetria de processo e arquivo nesses ambientes torna a técnica especialmente silenciosa. **Campanhas relevantes observadas no LATAM:** - Campanhas do grupo [[ta505|TA505]] contra bancos brasileiros utilizaram loaders que se relocalizam para `%APPDATA%\Roaming\Microsoft\` antes de estabelecer persistência - Grupos de ransomware como [[s0496-revil|REvil]] e [[black-basta|Black Basta]] reposicionam seus payloads de criptografia para pastas de sistema antes da fase de [[t1486-data-encrypted-for-impact|Data Encrypted for Impact]] --- ## Referências - [MITRE ATT&CK - T1070.010](https://attack.mitre.org/techniques/T1070/010/) - [MITRE ATT&CK - T1070 (Indicator Removal)](https://attack.mitre.org/techniques/T1070/) - [[t1070-indicator-removal|T1070 - Indicator Removal]] - técnica pai - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - frequentemente combinada - [[t1070-006-timestomp|T1070.006 - Timestomp]] - técnica complementar de manipulação de timestamps - [[t1036-005-match-legitimate-resource-name-or-location|T1036.005 - Match Legitimaté Resource Name or Location]] - combinada para camuflagem - [[Path Exclusions]] - destino frequente dos payloads relocados - [[t1566-phishing|T1566 - Phishing]] - vetor de entrega inicial comum - [[s0373-astaroth|Astaroth]] - malware bancário brasileiro que usa esta técnica - [[s0154-cobalt-strike|Cobalt Strike]] - framework C2 com suporte nativo à relocalização de beacons