t1070-indicator-removal

# T1070 - Indicator Removal ## Descrição Adversários excluem ou modificam artefatos gerados em sistemas comprometidos para eliminar evidências de sua presença e dificultar a resposta a incidentes. Durante uma intrusão, diversas trilhas são produzidas naturalmente - logs de eventos, histórico de comandos, registros de conexões de rede, metadados de arquivos, mecanismos de persistência e dados de caixa de e-mail. Esses artefatos são os insumos primários de analistas forenses e sistemas de detecção. Ao removê-los ou adulterá-los, o adversário compromete a integridade das soluções de segurança, retarda ou impede investigações e reduz a capacidade de atribuição. A remoção de indicadores não se limita a apagar arquivos: inclui alterar carimbos de tempo (timestomping), limpar logs de eventos do Windows, remover histórico do shell, desconectar compartilhamentos de rede mapeados, apagar dados de caixas de e-mail e realocar malware para locais menos monitorados. A amplitude dessas sub-técnicas reflete o fato de que os atacantes mais sofisticados executam limpeza sistemática em todas as camadas - sistema operacional, aplicação e rede - antes de encerrar o acesso ou como parte do ciclo operacional contínuo. Grupos de espionagem como [[g1044-apt42|APT42]], [[g0129-mustang-panda|Mustang Panda]] e [[g1023-apt5|APT5]], além de atores de sabotagem e crime financeiro como [[g0032-lazarus-group|Lazarus Group]], incorporam remoção de indicadores como etapa obrigatória de suas operações, especialmente em intrusões de longa duração onde manter acesso persistente sem detecção é crítico. ## Como Funciona A técnica opera em camadas complementares do ambiente comprometido. O adversário tipicamente executa remoção de indicadores em múltiplas categorias simultaneamente: **Camada de sistema operacional:** logs de eventos, histórico de comandos do shell e metadados de arquivos são as primeiras prioridades. Em Windows, o log de Segurança (Event ID 4624, 4688, etc.) e o log do PowerShell (Event ID 4104) são alvos diretos. Em Linux, `/var/log/auth.log`, `/var/log/syslog` e o `.bash_history` do usuário comprometido são as fontes mais frequentemente apagadas. **Camada de rede:** registros de conexões RDP, VPN, compartilhamentos SMB mapeados e configurações de DNS cache são removidos para ocultar movimentação lateral e exfiltração. **Camada de aplicação:** caixas de e-mail corporativo (Exchange, Microsoft 365, Google Workspace) são limpas de mensagens de phishing enviadas ou recebidas, e dados de Teams/Slack podem ser deletados quando acessíveis. **Camada de persistência:** chaves de registro de autorun, tarefas agendadas e serviços maliciosos instalados são removidos antes do encerramento da operação ou após o estabelecimento de mecanismo de persistência alternativo. ## Sub-técnicas - [[t1070-001-clear-windows-event-logs|T1070.001 - Clear Windows Event Logs]] - [[t1070-002-clear-linux-or-mac-system-logs|T1070.002 - Clear Linux or Mac System Logs]] - [[t1070-003-clear-command-history|T1070.003 - Clear Command History]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1070-005-network-share-connection-removal|T1070.005 - Network Share Connection Removal]] - [[t1070-006-timestomp|T1070.006 - Timestomp]] - [[t1070-007-clear-network-connection-history-and-configurations|T1070.007 - Clear Network Connection History and Configurations]] - [[t1070-008-clear-mailbox-data|T1070.008 - Clear Mailbox Data]] - [[t1070-009-clear-persistence|T1070.009 - Clear Persistence]] - [[t1070-010-relocaté-malware|T1070.010 - Relocaté Malware]] ## Attack Flow ```mermaid graph TB A[Adversário atingiu objetivos na fase pós-exploração] --> B[Limpeza de indicadores - pré-saída] B --> C[Camada OS - Logs e histórico] B --> D[Camada Rede - Conexões e DNS] B --> E[Camada Arquivo - Ferramentas e payloads] B --> F[Camada Persistência - Chaves e serviços] B --> G[Camada Aplicação - E-mail e SaaS] C --> C1[T1070.001 - Limpar Event Logs Windows] C --> C2[T1070.002 - Limpar logs Linux/macOS] C --> C3[T1070.003 - Apagar histórico de shell] D --> D1[T1070.007 - Remover histórico de rede] D --> D2[T1070.005 - Desconectar shares SMB] E --> E1[T1070.004 - Deletar ferramentas e staging] E --> E2[T1070.006 - Timestomp em arquivos restantes] E --> E3[T1070.010 - Realocar malware] F --> F1[T1070.009 - Remover persistência] G --> G1[T1070.008 - Limpar caixa de e-mail] C1 & C2 & C3 & D1 & D2 & E1 & E2 & E3 & F1 & G1 --> H[Rastros eliminados] H --> I[Análise forense prejudicada] H --> J[Atribuição dificultada] H --> K[Presença contínua não detectada] ``` ## Exemplos de Uso **APT42 (Irã):** grupo de espionagem ligado ao IRGC iraniano que opera extensivamente contra organizações de mídia, ONGs e governo. Em intrusões documentadas, apaga registros de autenticação de plataformas de e-mail em nuvem e remove e-mails de phishing das caixas de envio para ocultar o vetor inicial de acesso. **Lazarus Group (Coreia do Norte):** em operações de espionagem financeira e sabotagem, utiliza ferramentas de wipe seletivo - como destrutores de disco em ataques de alto impacto - e deleção de arquivos de staging. Em campanhas de roubo de criptomoedas, remove logs de acesso a exchanges e carteiras comprometidas. **Mustang Panda:** implante [[s0013-plugx|PlugX]] inclui rotina de auto-remoção que apaga arquivos temporários e entradas de Registro antes de migrar para nova localização - combinando T1070.004 com T1070.010. **[[s0596-shadowpad|ShadowPad]]:** backdoor modular usado por múltiplos grupos APT chineses; limpa sistematicamente logs de eventos do Windows após operação e usa timestomping para mascarar arquivos de módulo. **[[s1161-bpfdoor|BPFDoor]]:** backdoor passivo Linux, amplamente utilizado em ataques a telecomúnicações no Oriente Médio e Ásia; apaga o próprio arquivo executável após carregamento em memória e modifica `/proc/self/cmdline` para disfarçar o processo. ## Detecção A detecção de remoção de indicadores exige monitoramento dos próprios mecanismos de log - uma circularidade que torna a defesa mais complexa. As estrategias mais eficazes são: **Logging remoto e imutável:** enviar logs a um SIEM ou sistema de armazenamento remoto em tempo real elimina a possibilidade de limpeza local retroativa. Logs que param abruptamente sem evento de desligamento são um forte sinal de alerta. **Auditoria de operações de log:** monitorar chamadas a `wevtutil cl`, `Clear-EventLog`, truncamento de arquivos em `/var/log/`, e acesso com abertura para escrita a arquivos de log do sistema. **Integridade de arquivo:** soluções de FIM (File Integrity Monitoring) detectam timestomping ao comparar carimbos de tempo do sistema de arquivos com metadados alternativos (USN Journal, MFT em Windows; inode change time em Linux). ```yaml title: Limpeza de Log de Eventos do Windows via wevtutil status: stable logsource: category: process_creation product: windows detection: selection: Image|endswith: "\\wevtutil.exe" CommandLine|contains: - " cl " - " clear-log " filter_admin: ParentImage|startswith: - "C:\\Windows\\System32\\services.exe" condition: selection and not filter_admin level: high tags: - attack.defense_evasion - attack.t1070.001 ``` ```yaml title: Remoção de Histórico do Shell Bash status: experimental logsource: category: file_event product: linux detection: selection: TargetFilename|endswith: - "/.bash_history" - "/.zsh_history" - "/.sh_history" EventType: - "FileDelete" - "FileCreaté" filter_size: FileSize: 0 condition: selection level: medium tags: - attack.defense_evasion - attack.t1070.003 ``` ```yaml title: Timestomping - Modificação de Timestamps de Arquivo status: experimental logsource: category: file_event product: windows detection: selection: EventType: "FileModified" filter_timestamp_mismatch: Imphash|exists: true condition: selection # Complementar com correlação entre $STANDARD_INFORMATION e $FILE_NAME no MFT level: medium tags: - attack.defense_evasion - attack.t1070.006 ``` ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | [[m1041-encrypt-sensitive-information\|M1041]] | [[m1041-encrypt-sensitive-information\|M1041 - Encrypt Sensitive Information]] | Criptografar logs em trânsito e em repouso dificulta adulteração e garante integridade. Logs enviados a um SIEM externo com canal autenticado não podem ser alterados retroativamente pelo adversário. | | [[m1029-remote-data-storage\|M1029]] | [[m1029-remote-data-storage\|M1029 - Remote Data Storage]] | Armazenar logs em infraestrutura separada e imutável (ex: S3 com Object Lock, Azure Immutable Storage, syslog centralizado) torna ineficaz a limpeza local. Principal controle contra T1070.001 e T1070.002. | | [[m1022-restrict-file-and-directory-permissions\|M1022]] | [[m1022-restrict-file-and-directory-permissions\|M1022 - Restrict File and Directory Permissions]] | Restringir permissões de escrita em diretórios de log (ex: `/var/log/`, `C:\Windows\System32\winevt\Logs\`) limita a capacidade de limpeza a usuários privilegiados, elevando o nível de comprometimento necessário. | ## Contexto Brasil/LATAM A remoção de indicadores é prática rotineira tanto em ameaças de espionagem quanto no ecossistema de crime cibernético brasileiro. Grupos de trojan bancário - como os operadores do Grandoreiro, Mekotio e TOITOIN - incluem rotinas de auto-deleção e limpeza de histórico para dificultar análise forense após o comprometimento de sistemas bancários de pessoas físicas e jurídicas. Em incidentes de ransomware documentados no Brasil - envolvendo grupos como LockBit, BlackCat/ALPHV e Cl0p - a fase de pré-criptografia tipicamente inclui deleção de shadow copies do Windows (T1070.004 combinado com T1490), limpeza de logs de eventos e remoção de backups locais acessíveis, reduzindo drasticamente a capacidade de recuperação das vítimas. Órgãos do governo federal e estadual brasileiros são alvos frequentes de [[g1044-apt42|APT42]] e grupos correlatos, que utilizam limpeza de caixa de e-mail (T1070.008) como parte da cobertura de operações de espionagem - apagando e-mails de spear-phishing e regras de redirecionamento antes de encerrarem o acesso. A maturidade de SOC na região ainda é limitada para detecção dessa técnica: a ausência de logging remoto centralizado e a falta de monitoramento de integridade de logs tornam muitos incidentes irrecuperáveis do ponto de vista forense, com linha do tempo de ataque impossível de reconstruir. ## Referências - [[t1070-001-clear-windows-event-logs|T1070.001 - Clear Windows Event Logs]] - [[t1070-002-clear-linux-or-mac-system-logs|T1070.002 - Clear Linux or Mac System Logs]] - [[t1070-003-clear-command-history|T1070.003 - Clear Command History]] - [[t1070-004-file-deletion|T1070.004 - File Deletion]] - [[t1070-005-network-share-connection-removal|T1070.005 - Network Share Connection Removal]] - [[t1070-006-timestomp|T1070.006 - Timestomp]] - [[t1070-007-clear-network-connection-history-and-configurations|T1070.007 - Clear Network Connection History and Configurations]] - [[t1070-008-clear-mailbox-data|T1070.008 - Clear Mailbox Data]] - [[t1070-009-clear-persistence|T1070.009 - Clear Persistence]] - [[t1070-010-relocaté-malware|T1070.010 - Relocaté Malware]] - [[g1044-apt42|APT42]] - grupo que utiliza a técnica - [[g0032-lazarus-group|Lazarus Group]] - grupo que utiliza a técnica - [[g0129-mustang-panda|Mustang Panda]] - grupo que utiliza a técnica - [[g1023-apt5|APT5]] - grupo que utiliza a técnica - [[s1161-bpfdoor|BPFDoor]] - malware com auto-remoção documentada - [[s0596-shadowpad|ShadowPad]] - backdoor com limpeza sistemática de logs - [[m1029-remote-data-storage|M1029 - Remote Data Storage]] - [[m1041-encrypt-sensitive-information|M1041 - Encrypt Sensitive Information]] - [[m1022-restrict-file-and-directory-permissions|M1022 - Restrict File and Directory Permissions]] --- *Fonte: MITRE ATT&CK - T1070*