# T1218.002 - Control Panel ## Descrição **T1218.002 - Control Panel** é uma subtécnica de [[t1218-system-binary-proxy-execution|T1218 - System Binary Proxy Execution]] na qual adversários abusam do processo legítimo `control.exe` - o binário do Painel de Controle do Windows - para executar payloads maliciosos, contornando controles de segurança baseados em lista de permissões (application allowlisting) e filtragem por extensão de arquivo. O Painel de Controle do Windows foi projetado para hospedar **itens de painel de controle** - utilitários que permitem aos usuários visualizar e ajustar configurações do sistema. Esses itens podem ser executáveis (`.exe`) ou arquivos CPL (`.cpl`), sendo que os arquivos CPL são, na verdade, **DLLs renomeadas** que exportam uma função específica chamada `CPlApplet`. O `control.exe` carrega e executa esses arquivos quando invocados. Adversários exploram esta funcionalidade de três formas principais: 1. **Arquivos CPL maliciosos** entregues por [[t1566-phishing|phishing]] ou download - o usuário abre um arquivo `.cpl` e o Windows o executa via `control.exe` 2. **DLLs renomeadas como .cpl** registradas em chaves específicas do registro, carregadas automaticamente pelo Painel de Controle 3. **Execução via linha de comando** ou chamada de API para `control.exe` com um arquivo CPL malicioso como argumento A técnica é categorizada como **proxy de execução** porque o código malicioso executa sob a identidade do processo `control.exe` - um binário assinado pela Microsoft, presente em todos os sistemas Windows e geralmente na lista de permissões de ferramentas de segurança. Esta cobertura permite contornar restrições baseadas em hash de processo, políticas de AppLocker mal configuradas e soluções de antivírus que confiam implicitamente em binários do sistema operacional. O malware [[s0260-invisimole|InvisiMole]], associado ao grupo APT [[g0047-gamaredon|Gamaredon]] e utilizado em campanhas de espionagem contra governos do Leste Europeu, e o [[s0172-reaver|Reaver]], backdoor usado em campanhas contra organizações governamentais asiáticas, são exemplos documentados de uso desta técnica. > **Técnica pai:** [[t1218-system-binary-proxy-execution|T1218 - System Binary Proxy Execution]] > **Tática:** [[_defense-evasion|Defense Evasion]] --- ## Como Funciona ### Anatomia de um Arquivo CPL Um arquivo `.cpl` é estruturalmente idêntico a uma DLL do Windows com extensão renomeada. Para ser um CPL legítimo, deve exportar a função `CPlApplet` que é chamada pelo `control.exe` durante a inicialização do item. No entanto, como documentado no MITRE ATT&CK, o Windows também carrega CPLs registrados via `DllEntryPoint` mesmo que não exportem `CPlApplet` - abrindo uma lacuna que adversários exploram. ### Vetor 1 - Entrega por Phishing e Execução Direta O arquivo CPL malicioso é entregue como anexo de e-mail ou download web. Em versões mais antigas do Windows, clicar duas vezes em um arquivo `.cpl` o executava diretamente via `control.exe` sem prompts de segurança. Campanhas de [[t1566-phishing|spear-phishing]] com arquivos CPL disfarçados de fatura fiscal ou notificação de entrega têm sido documentadas, especialmente em contextos onde o filtro de extensão de e-mail não bloqueia `.cpl`. ### Vetor 2 - Execução via Linha de Comando O `control.exe` aceita um arquivo CPL como argumento direto: ``` control.exe C:\Users\Public\malicious.cpl ``` Ou via `rundll32.exe`: ``` rundll32.exe shell32.dll,Control_RunDLL malicious.cpl ``` Esta forma é usada em estágios subsequentes de ataque, após acesso inicial, para executar payloads adicionais com menor visibilidade. ### Vetor 3 - Registro no Sistema Adversários podem registrar DLLs maliciosas com extensão `.cpl` na chave de registro: ``` HKCU\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls ``` Esta chave instrui o Painel de Controle a carregar os itens registrados automaticamente. DLLs registradas aqui são carregadas via `DllEntryPoint` mesmo sem exportar `CPlApplet` - permitindo execução de código que não segue o padrão CPL. ### Vetor 4 - Chamada de API Programática Aplicações podem invocar itens do Painel de Controle via API do Windows (`ShellExecute`, `WinExec`), permitindo que malware já em execução carregue um CPL malicioso sem chamar `control.exe` diretamente da linha de comando - dificultando detecção por monitoramento de processos filho. --- ## Attack Flow ```mermaid graph TB A([Acesso Inicial -<br/>Phishing ou Download]) --> B{Vetor de\nEntrega do CPL} B -->|E-mail com .cpl| C[Usuário Abre<br/>Arquivo CPL] B -->|Já no Sistema| D[Execução via<br/>Linha de Comando] B -->|Persistência| E[Registro em<br/>HKCU Control Panel Cpls] C --> F[Windows Executa<br/>control.exe com CPL] D --> F E --> G[control.exe Carrega<br/>DLL na Inicialização<br/>do Painel de Controle] F --> H[DLL Maliciosa<br/>Carregada por control.exe] G --> H H --> I{Ação do\nPayload} I --> J[Download de<br/>Payload Secundário] I --> K[Comúnicação<br/>C2 Inicial] I --> L[Instalação de<br/>Backdoor Persistente] I --> M[Roubo de<br/>Credenciais] J --> N([Comprometimento<br/>Completo do Host]) K --> N L --> N M --> N L --> O[Execução Repetida<br/>cada vez que Painel<br/>de Controle Abre] style A fill:#2d3748,color:#fff style N fill:#9b2335,color:#fff style H fill:#9b2335,color:#fff style O fill:#744210,color:#fff style B fill:#2b6cb0,color:#fff style I fill:#2b6cb0,color:#fff ``` --- ## Exemplos de Uso ### InvisiMole - Espionagem de Longa Duração [[s0260-invisimole|InvisiMole]] é um backdoor modular utilizado em campanhas de espionagem altamente direcionadas contra entidades diplomáticas, militares e governamentais no Leste Europeu e Ucrânia. Analisado pela [[eset|ESET]] em 2018 e observado em campanhas subsequentes, o malware usa arquivos CPL como componentes de seu framework modular - cada módulo é uma DLL renomeada como `.cpl` que adiciona capacidades específicas ao backdoor (captura de tela, gravação de áudio, exfiltração de arquivos). O grupo por trás do InvisiMole tem sobreposição com o [[g0047-gamaredon|Gamaredon]], APT atribuído a atores russos com foco em alvos ucranianos. ### Reaver - Backdoor Focado em Governo [[s0172-reaver|Reaver]] é um backdoor documentado pela [[palo-alto-unit42|Palo Alto Unit 42]] utilizado em campanhas contra organizações governamentais na Ásia. O malware usa o mecanismo CPL como vetor de execução, carregando sua DLL maliciosa através do `control.exe` para estabelecer persistência e comúnicação C2 discreta. A campanha demonstrou uso sofisticado de infraestrutura de comando e controle com domínios gerados dinâmicamente. ### Campanha de Phishing com CPL no Brasil O [[sources|CERT.br]] documentou campanhas de distribuição de malware bancário usando arquivos `.cpl` disfarçados de boletos bancários, comprovantes do PIX e notificações da Receita Federal. Esta abordagem explora o desconhecimento dos usuários sobre a extensão `.cpl` - que não é bloqueada por filtros de e-mail corporativos que bloqueiam `.exe` e `.bat`. O payload resultante frequentemente é um trojan bancário da família [[s0531-grandoreiro|Grandoreiro]] ou [[guildma|Guildma]], ambos com foco no roubo de credenciais de internet banking brasileiro. ### Njrat e AsyncRAT via CPL RATs populares como [[s0385-njrat|njRAT]] e [[s1087-asyncrat|AsyncRAT]] têm sido distribuídos em wrappers CPL em campanhas direcionadas à América Latina. Atacantes geram o CPL malicioso com ferramentas automatizadas que empacotam o payload do RAT em uma DLL com extensão `.cpl`, contornando filtros baseados em extensão e alguns antivírus que não inspecionam arquivos CPL com a mesma rigorosidade que executáveis `.exe`. --- ## Detecção ```yaml # Sigma Rule - T1218.002 Malicious CPL Execution # Detecta execução de arquivos CPL de locais suspeitos via control.exe title: Suspicious Control Panel Item Execution id: d9a6c4e3-0f5b-4d2a-c3e4-5a7b9d0e1f2c status: stable description: > Detecta a execução de arquivos CPL por control.exe a partir de diretórios não-padrão (fora de System32), indicando possível uso malicioso de T1218.002. references: - https://attack.mitre.org/techniques/T1218/002/ - https://www.bleepingcomputer.com/news/security/ author: RunkIntel daté: 2026-03-25 tags: - attack.defense_evasion - attack.t1218.002 logsource: category: process_creation product: windows detection: selection_control_exe: Image|endswith: - '\control.exe' - '\rundll32.exe' CommandLine|contains: - '.cpl' filter_system_cpl: CommandLine|contains: - 'C:\Windows\System32\' - 'C:\Windows\SysWOW64\' condition: selection_control_exe and not filter_system_cpl falsepositives: - Aplicações de terceiros que instalam itens legítimos de Painel de Controle fora de System32 - Scripts de administração que chamam itens CPL de locais alternativos level: high --- # Sigma Rule - Registry-based CPL Persistence title: Control Panel CPL Registered for Persistence id: e0b7d5f4-1a6c-5e3b-d4f5-6b8c0e1f2a3d status: experimental description: > Detecta o registro de arquivos CPL na chave de registro usada para carregar itens personalizados do Painel de Controle - vetor de persistência documentado para T1218.002. tags: - attack.defense_evasion - attack.persistence - attack.t1218.002 logsource: product: windows category: registry_set detection: selection: TargetObject|contains: - '\Software\Microsoft\Windows\CurrentVersion\Control Panel\Cpls' condition: selection falsepositives: - Instalações legítimas de software que adicionam itens ao Painel de Controle level: medium ``` ### Estrategias de Detecção Adicionais | Fonte | Sinal | Descrição | |-------|-------|-----------| | Sysmon Event ID 1 | Linha de comando de `control.exe` | Verificar argumentos com caminhos fora de `System32` | | Sysmon Event ID 7 | DLL carregada por `control.exe` | Verificar DLLs carregadas de `%TEMP%`, `%APPDATA%`, `Downloads` | | Sysmon Event ID 12/13 | Modificação de registro | Monitorar chave `Control Panel\Cpls` para adições | | Sysmon Event ID 11 | Criação de arquivo `.cpl` | Alertar quando arquivo `.cpl` é criado em diretórios de usuário | | AV/EDR | Hash de arquivos `.cpl` | Comparar com assinaturas de CPLs maliciosos conhecidos | | Network | Conexões de `control.exe` | `control.exe` legítimo nunca faz conexões de rede - qualquer tráfego é suspeito | --- ## Mitigação | ID | Mitigação | Descrição | Eficácia | |----|-----------|-----------|----------| | [[m1022-restrict-file-and-directory-permissions\|M1022]] | Restrict File and Directory Permissions | Restringir permissão de escrita nos diretórios de sistema; impedir usuários comuns de gravar em locais de onde `control.exe` carrega CPLs | Alta | | [[m1038-execution-prevention\|M1038]] | Execution Prevention | Configurar AppLocker ou Windows Defender Application Control (WDAC) para bloquear execução de arquivos `.cpl` fora de `System32`; bloquear `rundll32.exe` chamando `shell32.dll,Control_RunDLL` com CPLs externos | Alta | | [[m1040-behavior-prevention-on-endpoint\|M1040]] | Behavior Prevention on Endpoint | EDR moderno com detecção comportamental que monitora execução de CPLs e conexões de rede originadas de `control.exe` | Alta | | [[m1042-disable-or-remove-feature-or-program\|M1042]] | Disable or Remove Feature | Remover ou desabilitar o Painel de Controle via GPO em estações de trabalho de usuários finais onde não é necessário | Média | | - | Filtro de E-mail | Configurar gateways de e-mail para bloquear anexos com extensão `.cpl`, `.cpl.zip`, e variantes | Alta | | - | Conscientização de Usuários | Treinar usuários para não abrir arquivos `.cpl` recebidos por e-mail ou download | Média | ### AppLocker - Regra de Bloqueio de CPL Uma regra AppLocker eficaz para bloquear execução de CPLs fora de locais autorizados: ```xml <FilePathRule Id="..." Action="Deny" UserOrGroupSid="S-1-1-0" Description="Bloquear CPL fora de System32"> <Conditions> <FilePathCondition Path="*\*.cpl"/> </Conditions> <Exceptions> <FilePathCondition Path="%SYSTEM32%\*.cpl"/> <FilePathCondition Path="%SYSWOW64%\*.cpl"/> </Exceptions> </FilePathRule> ``` --- ## Contexto Brasil/LATAM A técnica T1218.002 tem relevância particular no contexto brasileiro por duas razões principais: a ampla distribuição de malware bancário via arquivos CPL e o uso como vetor de phishing explorando contextos fiscais e financeiros específicos do Brasil. ### Boletos, PIX e CPL - Phishing Contextualizado O Brasil possui um ecossistema de pagamentos único com boletos bancários e PIX. Grupos criminosos brasileiros exploram este contexto enviando e-mails de phishing com arquivos `.cpl` disfarçados de: - Boletos bancários vencidos com "segunda via em anexo" - Comprovantes de transação PIX fraudulentos solicitando confirmação - Notificações da Receita Federal sobre declaração de imposto de renda - Multas de trânsito ou notificações de débito com DETRAN Estes e-mails são altamente persuasivos porque exploram contextos com os quais usuários brasileiros interagem regularmente. O [[sources|CERT.br]] documenta regularmente estas campanhas em seus boletins de segurança. ### Trojans Bancários Brasileiros com CPL As famílias de malware bancário mais ativas no Brasil - [[s0531-grandoreiro|Grandoreiro]], [[guildma|Guildma]] (Astaroth) e [[s0528-javali|Javali]] - têm variantes que utilizam CPL como mecanismo de entrega inicial. Uma vez executado o CPL, o malware estabelece persistência e começa a monitorar sessões de internet banking dos principais bancos brasileiros (Bradesco, Itaú, Santander, Banco do Brasil, Caixa Econômica Federal, Nubank). ### Impacto no Setor Financeiro e Corporativo O setor [[financial|financeiro]] é o principal alvo, mas campanhas corporativas também visam o [[government|governo]] (para espionagem e acesso a sistemas fiscais) e empresas de [[energy|energia]] e [[telecommunications|telecomúnicações]]. A técnica é eficaz mesmo contra usuários corporativos com algum treinamento de segurança, pois a extensão `.cpl` é amplamente desconhecida comparada a `.exe` ou `.bat`. ### Recomendações Específicas para o Brasil 1. **Gateway de E-mail:** Bloquear extensões `.cpl` em todos os gateways de e-mail corporativos 2. **EDR/Antivírus:** Garantir que a solução de endpoint monitore execução de `control.exe` com argumentos externos 3. **Treinamento:** Incluir arquivos CPL em programas de conscientização de segurança - a maioria dos usuários brasileiros desconhece esta extensão 4. **Monitoramento CERT.br:** Acompanhar boletins do [[sources|CERT.br]] para IOCs de campanhas CPL ativas na região --- ## Software Associado - [[s0260-invisimole|InvisiMole]] (malware - espionagem, Leste Europeu) - [[s0172-reaver|Reaver]] (malware - backdoor, organizações governamentais asiáticas) --- ## Referências - [MITRE ATT&CK - T1218.002](https://attack.mitre.org/techniques/T1218/002/) - [ESET - InvisiMole Analysis](https://www.welivesecurity.com/2018/06/07/invisimole-equipped-spyware-undercover/) - [Palo Alto Unit 42 - Reaver](https://unit42.paloaltonetworks.com/) - [CERT.br - Boletins de Segurança](https://www.cert.br/docs/alertas/) - [Microsoft - Control Panel Items](https://docs.microsoft.com/en-us/windows/win32/shell/control-panel-applications) - [[t1218-system-binary-proxy-execution|T1218 - System Binary Proxy Execution]] (técnica pai) - [[t1566-phishing|T1566 - Phishing]] - [[t1055-process-injection|T1055 - Process Injection]] - [[t1027-obfuscated-files|T1027 - Obfuscated Files or Information]] - [[m1022-restrict-file-and-directory-permissions|M1022 - Restrict File and Directory Permissions]] - [[m1038-execution-prevention|M1038 - Execution Prevention]]