# T1218.008 - Odbcconf > [!info] Técnica MITRE ATT&CK > **ID:** T1218.008 | **Tática:** Defense Evasion | **Plataformas:** Windows > Adversários abusam do utilitário legítimo `odbcconf.exe` - assinado pela Microsoft - para executar DLLs maliciosas via o parâmetro `REGSVR`, contornando controles de aplicação que não monitoram LOLBins. ## Descrição A técnica **T1218.008 - Odbcconf** é uma subtécnica de [[t1218-system-binary-proxy-execution|T1218 - System Binary Proxy Execution]], classificada dentro da tática de **Defense Evasion**. Ela explora o binário legítimo do Windows `odbcconf.exe` - a ferramenta de configuração de drivers ODBC (Open Database Connectivity) - para carregar e executar DLLs maliciosas de forma que pareça atividade legítima do sistema operacional. `odbcconf.exe` é um utilitário presente em **todas as instalações do Windows** desde o Windows XP. Ele é assinado digitalmente pela Microsoft e tem como função legítima registrar drivers ODBC no sistema. O parâmetro `-A {REGSVR "caminho\para\dll"}` foi projetado para registrar DLLs de driver ODBC, mas adversários o reutilizam para registrar - e portanto **executar** - DLLs arbitrárias. A principal vantagem dessa técnica é que: 1. **Assinatura Microsoft:** `odbcconf.exe` é um binário assinado, passando por verificações de integridade e allowlists baseadas em assinatura 2. **LOLBin clássico:** Binários "Living off the Land" são difíceis de bloquear sem causar impacto operacional, pois fazem parte do próprio Windows 3. **Bypassa Application Control:** Soluções que confiam em executáveis assinados pela Microsoft - incluindo configurações permissivas do AppLocker - não bloqueiam `odbcconf.exe` por padrão 4. **Proxy de execução:** O processo malicioso aparece nos logs como `odbcconf.exe` executando uma operação de banco de dados, não como malware A técnica é funcionalmente similar ao abuso de [[t1218-010-regsvr32|T1218.010 - Regsvr32]], pois ambos registram DLLs como componentes COM. A diferença é que `odbcconf.exe` tem contexto semântico diferente (ODBC vs. registro COM), o que pode enganar analistas menos familiarizados com o binário. **Técnica pai:** [[t1218-system-binary-proxy-execution|T1218 - System Binary Proxy Execution]] --- ## Como Funciona ### O Binário `odbcconf.exe` `odbcconf.exe` está localizado em `C:\Windows\System32\odbcconf.exe` e `C:\Windows\SysWOW64\odbcconf.exe` (versão 32-bit). Seu uso legítimo é configurar drivers ODBC via linha de comando: ```cmd # Uso legítimo: registrar driver ODBC odbcconf.exe /A {REGSVR "C:\Windows\System32\sqlsrv32.dll"} # Uso legítimo: adicionar fonte de dados odbcconf.exe /A {CONFIGSYSDSN "SQL Server" "DSN=MeuDSN|Server=srv|Database=db"} ``` ### Abuso para Execução de DLL Maliciosa O fluxo de abuso é direto. O adversário compila ou obtém uma DLL com código malicioso e a executa via: ```cmd odbcconf.exe /S /A {REGSVR "C:\Users\Public\malicious.dll"} ``` O parâmetro `/S` suprime caixas de diálogo (modo silencioso). Quando `odbcconf.exe` processa a ação `REGSVR`, ele internamente chama `LoadLibrary()` seguido de `DllRegisterServer()` na DLL específicada - executando qualquer código presente nessa função de exportação. **Variações observadas em ataques:** ```cmd # Variação 1: DLL em diretório de usuário odbcconf.exe /S /A {REGSVR "C:\Users\%USERNAME%\AppData\Roaming\payload.rsp"} # Variação 2: Extensão não-DLL para evasão por extensão odbcconf.exe /S /A {REGSVR "C:\ProgramData\updaté.txt"} # Variação 3: Usando arquivo de resposta (.rsp) para ofuscar argumentos # O arquivo response.rsp contém: /A {REGSVR "malicious.dll"} odbcconf.exe @response.rsp # Variação 4: Executado via cmd com redirecionamento para ocultar output cmd /c "odbcconf.exe /S /A {REGSVR ""C:\Temp\stage2.dll""}" > nul 2>&1 ``` ### Estrutura da DLL Maliciosa Para funcionar via `odbcconf.exe`, a DLL precisa exportar a função `DllRegisterServer`. Essa função é chamada automaticamente quando `REGSVR` é processado: ```c // Estrutura mínima de uma DLL abusada via odbcconf/regsvr32 BOOL WINAPI DllMain(HINSTANCE hinstDLL, DWORD fdwReason, LPVOID lpvReserved) { return TRUE; } // Esta função é chamada pelo odbcconf.exe via REGSVR __declspec(dllexport) HRESULT STDAPICALLTYPE DllRegisterServer(void) { // Código malicioso executado aqui // Ex: shellcode loader, beacon stager, downloader return S_OK; } ``` ### Arquivo de Resposta (.rsp) Uma variante de evasão utiliza arquivos de resposta - arquivos de texto comuns que o `odbcconf.exe` interpreta como argumentos de linha de comando quando prefixados com `@`: ``` # Conteúdo de "updaté.rsp": /S /A {REGSVR "C:\ProgramData\stage2.dll"} ``` ```cmd odbcconf.exe @"C:\ProgramData\updaté.rsp" ``` Isso dificulta a detecção por regras que buscam o padrão `REGSVR` nos argumentos do processo, pois os argumentos reais estão em um arquivo separado. --- ## Attack Flow ```mermaid graph TB A([Acesso Inicial]) --> B[Entrega de Payload<br/>DLL Maliciosa + Stager] B --> C{Método de\nEntrega da DLL} C -->|Download via C2| D[DLL em diretório<br/>writeable do usuário] C -->|Phishing/Macro| E[DLL extraída de<br/>documento Office] C -->|Via outro malware| F[DLL dropada por<br/>stage anterior] D --> G[Execução via odbcconf.exe] E --> G F --> G G --> H{Variante de\nChamada} H -->|Direta| I[odbcconf.exe /S /A<br/>REGSVR payload.dll] H -->|Arquivo RSP| J[odbcconf.exe @updaté.rsp] H -->|Extensão falsa| K[odbcconf.exe /S /A<br/>REGSVR payload.txt] I --> L[odbcconf.exe chama<br/>LoadLibrary + DllRegisterServer] J --> L K --> L L --> M[Código Malicioso<br/>Executa no Processo odbcconf.exe] M --> N{Objetivo do\nPayload} N -->|RAT/C2| O[Estabelecer Canal<br/>de Comando e Controle] N -->|Loader| P[Injetar Shellcode<br/>em Processo Legítimo] N -->|Credential Theft| Q[Dump de Credenciais<br/>via LSASS] N -->|Persistence| R[Instalar Mecanismo<br/>de Persistência] O --> S[Operações Pós-Comprometimento] P --> S Q --> S R --> S ``` --- ## Exemplos de Uso ### Cobalt Group - Ataques a Bancos O [[g0080-cobalt-group|Cobalt Group]] (também conhecido como Cobalt Gang) é um grupo criminoso de origem provável na Europa Oriental especializado em ataques contra instituições financeiras e processadoras de cartões de crédito. O grupo é responsável por roubos de centenas de milhões de dólares de bancos ao redor do mundo, incluindo na América Latina. **Uso documentado de odbcconf.exe:** Em campanhas documentadas pela Group-IB e outras empresas de threat intelligence, o Cobalt Group utilizou `odbcconf.exe` como parte de uma cadeia de execução multi-estágio: 1. Email de phishing com anexo malicioso entregava um downloader leve 2. O downloader baixava uma DLL para um diretório writeable 3. `odbcconf.exe /S /A {REGSVR "C:\ProgramData\msupdaté.dll"}` carregava a DLL 4. A DLL stageava o [[s0154-cobalt-strike|Cobalt Strike]] Beacon 5. O Beacon estabelecia comúnicação com o C2 do grupo A escolha de `odbcconf.exe` permitia ao grupo contornar políticas de AppLocker configuradas para bloquear execução de DLLs não assinadas diretamente - pois a DLL era **carregada** por um processo assinado da Microsoft. ### Bumblebee - Loader Modular O [[s1039-bumblebee|Bumblebee]] é um malware loader descoberto em 2022, associado a múltiplos grupos criminosos como substituto do IcedID/BokBot. Foi distribuído em campanhas de phishing com documentos ISO e LNK. **Uso de odbcconf.exe:** Em amostras analisadas pelo Proofpoint e pela empresa de segurança Cybereason, o Bumblebee utilizava a seguinte cadeia: - Arquivo LNK invocava `odbcconf.exe` com uma DLL maliciosa - A DLL executava o loader principal do Bumblebee na memória - O Bumblebee então carregava payloads finais: Cobalt Strike, Sliver, ou ransomware ### Raspberry Robin - Worm via USB O [[s1130-raspberry-robin|Raspberry Robin]] é um worm distribuído via dispositivos USB infectados que usa LOLBins extensivamente para execução e evasão. Em análise técnica da Microsoft, foi documentado o uso de `odbcconf.exe` como parte de sua cadeia de execução para carregar DLLs maliciosas baixadas de infraestrutura QNAP comprometida. O Raspberry Robin serviu como vetor inicial para múltiplos grupos, incluindo operadores do [[g0119-indrik-spider|Evil Corp]], LockBit affiliates e DEV-0950 (FIN11), demonstrando como um único LOLBin pode ser explorado por múltiplos atores em campanhas distintas. ### Campanhas com Extensões Falsas Uma variante de evasão detectada em campanhas de 2022-2023 usava DLLs com extensões não convencionais (`.txt`, `.dat`, `.bin`, `.rsp`) para contornar regras de detecção que monitoravam específicamente `REGSVR` seguido de `.dll`: ```cmd odbcconf.exe /S /A {REGSVR "C:\Users\Public\Documents\msupdaté.dat"} ``` Isso funciona porque `odbcconf.exe` não válida a extensão do arquivo - apenas tenta chamá-lo como uma DLL Windows padrão. --- ## Detecção ### Estrategias Gerais A detecção eficaz requer combinar múltiplas fontes de telemetria: | Fonte | Sinal | Ferramenta | |-------|-------|-----------| | Process Creation | `odbcconf.exe` com argumento `REGSVR` | Sysmon EID 1, EDR | | Command Line | Presença de `{REGSVR` ou `@*.rsp` nos args | SIEM | | Image Load | DLLs não assinadas carregadas por `odbcconf.exe` | Sysmon EID 7 | | Network | `odbcconf.exe` gerando conexão de rede de saída | Sysmon EID 3 | | File | Criação de arquivos `.rsp` em diretórios de usuário | Sysmon EID 11 | | Parent Process | `odbcconf.exe` lançado por `cmd.exe`, `powershell.exe`, `wscript.exe` | EDR | ### Regra Sigma - Execução de REGSVR via Odbcconf ```yaml title: Odbcconf Proxy Execution via REGSVR Action id: 5f43b1c8-9e2d-4a77-b3f5-dc8e7a921c33 status: stable description: > Detecta o uso de odbcconf.exe com a ação REGSVR para carregar DLLs arbitrárias - padrão de abuso documentado para proxy execution de payloads maliciosos contornando application control. references: - https://attack.mitre.org/techniques/T1218/008/ - https://lolbas-project.github.io/lolbas/Binaries/Odbcconf/ - https://www.proofpoint.com/us/blog/threat-insight/bumblebee-transformer author: RunkIntel daté: 2026-03-25 tags: - attack.defense_evasion - attack.t1218.008 logsource: category: process_creation product: windows detection: selection: Image|endswith: '\odbcconf.exe' CommandLine|contains: - 'REGSVR' - '/A {REGSVR' filter_legitimate: # Excluir caminhos legítimos de drivers ODBC da Microsoft e vendors conhecidos CommandLine|contains: - '\System32\sqlsrv32.dll' - '\System32\odbcjt32.dll' - '\System32\mstext40.dll' condition: selection and not filter_legitimate falsepositives: - Instalação legítima de drivers ODBC de terceiros - Scripts de configuração de banco de dados level: high ``` ### Regra Sigma - Odbcconf com Arquivo de Resposta Suspeito ```yaml title: Odbcconf Executed with Response File from Suspicious Path id: 7a2b9f41-3d8c-4e55-a7b2-fe1c3a087d22 status: experimental description: > Detecta odbcconf.exe sendo executado com um arquivo de resposta (@arquivo) localizado em diretórios temporários ou de usuário - padrão de evasão que oculta a ação REGSVR dos argumentos do processo. references: - https://attack.mitre.org/techniques/T1218/008/ author: RunkIntel daté: 2026-03-25 tags: - attack.defense_evasion - attack.t1218.008 logsource: category: process_creation product: windows detection: selection: Image|endswith: '\odbcconf.exe' CommandLine|contains: '@' CommandLine|contains: - '\Temp\' - '\Users\Public\' - '\ProgramData\' - '\AppData\' condition: selection falsepositives: - Uso legítimo de arquivos de resposta para configuração de ODBC em scripts de implantação level: medium ``` ### Regra Sigma - DLL Não Assinada Carregada por Odbcconf ```yaml title: Unsigned DLL Loaded by Odbcconf id: 9c3e7b28-1f4a-4d66-8e3c-ab5f2c914e55 status: experimental description: > Detecta odbcconf.exe carregando uma DLL sem assinatura digital válida da Microsoft ou de publishers conhecidos - indica possível abuso para execução de payload malicioso. references: - https://attack.mitre.org/techniques/T1218/008/ author: RunkIntel daté: 2026-03-25 tags: - attack.defense_evasion - attack.t1218.008 logsource: category: image_load product: windows detection: selection: Image|endswith: '\odbcconf.exe' Signed: 'false' filter_system: ImageLoaded|startswith: - 'C:\Windows\System32\' - 'C:\Windows\SysWOW64\' condition: selection and not filter_system falsepositives: - Drivers ODBC legítimos de terceiros sem assinatura level: high ``` --- ## Mitigação | ID | Mitigação | Descrição | Prioridade | |----|-----------|-----------|-----------| | M1042 | [[m1042-disable-or-remove-feature-or-program\|M1042 - Disable or Remove Feature or Program]] | Avaliar se `odbcconf.exe` é necessário no ambiente. Em workstations sem necessidade de configuração ODBC ad-hoc, pode ser renomeado ou removido do PATH. Bloquear via política de restrição de software. | Alta | | M1038 | [[m1038-execution-prevention\|M1038 - Execution Prevention]] | Configurar AppLocker ou WDAC para bloquear `odbcconf.exe` para usuários não administradores. Criar regras específicas que permitam apenas argumentos de configuração ODBC legítimos. Se não for possível bloquear o binário, implementar detecção baseada em argumentos de linha de comando. | Alta | **Controles complementares recomendados:** - **Monitoramento de linha de comando:** Habilitar auditoria de criação de processos (`Audit Process Creation` via GPO) com inclusão de linha de comando no Windows Event Log (EID 4688) - **Sysmon:** Configurar Sysmon com EIDs 1 (process creation), 7 (image load) e 3 (network connection) para cobrir os vetores de abuso do odbcconf - **EDR com análise de LOLBins:** Assegurar que a solução EDR implantada tem regras específicas para LOLBins, incluindo `odbcconf.exe` - **Baseline de comportamento:** Mapear usos legítimos de `odbcconf.exe` no ambiente para reduzir falsos positivos em alertas de detecção - **Network monitoring:** Alertar para conexões de rede geradas por `odbcconf.exe` - não há cenário legítimo em que esse binário precise de conectividade de rede --- ## Contexto Brasil/LATAM ### Cobalt Group e Setor Financeiro Brasileiro O [[g0080-cobalt-group|Cobalt Group]] historicamente direcionou ataques a bancos e processadoras de pagamento em múltiplos países da América Latina, incluindo o Brasil. O setor bancário brasileiro - um dos maiores do mundo em termos de transações digitais e PIX - é um alvo de alto valor para grupos financeiramente motivados. O uso de LOLBins como `odbcconf.exe` é especialmente relevante no contexto brasileiro por algumas razões: 1. **Maturidade variável de detecção:** Enquanto grandes bancos brasileiros possuem SOCs maduros, pequenas e médias instituições financeiras, cooperativas de crédito e fintechs frequentemente não têm regras de detecção específicas para LOLBins menos conhecidos como `odbcconf.exe` (em contraste com `powershell.exe` ou `certutil.exe` que são mais conhecidos). 2. **Ecossistema de parceiros:** A cadeia de fornecedores do setor financeiro brasileiro inclui integradores, processadoras de pagamento e fornecedores de software que podem ser alvo inicial com menor maturidade de segurança, sendo usados como vetor para atingir o alvo final. 3. **Bumblebee e Raspberry Robin no Brasil:** Campanha de distribuição do Bumblebee via arquivos ISO em phishing teve presença documentada no Brasil em 2022-2023, e o Raspberry Robin - que usa `odbcconf.exe` - tem ampla distribuição global incluindo América Latina. ### Grupos Brasileiros Adotando LOLBins Grupos de crime cibernético de origem brasileira, conhecidos principalmente por trojans bancários como [[s0531-grandoreiro|Grandoreiro]], [[mekotio|Mekotio]] e Guildma, têm historicamente preferido técnicas de execução mais simples. No entanto, à medida que as defesas evoluem, há observação de adoção crescente de TTPs de evasão mais sofisticados - incluindo LOLBins - nas iterações mais recentes desses malwares. **Recomendação prioritária:** Organizações no setor financeiro brasileiro devem incluir `odbcconf.exe` com argumentos `REGSVR` em suas regras de detecção SIEM/EDR como item de alta prioridade, dado o perfil de ameaça documentado contra o setor. --- ## Referências - [MITRE ATT&CK - T1218.008](https://attack.mitre.org/techniques/T1218/008/) - [LOLBAS Project - Odbcconf](https://lolbas-project.github.io/lolbas/Binaries/Odbcconf/) - [Proofpoint - Bumblebee Loader Analysis](https://www.proofpoint.com/us/blog/threat-insight/bumblebee-transformer) - [Microsoft - Raspberry Robin worm analysis](https://www.microsoft.com/en-us/security/blog/2022/10/27/raspberry-robin-worm-part-of-larger-ecosystem-facilitating-pre-ransomware-activity/) - [Group-IB - Cobalt Group Technical Analysis](https://www.group-ib.com/resources/research-hub/cobalt/) - [[g0080-cobalt-group|Cobalt Group]] - principal ator documentado usando esta técnica - [[s1039-bumblebee|Bumblebee]] - loader que abusa de odbcconf.exe - [[s1130-raspberry-robin|Raspberry Robin]] - worm com uso documentado de odbcconf - [[t1218-010-regsvr32|T1218.010 - Regsvr32]] - técnica irmã com vetor similar - [[t1218-system-binary-proxy-execution|T1218 - System Binary Proxy Execution]] - técnica pai --- *Fonte: [MITRE ATT&CK - T1218.008](https://attack.mitre.org/techniques/T1218/008/)*