# T1553.005 - Mark-of-the-Web Bypass
> [!info] Técnica MITRE ATT&CK
> **ID:** T1553.005 | **Tática:** Defense Evasion | **Plataforma:** Windows
> **Técnica pai:** [[t1553-subvert-trust-controls|T1553 - Subvert Trust Controls]]
## Descrição
A técnica **Mark-of-the-Web (MotW) Bypass** permite que adversários contornem os controles de segurança do Windows que identificam arquivos originados da Internet. Quando um arquivo é baixado de uma fonte externa - navegadores, clientes de e-mail, aplicações de mensagem - o Windows aplica automaticamente uma Alternaté Data Stream (ADS) NTFS chamada `Zone.Identifier` ao arquivo. Esse marcador é conhecido como o **Mark-of-the-Web**.
O MotW define a "zona de segurança" de origem do arquivo:
- **Zona 0** - Computador local
- **Zona 1** - Intranet local
- **Zona 2** - Sites confiáveis
- **Zona 3** - Internet (ponto de partida para controles de segurança)
- **Zona 4** - Sites restritos
Arquivos marcados com MotW são submetidos a verificações de segurança adicionais:
- **Microsoft Office** (desde Office 2010): abre o arquivo em **Modo de Exibição Protegida** (Protected View), bloqueando macros e conteúdo ativo por padrão
- **Windows Defender SmartScreen**: compara o executável com uma lista de aplicações conhecidas e confiáveis; se desconhecido, bloqueia a execução e exibe aviso ao usuário
- **Windows Script Host** e outros interpretadores: podem recusar execução de scripts marcados
Adversários exploram o fato de que **formatos de contêiner** - arquivos comprimidos e imagens de disco - são marcados com MotW quando baixados, mas os **arquivos extraídos do interior** frequentemente **não herdam** o marcador. Como o MotW depende de NTFS ADS, qualquer sistema de arquivos que não suporte ADS (como o sistema interno de imagens ISO 9660 ou UDF) simplesmente não tem onde armazenar o marcador, resultando em arquivos tratados como locais.
Formatos de contêiner amplamente explorados incluem:
- **Imagens de disco ISO (.iso)** - montadas nativamente no Windows 10+
- **Virtual Hard Disk (.vhd, .vhdx)** - montadas pelo Windows sem credenciais administrativas
- **Arquivos comprimidos legacy (.arj, .rar com versões específicas)** - alguns extratores não propagam o MotW
- **Arquivos ZIP com senhas** - quando protegidos por senha, alguns extratores não aplicam MotW nos arquivos internos
## Como Funciona
O ataque baseia-se em três princípios técnicos fundamentais:
**1. Lacuna de herança de MotW**
O Windows aplica MotW ao contêiner (ex: `malware.iso`), mas quando o usuário monta a imagem, o Windows cria um volume virtual temporário. Arquivos acessados nesse volume são lidos diretamente do sistema de arquivos interno da ISO (ISO 9660/UDF), que não suporta NTFS ADS. Portanto, arquivos como `setup.exe` dentro da ISO não possuem `Zone.Identifier`.
**2. Exploração de associações de arquivo**
Desde o Windows 8, arquivos `.iso` são abertos com um duplo clique, montando a imagem automaticamente. O usuário vê uma jánela do Explorer com os arquivos internos - aparentemente "normais" - sem nenhum aviso de segurança adicional.
**3. Engenharia social integrada**
O adversário cria uma ISO ou VHD com conteúdo visual convincente: um arquivo `.lnk` (atalho) com ícone de PDF, Word ou instalador de software legítimo. O usuário clica e executa o payload sem ver alertas do SmartScreen ou do Protected View.
**Fluxo técnico detalhado:**
```
Download: malware.iso → Zone.Identifier = "ZoneId=3" (MotW aplicado)
Montagem: Windows cria volume virtual (drive letter temporária)
Leitura: payload.exe lido do volume UDF → SEM ADS → SEM Zone.Identifier
Execução: SmartScreen NÃO é acionado → payload executa sem aviso
```
**Variante com VHD:**
Arquivos `.vhd` têm comportamento similar: o disco virtual pode ser montado com duplo clique, e seu sistema de arquivos NTFS interno pode conter arquivos. Porém, arquivos copiados *para dentro* do VHD por um adversário não recebem MotW automaticamente.
## Attack Flow
```mermaid
graph TB
A["🌐 Entrega via Phishing/Web<br/>(ISO/VHD/ZIP com senha)"] --> B["📥 Download do Contêiner<br/>(Zone.Identifier = ZoneId=3 aplicado ao .iso)"]
B --> C["🖱️ Usuário Monta a ISO<br/>(duplo clique - automático no Windows 10+)"]
C --> D["📂 Explorer exibe arquivos internos<br/>SEM aviso de segurança"]
D --> E{"🎭 Engenharia Social<br/>(ícone de PDF, instalador, documento)"}
E --> F["⚡ Execução do Payload<br/>(payload.exe SEM Zone.Identifier)"]
F --> G{"🛡️ SmartScreen Bypass"}
G --> H["✅ SmartScreen NÃO acionado<br/>(arquivo tratado como local)"]
H --> I["🔓 Execução Livre<br/>(sem Protected View, sem bloqueio)"]
I --> J["🚀 Próxima Fase do Ataque<br/>(Loader → RAT → Ransomware)"]
style A fill:#c0392b,color:#fff
style F fill:#e74c3c,color:#fff
style H fill:#e67e22,color:#fff
style I fill:#8e44ad,color:#fff
style J fill:#2c3e50,color:#fff
```
## Exemplos de Uso
### TA505 - Entrega do Dridex e FlawedAmmyy via ISO
O grupo [[ta505|TA505]], responsável por campanhas massivas de distribuição de malware bancário, adotou amplamente arquivos ISO como vetor de entrega a partir de 2021. Em campanhas direcionadas a instituições financeiras europeias e brasileiras, o grupo enviava e-mails de phishing com arquivos `.iso` anexos ou links de download. Dentro das imagens, [[s0384-dridex|Dridex]] e [[flawedammyy|FlawedAmmyy RAT]] eram empacotados com ícones de faturas e documentos fiscais.
### APT29 - Operação de Espionagem com VHD
O grupo [[g0016-apt29|APT29]] (Cozy Bear), vinculado ao SVR russo, foi observado utilizando arquivos `.vhd` em campanhas de espionagem contra organizações governamentais e think tanks. Em 2021, pesquisadores documentaram campanhas onde e-mails de spear-phishing entregavam arquivos VHD contendo um atalho `.lnk` malicioso que executava um loader em PowerShell, eventualmente instalando [[s0154-cobalt-strike|Cobalt Strike]] como payload final.
### Campanha de Distribuição do QakBot via ISO (2022–2023)
O [[s0650-qakbot|QakBot]] (também chamado QBot) foi um dos malwares que mais se beneficiaram da adoção de ISOs após a Microsoft ter desabilitado macros de Office por padrão em 2022. Campanhas documentadas pela Talos Intelligence e pelo CERT-UA mostram um padrão consistente:
1. E-mail com link para download de ISO hospedada em infraestrutura comprometida
2. ISO contendo um arquivo `.img` (imagem de disco secundária) com um `.lnk` visível
3. O `.lnk` executa `cmd.exe` apontando para um DLL dentro da imagem
4. DLL carrega QakBot em memória via [[t1055-process-injection|Process Injection]]
### Amadey Loader via ZIP com senha
O [[s1025-amadey|Amadey]], loader modular amplamente utilizado como serviço (MaaS), adotou ZIPs protegidos por senha para contornar MotW. A senha é fornecida no corpo do e-mail de phishing, e usuários que extraem o ZIP com determinados extratores (incluindo versões antigas do WinRAR) recebem os arquivos sem o MotW herdado.
## Detecção
### Regra Sigma - Montagem de ISO/VHD Seguida de Execução
```yaml
title: Execution from Mounted Disk Image (MotW Bypass)
id: a7f2c3d4-5e6f-7890-abcd-ef1234567890
status: experimental
description: |
Detecta execução de processo originado de uma unidade montada
(letra de drive associada a imagem ISO ou VHD), indicando possível
bypass de Mark-of-the-Web.
author: RunkIntel
daté: 2026-03-25
references:
- https://attack.mitre.org/techniques/T1553/005/
- https://www.bleepingcomputer.com/news/security/
logsource:
category: process_creation
product: windows
detection:
selection:
# Processo iniciado de unidade que não é C:, D: fixo ou unidade de rede mapeada
Image|re: '^[E-Z]:\\.*\.(exe|dll|js|vbs|bat|cmd|ps1)