t1564-001-hidden-files-and-directories

# T1564.001 - Hidden Files and Directories ## Técnica Pai Esta é uma sub-técnica de [[t1564-hide-artifacts|T1564 - T1564 - Hide Artifacts]]. ## Descrição Adversários configuram arquivos e diretórios como ocultos para evadir mecanismos de detecção e dificultar a análise forense. A maioria dos sistemas operacionais implementa o conceito de arquivo oculto para proteger arquivos críticos de modificações acidentais por usuários comuns - e essa funcionalidade é explorada por atacantes para esconder implantes, ferramentas de ataque, dados coletados e arquivos de configuração de C2 em locais que passam despercebidos durante triagem inicial de incidentes. No Linux e macOS, um simples ponto (`.`) no início do nome do arquivo ou diretório o torna invisível para o `ls` padrão e para o Finder do macOS. Arquivos como `.bashrc`, `.ssh/` e `.config/` são comuns e legítimos - o que torna os maliciosos práticamente indistinguíveis visualmente. No macOS, o atributo `UF_HIDDEN` oferece uma camada adicional de ocultação, impedindo visualização mesmo em buscas do Finder. No Windows, o binário nativo `attrib.exe` pode marcar qualquer arquivo ou diretório com o atributo `+H` (hidden) ou `+S` (system), tornando-o invisível no Explorer e nos comandos `dir` sem parâmetros especiais. Atacantes também nomeiam arquivos usando apenas espaços ou caracteres Únicode de largura zero para confundir ferramentas de análise. **Contexto Brasil/LATAM:** O grupo [[g1016-fin13|FIN13]], especializado em ataques ao setor financeiro mexicano e brasileiro, usa sistematicamente diretórios ocultos para esconder ferramentas de movimentação lateral e exfiltração em servidores comprometidos de bancos e processadoras de pagamento. O grupo [[g0032-lazarus-group|Lazarus Group]], com histórico de operações financeiras na América Latina, oculta componentes de seus implantes em subpastas ocultas do sistema. Em investigações de resposta a incidentes no Brasil, arquivos de configuração de RATs e backdoors escondidos em diretórios ocultos dentro de `%APPDATA%` e `/home/{usuário}/.config/` são achados frequentes - muitas vezes não detectados por varrimentos de AV que ignoram arquivos ocultos por padrão. ## Attack Flow ```mermaid graph TB A[Acesso Inicial] --> B[Entrega do Implante] B --> C["T1564.001<br/>Arquivos e Diretórios Ocultos"]:::highlight C --> D[Persistência] C --> E[Evasão de Detecção] classDef highlight fill:#e74c3c,color:#fff ``` ## Como Funciona ### 1. Preparação O adversário identifica o local ideal para ocultar seus artefatos no sistema comprometido. Em Linux, diretórios como `/tmp/.X11/`, `/var/tmp/.cache/` ou `~/.config/.hidden/` são comuns por misturarem-se com estruturas legítimas do sistema. No Windows, subpastas ocultas dentro de `%APPDATA%`, `%TEMP%` e `C:\ProgramData\` são frequentemente usadas. O atacante pode criar um diretório com nome começando com ponto (Linux/macOS) ou usar `attrib.exe +H +S` (Windows) para tornar a pasta invisível. Em alguns casos, o nome do arquivo é propositalmente confundível com arquivos legítimos do sistema operacional. ### 2. Execução Com o diretório oculto criado, o adversário copia ou baixa seus artefatos para esse local - implantes, ferramentas de pós-exploração, arquivos de configuração de C2, credenciais coletadas e dados em staging para exfiltração. No Windows, a sequência típica é: `mkdir C:\ProgramData\.svc` seguido de `attrib +H +S "C:\ProgramData\.svc"`. No Linux, o simples `mkdir ~/.config/.sshd` já oculta o diretório. Malwares como [[s0013-plugx|PlugX]] e [[g1049-applejeus|AppleJeus]] criam estruturas inteiras de diretórios ocultos para organizar seus componentes modulares. Arquivos nomeados apenas com espaços ou com extensões enganosas (ex: `svchost.exe ` com espaço ao final) são variações desta técnica. ### 3. Pós-execução Os arquivos ocultos são referênciados por mecanismos de persistência - chaves de registro, tarefas agendadas, serviços do sistema ou entradas em `/etc/cron.d/` - garantindo que o implante sejá executado mesmo após reinicializações sem que o arquivo sejá facilmente localizado durante triagem. O diretório oculto pode também funcionar como staging point para [[t1560-001-archive-via-utility|arquivamento e exfiltração de dados]], com os arquivos compactados sendo criados e deletados rapidamente para minimizar a jánela de detecção. Em casos de dupla extorsão por ransomware, dados coletados ficam em staging oculto por dias antes da exfiltração. ## Detecção **Event IDs relevantes (Windows e Linux):** | Event ID | Fonte | Descrição | |----------|-------|-----------| | 4688 | Security (Windows) | Criação de processo - monitorar `attrib.exe` com argumentos `+H`, `+S` ou `+H +S` | | 1 | Sysmon | Process Creaté - `attrib.exe` executado em diretórios incomuns como `%APPDATA%`, `%TEMP%`, `C:\ProgramData\` | | 11 | Sysmon | FileCreaté - criação de arquivos em caminhos contendo componentes começando com `.` em Windows, ou em `/tmp/`, `/dev/shm/` com nomes de ponto em Linux | | 4663 | Security (Windows) | Acesso a objeto - tentativas de acesso a arquivos com atributos de sistema oculto fora de processos conhecidos | | auditd | Linux | `mkdir` ou `touch` de caminhos começando com `.` em diretórios home de usuário ou em `/tmp/`, `/var/tmp/` | **Sigma Rule:** ```yaml title: Criação Suspeita de Arquivo ou Diretório Oculto (T1564.001) id: d7f3a2c1-55e8-4b0a-c1f4-8e2d3a5b9c7f status: experimental description: Detecta uso de attrib.exe para ocultar arquivos e diretórios em locais incomuns - padrão associado a evasão de defesas e staging de implantes. references: - T1564.001 logsource: category: process_creation product: windows detection: selection_attrib_hide: Image|endswith: '\attrib.exe' CommandLine|contains: - '+H' - '+S' selection_suspicious_path: CommandLine|contains: - '\AppData\' - '\Temp\' - '\ProgramData\' - '\Users\Public\' - '\Windows\Temp\' filter_legit_installer: ParentImage|endswith: - '\msiexec.exe' - '\setup.exe' - '\install.exe' condition: selection_attrib_hide and selection_suspicious_path and not filter_legit_installer timeframe: 5m falsepositives: - Instaladores legítimos que ocultam diretórios de configuração - Ferramentas de backup e sincronização corporativas - Softwares de segurança que usam pastas ocultas para proteção anti-tamper level: medium tags: - attack.defense_evasion - attack.t1564.001 ``` ## Mitigação | Controle | Mitigação | Recomendação Prática para Organizações Brasileiras | |----------|-----------|-----------------------------------------------------| | Monitoramento de Sistema de Arquivos | Auditoria de atributos | Habilitar auditoria de acesso a objetos (Object Access Auditing) no Windows para rastrear mudanças de atributos em diretórios sensíveis. Em Linux, usar `auditd` com regras para `mkdir` e `chmod` em diretórios home e temporários. | | EDR Comportamental | Detecção de padrões | Configurar EDR para correlacionar criação de diretório oculto com downloads de rede ou execução de processos no mesmo usuário/contexto. Soluções usadas no Brasil como CrowdStrike Falcon e Microsoft Defender for Endpoint têm detecções para esta técnica. | | Varredura com Parâmetros Especiais | Visibilidade total | Garantir que varreduras de AV e ferramentas de IR sejam configuradas para incluir arquivos e diretórios ocultos (`dir /a /s` no Windows, `find / -name ".*"` no Linux). Em muitas organizações brasileiras, a configuração padrão do AV ignora arquivos do sistema, criando ponto cego. | | Baseline de Estrutura de Diretórios | Detecção de anomalias | Manter imagem golden de referência das estruturas de diretório padrão para comparação via FIM (File Integrity Monitoring). Qualquer novo diretório oculto fora da baseline deve gerar alerta. Tripwire e OSSEC/Wazuh são opções amplamente usadas no mercado brasileiro. | ## Threat Actors - [[g0007-apt28|APT28]] - APT russo (Fancy Bear) que usa diretórios ocultos no Linux e Windows para armazenar componentes de implantes e ferramentas de exfiltração em campanhas de espionagem governamental - [[g1039-redcurl|RedCurl]] - grupo de espionagem corporativa que usa arquivos e diretórios ocultos para esconder scripts PowerShell e ferramentas de coleta de documentos em redes corporativas - [[g1014-luminousmoth|LuminousMoth]] - APT asiático que oculta componentes de seus implantes em diretórios escondidos para manter persistência de longo prazo em sistemas comprometidos - [[g0032-lazarus-group|Lazarus Group]] - grupo norte-coreano com operações financeiras na LATAM que usa pastas ocultas no Windows para staging de dados antes da exfiltração de sistemas bancários - [[g0129-mustang-panda|Mustang Panda]] - APT chinês que cria diretórios ocultos para armazenar componentes do [[s0013-plugx|PlugX]] e dados coletados de organizações governamentais e diplomáticas - [[g0081-tropic-trooper|Tropic Trooper]] - grupo asiático que usa arquivos ocultos para persistência de longo prazo em sistemas de transporte e governo, misturando-se com estruturas de diretório legítimas - [[g0046-fin7|FIN7]] - grupo financeiro que usa pastas ocultas para staging de ferramentas de POS e dados de cartão coletados antes da exfiltração de redes de varejo e hotelaria - [[g0106-rocke|Rocke]] - grupo de cryptomining que cria diretórios ocultos em Linux para armazenar binários de mineração e scripts de persistência em servidores comprometidos no Brasil e na região - [[g1016-fin13|FIN13]] - grupo especializado em ataques ao setor financeiro LATAM que usa arquivos ocultos extensivamente em servidores de bancos mexicanos e brasileiros para manter acesso de longo prazo - [[g0134-transparent-tribe|Transparent Tribe]] - APT paquistanês que usa diretórios ocultos para esconder implantes Python e Windows em campanhas de espionagem contra forças militares e governamentais ## Software Associado - [[s0650-qakbot|QakBot]] - trojan bancário que cria pastas ocultas em `%APPDATA%` para armazenar módulos, configuração de C2 e dados coletados de sistemas financeiros, incluindo alvos no Brasil - [[s0658-xcsset|XCSSET]] - malware macOS que se esconde em projetos Xcode usando diretórios ocultos, afetando desenvolvedores que compartilham projetos comprometidos - [[s1153-cuckoo-stealer|Cuckoo Stealer]] - stealer macOS que usa pastas ocultas para armazenar dados coletados antes de enviá-los ao C2, evitando detecção por ferramentas de monitoramento - [[s0660-clambling|Clambling]] - backdoor chinês que usa diretórios ocultos e nomes de arquivo imitando componentes legítimos do Windows para evasão de detecção - [[s0612-wastedlocker|WastedLocker]] - ransomware do grupo [[g0119-indrik-spider|Evil Corp]] que usava pastas ocultas para staging de ferramentas de movimentação lateral antes de iniciar criptografia - [[s0013-plugx|PlugX]] - RAT modular amplamente usado por APTs chineses que organiza seus componentes em estruturas de diretórios ocultos para dificultar remoção e análise forense - [[s0369-cointicker|CoinTicker]] - dropper macOS de criptomoeda que instala backdoors em diretórios ocultos, disfarçado como aplicativo legítimo de ticker de preços - [[s0428-poetrat|PoetRAT]] - RAT Python que usa pastas ocultas no Windows para armazenar seus módulos e dados coletados em campanhas de espionagem industrial - [[g1049-applejeus|AppleJeus]] - malware norte-coreano direcionado a exchanges de criptomoedas que usa diretórios ocultos no macOS para esconder componentes e configurações de C2 - [[s1219-reptile|REPTILE]] - rootkit Linux que cria arquivos e diretórios ocultos no sistema de arquivos para esconder sua presença, processos e conexões de rede em servidores comprometidos --- *Fonte: [MITRE ATT&CK - T1564.001](https://attack.mitre.org/techniques/T1564/001)*