# T1564.005 - Hidden File System ## Técnica Pai [[t1564-hide-artifacts|T1564 - Hide Artifacts]] ## Descrição Adversários podem utilizar um **sistema de arquivos oculto** para esconder atividade maliciosa de usuários, analistas e ferramentas de segurança. Sistemas de arquivos oferecem uma estrutura para armazenar e acessar dados a partir do armazenamento físico - o usuário interage com essa abstração por meio de aplicativos que exibem arquivos e diretórios, sem precisar conhecer a localização física real (setor de disco, bloco, cluster). Os sistemas de arquivos padrão incluem FAT, NTFS (Windows), ext4 (Linux) e APFS (macOS). Além dos arquivos convencionais, essas estruturas contêm metadados críticos como o Volume Boot Record (VBR) e a Master File Table (MFT) no NTFS. É justamente nessas áreas menos visíveis - e, portanto, menos monitoradas - que adversários sofisticados constroem seus sistemas de arquivos virtuais. Ao criar um sistema de arquivos próprio, separado do sistema padrão, o adversário consegue ocultar componentes maliciosos e operações de leitura/escrita de soluções de segurança como EDR, antivírus e ferramentas de análise forense. A técnica é característica de atores de nação-estado com alto nível de sofisticação operacional, como os grupos [[g0020-equation-group|Equation]] e [[g0041-strider|Strider]]. ## Como Funciona Existem três abordagens principais para implementação de sistemas de arquivos ocultos: **1. Espaço em disco reservado não utilizado** O adversário identifica setores de disco que não fazem parte de nenhuma partição ou estrutura reconhecida pelo sistema operacional. Esse espaço "morto" é então formatado com um sistema de arquivos proprietário - completamente invisível para ferramentas padrão como o Explorador de Arquivos, `ls`, ou utilitários de particionamento como `fdisk` e `diskpart`. **2. Imagem de partição portátil como arquivo** O malware carrega uma imagem de sistema de arquivos encapsulada como um único arquivo sobre o sistema de arquivos padrão. Essa imagem é montada dinâmicamente em memória durante a execução. O [[s0019-regin|Regin]], por exemplo, utilizava camadas de sistemas de arquivos virtuais criptografados e aninhados para armazenar seus módulos de segunda e terceira etapa. **3. Fragmentação não convencional** Arquivos maliciosos são divididos e espalhados pelo sistema de arquivos existente de forma não padronizada - aproveitando slack space, entradas de MFT não utilizadas ou setores marcados como defeituosos. Sem o interpretador correto (geralmente residente em memória pelo próprio malware), os fragmentos parecem ruído ininteligível. O [[s0126-comrat|ComRAT]] do grupo [[g0010-turla|Turla]] usava um sistema de arquivos virtual baseado em FAT16 embutido em um arquivo de aparência inócua para armazenar seus arquivos de configuração, plugins e logs de atividade - completamente inacessível a análise forense convencional. ## Attack Flow ```mermaid graph TB A[Acesso Inicial ao Sistema] --> B[Persistência estabelecida] B --> C{Tipo de implementação} C --> D[Espaço em disco não alocado] C --> E[Imagem de partição como arquivo] C --> F[Fragmentação em slack space / MFT] D --> G[Formatação com FS proprietário e criptografado] E --> G F --> G G --> H[Montagem dinâmica em memória pelo malware] H --> I[Armazenamento de módulos, configs e logs] I --> J[Operação oculta - invisível ao SO e ferramentas] J --> K[Persistência duradoura e difícil de detectar] ``` ## Exemplos de Uso ### Equation Group - EquationDrug e GrayFish O [[g0020-equation-group|Equation Group]], atribuído à NSA, é o caso mais documentado de abuso de sistemas de arquivos ocultos. O implante **GrayFish** criava um sistema de arquivos virtual criptografado diretamente no MBR (Master Boot Record) do disco. O sistema era inicializado antes do próprio Windows e armazenava todos os componentes do implante de forma completamente transparente ao sistema operacional. Nenhuma ferramenta forense convencional conseguia localizar ou analisar os arquivos sem a chave de descriptografia. ### Regin - Sistema de arquivos em camadas O [[s0019-regin|Regin]], malware associado ao GCHQ britânico, utilizava uma arquitetura de cinco estágios onde cada estágio era armazenado em um sistema de arquivos virtual diferente. Os estágios 3, 4 e 5 ficavam em um sistema de arquivos NTFS personalizado gravado em setores não alocados, imperceptível tanto para o Windows quanto para ferramentas forenses como EnCase ou FTK. Os dados eram comprimidos e criptografados com RC5 - uma variante customizada. ### BOOTRASH - VBR como contêiner O [[s0114-bootrash|BOOTRASH]] modificava o Volume Boot Record para incluir um carregador de bootkit que montava um sistema de arquivos virtualizado logo após o início da sequência de boot, antes do carregamento do kernel do Windows. O sistema de arquivos virtual armazenava os componentes principais do rootkit, tornando a limpeza extremamente difícil mesmo com reimagem do sistema. ### ComRAT (Turla) - FAT16 virtual em arquivo O [[s0126-comrat|ComRAT]], utilizado pelo grupo [[g0010-turla|Turla]], implementava um sistema de arquivos FAT16 embutido em um arquivo de configuração do Windows. O sistema de arquivos virtual armazenava módulos de segunda etapa, configurações de C2, e logs das operações realizadas. O acesso era feito exclusivamente pelo módulo principal em memória, nunca tocando o sistema de arquivos do Windows. ### Uroburos (Snake/Turla) - Disco virtual NTFS O [[s0022-uroburos|Uroburos]] criava uma partição virtual em espaço de disco não alocado e a formatava com uma versão customizada de NTFS. O volume era acessível apenas pelo driver do rootkit carregado no kernel - completamente invisível para o gerenciador de discos do Windows e para qualquer aplicativo em modo usuário. ## Detecção A detecção de sistemas de arquivos ocultos requer abordagem multicamada, combinando análise de disco bruto, monitoramento de drivers e inteligência de ameaças: ### Sigma Rule - Driver de sistema de arquivos suspeito carregado ```yaml title: Carregamento de Driver de Sistema de Arquivos Não Reconhecido status: experimental logsource: category: driver_load product: windows detection: selection: ImageLoaded|contains: - '\Device\Harddisk' - '\FileSystem\' filter_known: ImageLoaded|contains: - 'ntfs.sys' - 'fastfat.sys' - 'cdfs.sys' - 'exfat.sys' - 'refs.sys' condition: selection and not filter_known level: high tags: - attack.defense_evasion - attack.t1564.005 ``` ### Sigma Rule - Acesso a setor de disco bruto em modo usuário ```yaml title: Acesso Raw a Disco por Processo em Modo Usuário status: experimental logsource: category: process_creation product: windows detection: selection_tools: Image|endswith: - '\diskpart.exe' - '\wmic.exe' - '\fltMC.exe' CommandLine|contains: - 'PhysicalDrive' - 'PHYSICALDRIVE' - 'volume' filter_admin: ParentImage|contains: - 'mmc.exe' - 'diskmgmt.msc' condition: selection_tools and not filter_admin level: medium tags: - attack.defense_evasion - attack.t1564.005 ``` ### Indicadores adicionais de detecção - **Discrepância de tamanho de disco**: comparar o espaço total relatado pelo sistema operacional com o espaço físico real do dispositivo - diferenças significativas indicam partições ocultas. - **Análise de MFT**: buscar entradas de MFT com atributos incomuns, entradas apagadas recentemente ou clusters alocados em zonas não mapeadas pelo sistema. - **Drivers de kernel não assinados**: monitorar carregamento de drivers sem assinatura válida da Microsoft ou de fornecedores conhecidos. - **Volumes montados não listados**: ferramentas como `mountvol`, `fsutil fsinfo drives` e `Get-Volume` devem listar todos os volumes; divergências indicam montagem fora da API padrão. - **Análise de imagem de disco completa**: ferramentas forenses (Autopsy, FTK Imager) com análise de setor bruto conseguem identificar estruturas de sistema de arquivos em espaço não alocado. ## Mitigação Não existe mitigação técnica direta listada pelo MITRE para esta sub-técnica, dado que a implementação ocorre em nível de kernel ou hardware, fora do alcance de controles de aplicação convencionais. As medidas defensivas são focadas em detecção precoce e hardening de boot: | ID | Mitigação | Descrição | |----|-----------|-----------| | - | Secure Boot | Habilitar e manter Secure Boot ativo para impedir modificações não autorizadas no MBR/VBR durante o boot | | - | Monitoramento de integridade de disco | Usar ferramentas de baseline de disco (ex: Tripwire, soluções EDR com análise de disco) para detectar alterações em setores críticos | | - | Restrição de acesso a disco bruto | Aplicar políticas que impeçam processos em modo usuário de abrir `\\.\PhysicalDrive*` diretamente | | - | Análise forense periódica | Em ambientes de alta sensibilidade, realizar análise periódica de imagem completa de disco para identificar estruturas anômalas | ## Contexto Brasil/LATAM Embora o uso de sistemas de arquivos ocultos sejá predominantemente associado a operações de espionagem patrocinadas por estados, o contexto brasileiro e latino-americano apresenta vetores relevantes: **Setor financeiro brasileiro**: O ecossistema de banking trojans brasileiro - um dos mais sofisticados do mundo - tem evoluído progressivamente em termos de evasão. Famílias como [[s0531-grandoreiro|Grandoreiro]] e [[mekotio|Mekotio]] ainda não utilizam sistemas de arquivos virtuais, mas grupos mais avançados que miram infraestrutura crítica brasileira (energia, telecomúnicações, governo) e que atuam em campanhas de espionagem industrial podem empregar técnicas similares às documentadas no [[g0020-equation-group|Equation Group]] e [[g0010-turla|Turla]]. **Espionagem governamental**: O Brasil é alvo documentado de operações de espionagem de estados com capacidade técnica avançada. A operação [[s0365-olympic-destroyer|Olympic Destroyer]] durante os Jogos do Rio de Janeiro em 2016, embora não tenha usado sistemas de arquivos ocultos, demonstra o interesse de atores sofisticados em infraestrutura brasileira. **Uroburos na América Latina**: O [[s0022-uroburos|Uroburos]] foi identificado em operações que afetaram embaixadas, ministérios e empresas de energia em países sul-americanos, incluindo operações documentadas contra o Brasil entre 2014 e 2018. Analistas e equipes de resposta a incidentes no Brasil devem considerar a detecção desta técnica especialmente em investigações que envolvam setores governamentais, defesa, energia e telecomúnicações - os alvos preferênciais de atores com essa capacidade. ## Referências - MITRE ATT&CK - T1564.005 (versão 16.2) - Kaspersky GReAT - Relatório técnico sobre Equation Group e GrayFish - Kaspersky GReAT - Análise do malware Regin (5 estágios) - ESET Research - Análise técnica do Uroburos/Snake - Kaspersky GReAT - ComRAT v4: análise do sistema de arquivos FAT16 virtual - Microsoft MSRC - Guidance on Secure Boot and bootkit mitigations *Fonte: MITRE ATT&CK - T1564.005*