# T1564.012 - File/Path Exclusions ## Técnica Pai [[t1564-hide-artifacts|T1564 - Hide Artifacts]] ## Descrição Adversários podem tentar ocultar artefatos baseados em arquivos gravando-os em pastas ou com nomes de arquivo específicos que estão excluídos da varredura de antivírus (AV) e de outras capacidades defensivas. Ferramentas de AV e outros scanners baseados em arquivo frequentemente incluem exclusões para otimizar o desempenho, bem como facilitar a instalação e o uso legítimo de aplicações. Essas exclusões podem ser contextuais - por exemplo, varreduras iniciadas apenas em resposta a eventos ou alertas específicos - mas também costumam ser strings fixas referênciando pastas e/ou arquivos específicos assumidos como confiáveis e legítimos. Adversários podem abusar dessas exclusões para ocultar seus artefatos. Em vez de manipular as configurações da ferramenta para adicionar uma nova exclusão (como em [[t1562-001-disable-tools|T1562.001 - Disable or Modify Tools]]), eles simplesmente depositam seus payloads em exclusões padrão ou conhecidas. Adversários também podem usar [[t1518-001-security-software-discovery|T1518.001 - Security Software Discovery]] e outras atividades de [[ta0007-discovery|Discovery]] e [[ta0043-reconnaissance|Reconnaissance]] para descobrir e verificar as exclusões existentes no ambiente da vítima. Esta sub-técnica é particularmente insidiosa porque não requer privilégios elevados para ser executada: o adversário não precisa modificar configurações de segurança, apenas conhecer os caminhos já excluídos. Em organizações com políticas de AV mal gerenciadas, o número de exclusões pode ser extenso, criando uma superfície de evasão ampla. > **Tática MITRE:** Defense Evasion | **ID:** T1564.012 | **Plataformas:** Windows, Linux, macOS ## Como Funciona A técnica explora um comportamento legítimo e esperado de produtos de segurança: a presença de **listas de exclusão** que instruem o scanner a ignorar determinados caminhos, extensões ou processos. O fluxo de abuso segue etapas bem definidas: **1. Reconhecimento das exclusões existentes** O adversário primeiro levanta quais exclusões estão configuradas no ambiente. Isso pode ser feito via: - Leitura de chaves de registro (ex.: `HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths`) - Consulta a políticas de grupo (GPO) de AV - Execução de comandos PowerShell como `Get-MpPreference | Select-Object -ExpandProperty ExclusionPath` - Exploração de exclusões **hardcoded** conhecidas em produtos populares (ex.: pastas do antivírus em si, diretórios de desenvolvimento como `node_modules`, pastas de backup, etc.) **2. Depositar o payload no caminho excluído** Uma vez identificada a exclusão, o adversário copia, grava ou move o payload malicioso para o caminho em questão. O arquivo pode ser um executável, DLL, script ou qualquer artefato que normalmente seria detectado. **3. Execução sem detecção pelo AV** Como o caminho está na lista de exclusões, o scanner ignora o arquivo durante varreduras em tempo real e sob demanda. O adversário então executa o payload por outros meios - via task scheduler, WMI, macro de documento, ou outra técnica de execução. **Exclusões comuns abusadas no Windows:** - Pasta de instalação do próprio produto de segurança (ex.: `C:\Program Files\CrowdStrike\`) - Pastas temporárias de build: `C:\Users\<user>\AppData\Local\Temp\` - Diretórios de backup como `C:\Windows\Temp\` - Pastas de desenvolvimento: `C:\Program Files\Git\`, `C:\npm\` **No Linux/macOS**, exclusões em ferramentas como ClamAV, Malwarebytes, Carbon Black ou SentinelOne seguem padrão similar via arquivos de configuração (ex.: `/etc/clamav/clamd.conf` com diretiva `ExcludePath`). ## Attack Flow ```mermaid graph TB A["Reconhecimento<br/>Identificar exclusões AV no ambiente"] --> B["Coleta de Informações<br/>PowerShell Get-MpPreference<br/>Leitura de chaves de registro"] B --> C["Escolha do Caminho<br/>Selecionar exclusão conhecida<br/>ou descoberta in-loco"] C --> D["Depositar Payload<br/>Copiar/gravar artefato<br/>no caminho excluído"] D --> E["Execução<br/>Acionar payload via<br/>Task Scheduler / WMI / Macro"] E --> F["Persistência Silenciosa<br/>AV ignora o artefato<br/>durante varreduras futuras"] F --> G["Próximas Fases<br/>C2, lateral movement,<br/>exfiltração de dados"] ``` ## Exemplos de Uso **Grupo Turla** O grupo [[g0010-turla|Turla]] (APT russo, espionagem de estado) foi documentado utilizando pastas excluídas do AV para armazenar implantes e ferramentas de pós-exploração em sistemas Windows de alvos governamentais e diplomáticos. A escolha de caminhos excluídos por soluções empresariais comuns permitia ao grupo manter persistência por longos períodos sem acionar alertas. **Cenário genérico - Windows Defender** Um adversário com acesso inicial a uma estação de trabalho executa: ```powershell Get-MpPreference | Select-Object ExclusionPath, ExclusionExtension ``` Descobre que `C:\ProgramData\CustomApp\` está excluído (configurado pelo administrador para evitar falsos positivos de uma aplicação interna). O adversário deposita um loader malicioso nessa pasta. O Windows Defender, configurado para ignorar o caminho, não detecta a ameaça. **Cenário Linux - ClamAV** Em servidores Linux onde o ClamAV exclui `/opt/app/cache/` por questões de performance, um adversário com acesso ao sistema pode depositar um script malicioso nesse diretório. Varreduras agendadas ignorarão o arquivo indefinidamente. **Abuso de exclusões hardcoded em produtos de segurança** Alguns produtos de segurança, por design, não monitoram suas próprias pastas de instalação. Adversários sofisticados exploram esse comportamento para depositar payloads em subpastas de ferramentas de segurança conhecidas - uma técnica especialmente eficaz contra scanners menos sofisticados. ## Detecção A detecção desta técnica requer monitoramento proativo de duas frentes: **acesso às configurações de exclusão** e **criação de arquivos em caminhos excluídos conhecidos**. **Sigma - Consulta a exclusões do Windows Defender via PowerShell:** ```yaml title: Consulta a Exclusões do Windows Defender via PowerShell id: a3f1b2c4-d5e6-7890-abcd-ef1234567890 status: experimental description: Detecta tentativas de enumerar exclusões do AV via Get-MpPreference, indicando possível reconhecimento para abuso de File/Path Exclusions (T1564.012) logsource: category: process_creation product: windows detection: selection: CommandLine|contains: - 'Get-MpPreference' - 'ExclusionPath' - 'ExclusionExtension' - 'ExclusionProcess' condition: selection falsepositives: - Administradores de segurança auditando configurações de AV - Scripts de hardening que verificam exclusões inadequadas level: medium tags: - attack.defense_evasion - attack.t1564.012 ``` **Sigma - Criação de arquivo executável em caminhos temporários comuns:** ```yaml title: Arquivo Executável Criado em Diretório Temporário Excluído id: b4c5d6e7-f890-1234-bcde-f12345678901 status: experimental description: Detecta criação de arquivos PE em pastas frequentemente excluídas de varreduras AV, potencialmente indicando T1564.012 logsource: category: file_event product: windows detection: selection_paths: TargetFilename|contains: - '\AppData\Local\Temp\' - '\Windows\Temp\' - '\ProgramData\' selection_extension: TargetFilename|endswith: - '.exe' - '.dll' - '.ps1' - '.vbs' condition: selection_paths and selection_extension falsepositives: - Instaladores legítimos - Scripts de deploy automatizado level: low tags: - attack.defense_evasion - attack.t1564.012 ``` **Recomendações adicionais de detecção:** - Monitorar acesso à chave de registro `HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\` - Correlacionar criação de arquivo em caminhos excluídos com execução subsequente do mesmo arquivo - Alertar sobre processos filhos invocados a partir de pastas em listas de exclusão - Auditar mudanças em arquivos de configuração do AV (Linux: `/etc/clamav/`, `/etc/sysconfig/`) ## Mitigação | ID | Mitigação | Descrição | |---|-----------|-----------| | M1049 | [[Antimalware]] | Manter o AV/EDR atualizado e revisar periodicamente as listas de exclusão. Remover exclusões desnecessárias ou excessivamente amplas. Documentar e justificar cada exclusão existente. | | M1013 | [[m1013-application-developer-guidance\|M1013 - Application Developer Guidance]] | Desenvolvedores de software de segurança devem minimizar exclusões hardcoded e adotar abordagens mais seguras (ex.: assinatura de código) para reduzir falsos positivos sem criar caminhos cegos. | **Boas práticas adicionais:** - **Princípio do menor privilégio nas exclusões:** excluir apenas o mínimo necessário, preferêncialmente com escopo em processos específicos em vez de caminhos inteiros - **Revisão periódica:** auditar as listas de exclusão ao menos trimestralmente - **Alertas sobre mudanças:** qualquer adição a listas de exclusão deve gerar alerta para a equipe de segurança - **Compensating controls:** para caminhos que precisam de exclusão, implementar monitoramento alternativo via EDR ou SIEM ## Contexto Brasil/LATAM No Brasil, o abuso de exclusões de AV é uma técnica observada em campanhas de ransomware contra setores financeiro e de saúde. Operadores de ransomware como [[lockbit|LockBit]] e afiliados de grupos como [[g1015-scattered-spider|Scattered Spider]] documentadamente realizam reconhecimento de configurações de AV antes de depositar seus loaders e encriptadores. O contexto brasileiro apresenta um agravante específico: **muitas organizações do setor privado e público mantêm listas de exclusão extensas**, criadas ao longo de anos para contornar falsos positivos de sistemas legados - especialmente sistemas bancários proprietários e ERPs nacionais que frequentemente usam caminhos não padrão. Esse histórico de exclusões acumuladas representa uma superfície de evasão significativa. Equipes de [[ta0040-impact|resposta a incidentes]] no Brasil relatam com frequência a descoberta de payloads de estágios iniciais (loaders, droppers) alojados em pastas excluídas do AV, descobertos apenas quando o EDR ou SIEM detecta comportamentos anômalos de processos filhos - não o arquivo em si. A [[m1049-antivirusantimalware|revisão de exclusões de AV]] deve ser parte obrigatória de qualquer programa de hardening em organizações brasileiras, especialmente aquelas sujeitas à [[lgpd|LGPD]] e às regulamentações do Banco Central (BACEN) para instituições financeiras. ## Referências - MITRE ATT&CK - T1564.012: File/Path Exclusions (v16.2) - Microsoft Defender Antivirus Exclusions - documentação oficial Microsoft - CrowdStrike Adversary Intelligence - Turla tradecraft analysis - Kaspersky GReAT - Turla group campaigns documentation - SANS Institute - "Hunting for AV Exclusion Abuse" (whitepaper) *Fonte: MITRE ATT&CK - T1564.012*