# T1564 - Hide Artifacts
## Descrição
**T1564** descreve as técnicas pelas quais adversários **ocultam artefatos associados a seu comportamento** para dificultar ou impedir a detecção por analistas de segurança, ferramentas de monitoramento e produtos de proteção de endpoint. Sistemas operacionais modernos oferecem mecanismos nativos para esconder arquivos, diretórios, contas de usuário e processos - recursos originalmente pensados para proteger arquivos de sistema críticos de modificações acidentais por usuários comuns. Adversários abusam desses mesmos mecanismos para tornar sua presença no ambiente invisível ou extremamente difícil de localizar.
A técnica é amplamente utilizada em todas as fases de um ataque avançado: desde a entrega inicial do implante (ocultando o dropper em atributos NTFS alternativos) até a persistência de longo prazo (contas de usuário ocultas criadas para reingresso futuro) e a exfiltração (regras de e-mail que desviam cópias de mensagens silenciosamente). Famílias como [[s0670-warzonerat|WarzoneRAT]] e [[s1066-darktortilla|DarkTortilla]] implementam múltiplas sub-técnicas de T1564 em conjunto, criando camadas sobrepostas de ocultação.
A técnica possui 14 sub-técnicas documentadas pelo MITRE ATT&CK, cobrindo plataformas Windows, macOS, Linux, ESXi e suítes de escritório, o que a torna uma das mais abrangentes em termos de cobertura de superfície de ataque.
## Sub-técnicas
- [[t1564-001-hidden-files-and-directories|T1564.001 - Hidden Files and Directories]]
- [[t1564-002-hidden-users|T1564.002 - Hidden Users]]
- [[t1564-003-hidden-window|T1564.003 - Hidden Window]]
- [[t1564-004-ntfs-file-attributes|T1564.004 - NTFS File Attributes]]
- [[t1564-005-hidden-file-system|T1564.005 - Hidden File System]]
- [[t1564-006-run-virtual-instance|T1564.006 - Run Virtual Instance]]
- [[t1564-007-vba-stomping|T1564.007 - VBA Stomping]]
- [[t1564-008-email-hiding-rules|T1564.008 - Email Hiding Rules]]
- [[t1564-009-resource-forking|T1564.009 - Resource Forking]]
- [[t1564-010-process-argument-spoofing|T1564.010 - Process Argument Spoofing]]
- [[t1564-011-ignore-process-interrupts|T1564.011 - Ignore Process Interrupts]]
- [[Path Exclusions]]
- [[t1564-013-bind-mounts|T1564.013 - Bind Mounts]]
- [[t1564-014-extended-attributes|T1564.014 - Extended Attributes]]
## Como Funciona
T1564 abrange um espectro amplo de técnicas de ocultação. Os mecanismos variam por plataforma e fase do ataque:
**Ocultação de arquivos e diretórios (T1564.001):**
No Windows, o atributo `+H` (hidden) torna arquivos invisíveis no Explorer sem a opção "Mostrar arquivos ocultos" ativada. No macOS e Linux, arquivos com prefixo `.` (ponto) são tratados como ocultos por padrão. Adversários combinam isso com nomes de arquivos que mimetizam componentes legítimos do sistema (`svchost.dll`, `.bash_history`) para aumentar a camuflagem.
**Alternaté Data Streams - NTFS (T1564.004):**
O sistema de arquivos NTFS permite que qualquer arquivo possua múltiplos "streams" de dados além do conteúdo principal. Um arquivo benigno `readme.txt` pode conter um payload completo em `readme.txt:payload.exe`, visível apenas com ferramentas específicas como Sysinternals Streams. O ADS não aparece no tamanho do arquivo e não é escaneado por padrão por muitos produtos de segurança.
**Jánelas ocultas (T1564.003):**
Scripts PowerShell e executáveis podem ser invocados com parâmetro `-WindowStyle Hidden` (PowerShell) ou `SW_HIDE` via API Win32, tornando o processo completamente invisível para o usuário. Amplamente utilizado por droppers e stagers que precisam operar em segundo plano sem levantar suspeitas visuais.
**Contas de usuário ocultas (T1564.002):**
No Windows, contas com `
no final do nome (ex: `backdoor
) não aparecem na tela de login. No macOS, a chave `IsHidden` no plist do usuário remove a conta da interface de Preferências do Sistema. Essas contas são usadas para garantir acesso persistente mesmo após a remoção do implante principal.
**Regras de e-mail maliciosas (T1564.008):**
Após comprometer uma caixa de correio (via [[t1078-valid-accounts|T1078]] ou phishing), adversários criam regras que automaticamente deletam ou movem para pastas obscuras qualquer e-mail que contenha palavras-chave como "hack", "breach" ou o nome do atacante - garantindo que alertas de segurança enviados ao usuário comprometido nunca sejam vistos.
**VBA Stomping (T1564.007):**
Documentos Office maliciosos podem ter o código VBA source removido e apenas o p-code compilado mantido. Ferramentas de análise que inspecionam o source VBA retornam nada, enquanto o p-code ainda é executado normalmente pelo Office. Isso engana tanto análise manual quanto ferramentas automatizadas de detecção de macros.
## Attack Flow
```mermaid
graph TB
A[Adversário obtém acesso inicial] --> B[Fase de ocultação de artefatos]
B --> C[Ocultação de arquivos<br/>T1564.001 / T1564.004]
B --> D[Ocultação de processos<br/>T1564.003 / T1564.010]
B --> E[Ocultação de contas<br/>T1564.002]
B --> F[Ocultação em e-mail<br/>T1564.008]
B --> G[Ocultação avançada<br/>T1564.005 / T1564.006]
C --> H[Arquivos em ADS NTFS<br/>ou atributo hidden]
D --> I[Processos com SW_HIDE<br/>ou argumentos falsificados]
E --> J[Conta backdoor$ criada<br/>fora da tela de login]
F --> K[Regras que deletam<br/>alertas de segurança]
G --> L[Payload em VM isolada<br/>ou filesystem customizado]
H --> M[Persistência e acesso encoberto]
I --> M
J --> M
K --> N[BEC ou acesso persistente<br/>a e-mail corporativo]
L --> O[Payload isolado de EDR<br/>e instrumentação de segurança]
M --> P[Exfiltração e movimento lateral]
N --> P
O --> P
```
## Exemplos de Uso
**[[s1011-tarrask|Tarrask]] (APT41):** Malware documentado pela Microsoft em 2022 que criava tarefas agendadas ocultas no Windows - as entradas eram criadas no registro sem os atributos `SD` (Security Descriptor), tornando-as invisíveis para ferramentas como `schtasks /query` e para o Agendador de Tarefas da interface gráfica. Somente consulta direta ao registro revelava a persistência.
**[[s0670-warzonerat|WarzoneRAT]]:** RAT comercializado como malware-as-a-service que implementa ocultação de jánela (T1564.003) para todos os seus componentes, combinada com injeção de processo em `explorer.exe`. Amplamente utilizado em campanhas de phishing contra empresas brasileiras e latinoamericanas, particularmente no setor financeiro e de varejo.
**[[s1066-darktortilla|DarkTortilla]]:** Loader criptografado que armazena seu payload de segundo estágio em Alternaté Data Streams (T1564.004) de arquivos de imagem benignos (.jpg, .png). A técnica permite que o dropper passe por scanners que verificam extensão e conteúdo do arquivo principal sem detectar a carga maliciosa embutida no ADS.
**[[Shlayer]]:** Adware/downloader macOS que utiliza resource forking (T1564.009) e extended attributes (T1564.014) para ocultar seus componentes no sistema de arquivos HFS+/APFS. Verificações de quarentena do macOS Gatekeeper eram contornadas manipulando o atributo `com.apple.quarantine` via `xattr`.
**[[s0482-bundlore|Bundlore]]:** Família macOS que cria contas de usuário ocultas (T1564.002) com a chave `IsHidden=true` para garantir acesso administrativo persistente, mesmo após o usuário remover o adware principal detectado.
## Detecção
```yaml
title: Criação de Arquivo em Alternaté Data Stream NTFS
status: experimental
logsource:
category: file_event
product: windows
detection:
selection:
TargetFilename|contains: ':'
TargetFilename|re: '.*\.\w+:.*\.\w+'
filter_legitimate:
TargetFilename|contains:
- ':Zone.Identifier'
- ':AFP_AfpInfo'
condition: selection and not filter_legitimate
level: high
tags:
- attack.defense_evasion
- attack.t1564.004
```
```yaml
title: PowerShell Executado com Jánela Oculta
status: experimental
logsource:
category: process_creation
product: windows
detection:
selection:
Image|endswith: '\powershell.exe'
CommandLine|contains:
- '-WindowStyle Hidden'
- '-WindowStyle H'
- '-w hidden'
- '-w h'
condition: selection
level: medium
tags:
- attack.defense_evasion
- attack.t1564.003
```
```yaml
title: Criação de Conta de Usuário com Nome Suspeito
status: experimental
logsource:
product: windows
service: security
detection:
selection:
EventID: 4720
TargetUserName|endswith: '
condition: selection
level: high
tags:
- attack.defense_evasion
- attack.t1564.002
```
**Estrategias adicionais:**
- Auditar periodicamente contas de usuário locais e verificar flags de ocultação no registro
- Monitorar criação de regras de inbox em Exchange/Microsoft 365 via logs de auditoria do M365 Compliance Center
- Usar ferramentas como Sysinternals Streams para varredura regular de ADS em diretórios sensíveis
- No macOS, monitorar chamadas `xattr` que modificam o atributo `com.apple.quarantine`
- Implementar alertas para tarefas agendadas criadas sem Security Descriptor no registro
## Mitigação
| ID | Mitigação | Descrição |
|----|-----------|-----------|
| M1049 | [[Antimalware]] | Soluções com detecção heurística e comportamental que inspecionam ADS, resource forks e p-code compilado em macros Office |
| M1047 | [[m1047-audit\|M1047 - Audit]] | Auditoria regular de contas locais, tarefas agendadas, regras de e-mail e arquivos com atributo hidden em diretórios críticos |
| M1033 | [[m1033-limit-software-installation\|M1033 - Limit Software Installation]] | Restringir instalação de software não autorizado reduz a superfície de técnicas que requerem instalação de componentes adicionais |
| M1013 | [[m1013-application-developer-guidance\|M1013 - Application Developer Guidance]] | Orientações de desenvolvimento seguro para evitar que aplicativos legítimos usem ADS ou resource forks de forma que abra precedente para abuso |
| - | Monitoramento de Integridade | Ferramentas de File Integrity Monitoring (FIM) para detectar criação de ADS e modificação de atributos de arquivos em diretórios sensíveis |
| - | Controle de Macros Office | Bloquear execução de macros via Group Policy; usar AMSI para inspeção de p-code VBA antes da execução |
## Contexto Brasil/LATAM
O abuso de ocultação de artefatos é uma característica proeminente de ameaças direcionadas ao Brasil e à América Latina. Campanhas de Business Email Compromise (BEC) - que representam bilhões de reais em prejuízo ao ambiente corporativo brasileiro anualmente - frequentemente utilizam [[t1564-008-email-hiding-rules|T1564.008]] (regras de e-mail maliciosas) para manter acesso persistente a caixas de correio corporativas comprometidas por meses sem detecção. Os atacantes criam regras que encaminham silenciosamente cópias de e-mails financeiros para endereços externos, enquanto deletam qualquer resposta que possa alertar o usuário comprometido.
No ecossistema de malware bancário brasileiro, variantes modernas do [[s0670-warzonerat|WarzoneRAT]] e de trojans locais como o Guildma/Grandoreiro utilizam técnicas de T1564 combinadas com [[t1027-obfuscated-files|T1027]] para dificultar a análise por equipes de resposta a incidentes. A ocultação de jánela (T1564.003) é práticamente universal em droppers de malware bancário brasileiro - o usuário não observa nenhuma atividade visual enquanto o trojan se instala e estabelece comunicação com o servidor de comando e controle.
Ambientes de TI corporativos no Brasil com alta prevalência de Microsoft 365 são alvos especialmente atraentes para T1564.008, pois o portal de auditoria do M365 nem sempre está habilitado por padrão nas configurações de licença mais básicas, deixando criação de regras de inbox sem registro visível para analistas de SOC.
## Referências
- [[t1564-001-hidden-files-and-directories|T1564.001 - Hidden Files and Directories]]
- [[t1564-002-hidden-users|T1564.002 - Hidden Users]]
- [[t1564-003-hidden-window|T1564.003 - Hidden Window]]
- [[t1564-004-ntfs-file-attributes|T1564.004 - NTFS File Attributes]]
- [[t1564-005-hidden-file-system|T1564.005 - Hidden File System]]
- [[t1564-006-run-virtual-instance|T1564.006 - Run Virtual Instance]]
- [[t1564-007-vba-stomping|T1564.007 - VBA Stomping]]
- [[t1564-008-email-hiding-rules|T1564.008 - Email Hiding Rules]]
- [[t1564-009-resource-forking|T1564.009 - Resource Forking]]
- [[t1564-010-process-argument-spoofing|T1564.010 - Process Argument Spoofing]]
- [[t1564-011-ignore-process-interrupts|T1564.011 - Ignore Process Interrupts]]
- [[Path Exclusions]]
- [[t1564-013-bind-mounts|T1564.013 - Bind Mounts]]
- [[t1564-014-extended-attributes|T1564.014 - Extended Attributes]]
- [[s0670-warzonerat|WarzoneRAT]]
- [[s1066-darktortilla|DarkTortilla]]
- [[s1011-tarrask|Tarrask]]
- [[t1027-obfuscated-files|T1027 - Obfuscated Files or Information]]
- [[t1078-valid-accounts|T1078 - Valid Accounts]]
*Fonte: MITRE ATT&CK - T1564*