t1204-002-malicious-file

# T1204.002 - Malicious File ## Técnica Pai Esta é uma sub-técnica de [[t1204-user-execution|T1204 - T1204 - User Execution]]. ## Descrição A técnica T1204.002 - Malicious File descreve o cenário em que um adversário depende de uma ação humana para executar um arquivo malicioso. Em vez de explorar vulnerabilidades automaticamente, o atacante convence a vítima a abrir um documento, executável ou arquivo compactado que dispara a cadeia de infecção. Esse vetor é especialmente eficaz porque explora confiança e hábitos cotidianos - um colaborador que abre dezenas de anexos por dia é um alvo natural. Os arquivos utilizados variam amplamente: documentos do Office com macros (`.doc`, `.xls`, `.rtf`), executáveis disfarçados (`.exe`, `.scr`, `.pif`), atalhos (`.lnk`), arquivos de configuração (`.reg`, `.cpl`) e imagens de disco (`.iso`, `.img`) - estas últimas cada vez mais populares por contornarem o controle de *Mark of the Web* no Windows. Para aumentar a taxa de sucesso, os atacantes aplicam [[t1036-masquerading|Masquerading]] e [[t1027-obfuscated-files-or-information|Obfuscated Files or Information]], usando nomes familiares, ícones de aplicações legítimas e até senhas para proteger arquivos ZIP, instruindo a vítima a inserir a senha manualmente. Embora essa técnica sejá comumente observada logo após o [[t1566-001-spearphishing-attachment|Spearphishing Attachment]] como passo de acesso inicial, ela também ocorre em fases posteriores - por exemplo, quando um atacante já dentro da rede deposita um arquivo malicioso em diretório compartilhado ou na área de trabalho de usuários-alvo, aproveitando movimento lateral via [[t1534-internal-spearphishing|Internal Spearphishing]]. **Contexto Brasil/LATAM:** O Brasil lidera historicamente os índices de malware bancário na América Latina, e o T1204.002 é o principal vetor de entrega desses ataques. Grupos como [[g1026-malteiro|Malteiro]] e [[g0095-machete|Machete]] distribuem trojans bancários e RATs por meio de anexos de e-mail que se passam por boletos, notas fiscais eletrônicas (NF-e), comúnicados da Receita Federal e pendências do FGTS - contextos que geram urgência imediata e elevam as taxas de abertura. O uso de arquivos `.iso` e `.lnk` aumentou significativamente no Brasil após o bloqueio de macros do Office em 2022. ## Attack Flow ```mermaid graph TB A([Phishing / Spearphishing]) --> B([Entrega de Arquivo Malicioso]) B:::highlight --> C([Execução pelo Usuário]) C --> D([Payload Inicial - RAT / Loader]) D --> E([C2 Estabelecido]) classDef highlight fill:#e74c3c,color:#fff,stroke:#c0392b ``` ## Como Funciona 1. **Preparação:** O atacante crafta um arquivo malicioso (documento com macro, ISO com LNK, PDF com exploit) e o entorna com engenharia social convincente - um e-mail com tema fiscal, de RH ou de fornecedor legítimo. O arquivo pode ser protegido por senha para evadir sandboxes de e-mail, com a senha fornecida no corpo da mensagem. 2. **Execução:** A vítima abre o arquivo. Dependendo do tipo: macros do Office disparam VBA/PowerShell; arquivos LNK executam comandos ocultos via `cmd.exe` ou `mshta.exe`; ISOs montadas apresentam um executável na pasta raiz; PDFs exploram vulnerabilidades do leitor. O resultado é o lançamento de um processo filho malicioso a partir do aplicativo legítimo (Word, Explorer, Acrobat). 3. **Pós-execução:** O processo filho carrega o payload principal - geralmente um [[s0331-agent-tesla|Agent Tesla]], [[s0670-warzonerat|WarzoneRAT]], [[s0499-hancitor|Hancitor]] ou [[s0631-chaes|Chaes]] - que estabelece persistência, realiza reconhecimento local e abre canal com o servidor de C2. A partir daqui, o atacante tem execução remota no sistema comprometido. ## Detecção **Fontes de dados:** - **Windows Event Log 4688** (Process Creation com command line) - identificar processos filhos suspeitos de `winword.exe`, `excel.exe`, `acrobat.exe`, `explorer.exe` - **Sysmon Event ID 1** (Process Creaté) - capturar árvore de processos completa com hashes - **Sysmon Event ID 11** (FileCreaté) - monitorar criação de arquivos em `%TEMP%`, `%APPDATA%`, `%PUBLIC%` por processos de escritório - **Sysmon Event ID 3** (NetworkConnect) - detectar conexões de rede iniciadas por processos de Office imediatamente após abertura de documento - **Windows Defender / EDR alerts** - correlacionar com detecções de comportamento pós-abertura **Sigma Rule:** ```yaml title: Processo Filho Suspeito Originado de Aplicação Office id: a7b3c1d0-4e2f-4a8b-9c5d-1e6f7a8b9c0d status: experimental description: Detecta processos filhos incomuns originados de aplicações Microsoft Office - indicativo de execução de arquivo malicioso (T1204.002) references: - T1204.002 logsource: category: process_creation product: windows detection: selection: ParentImage|endswith: - '\WINWORD.EXE' - '\EXCEL.EXE' - '\POWERPNT.EXE' - '\MSPUB.EXE' - '\VISIO.EXE' Image|endswith: - '\cmd.exe' - '\powershell.exe' - '\mshta.exe' - '\wscript.exe' - '\cscript.exe' - '\certutil.exe' - '\regsvr32.exe' - '\rundll32.exe' condition: selection falsepositives: - Macros legítimas de automação corporativa - Ferramentas de gestão que integram com Office level: high tags: - attack.execution - attack.t1204.002 ``` ## Mitigação | Mitigação | Recomendação Prática | |-----------|---------------------| | [[m1038-execution-prevention\|M1038 - Execution Prevention]] | Configurar AppLocker ou Windows Defender Application Control (WDAC) para bloquear execução de arquivos `.exe`, `.scr`, `.lnk` e `.iso` originados de pastas de usuário (`%TEMP%`, `%DOWNLOADS%`). Prioridade para organizações financeiras e do setor público no Brasil. | | [[m1040-behavior-prevention-on-endpoint\|M1040 - Behavior Prevention on Endpoint]] | Habilitar Attack Surface Reduction (ASR) rules no Microsoft Defender - especialmente as regras que bloqueiam processos filhos de aplicações Office e a injeção de código. Manter EDR com cobertura de 100% dos endpoints. | | [[m1017-user-training\|M1017 - User Training]] | Treinar colaboradores específicamente sobre golpes com tema fiscal brasileiro: boletos falsos, NF-e fraudulentas, comúnicados da Receita Federal. Simulações de phishing mensais com arquivos `.iso` e `.lnk` - vetores que muitos usuários ainda não reconhecem como perigosos. | ## Threat Actors - [[g1026-malteiro|Malteiro]] - grupo brasileiro especializado em banking trojans entregues via anexos de boleto e NF-e falsos - [[g0005-apt12|APT12]] - APT chinês com histórico de campanhas de spearphishing com documentos maliciosos contra mídia e setor público - [[g0094-kimsuky|Kimsuky]] - grupo norte-coreano focado em espionagem, usa documentos Word com macros em campanhas de phishing direcionadas - [[g0095-machete|Machete]] - APT de língua espanhola ativo na América Latina, incluindo Brasil, com distribuição de RATs via documentos - [[g0066-elderwood|Elderwood]] - plataforma de ataque chinesa que explorou zero-days em leitores de PDF e navegadores para execução via arquivo - [[g0134-transparent-tribe|Transparent Tribe]] - APT paquistanês que usa documentos Office maliciosos contra alvos governamentais e militares - [[g0035-dragonfly|Dragonfly]] - grupo focado em infraestrutura crítica que utilizou Trojanized software installers e documentos maliciosos - [[g0090-wirte|WIRTE]] - grupo Médio-Oriental que opera via spearphishing com documentos Excel maliciosos - [[g1052-contagious-interview|Contagious Interview]] - campanha norte-coreana que engana desenvolvedores a executar arquivos sob pretexto de entrevista de emprego - [[g0048-rtm|RTM]] - grupo russo especializado em fraude bancária contra empresas russas via documentos maliciosos e phishing ## Software Associado - [[koctopus|KOCTOPUS]] (malware) - entregue via documentos maliciosos em campanhas de phishing direcionadas - [[konni|KONNI]] (malware) - RAT norte-coreano distribuído via documentos Word com macros - [[s0453-pony|Pony]] (malware) - stealer clássico distribuído via anexos de e-mail maliciosos - [[s0631-chaes|Chaes]] (malware) - malware bancário brasileiro entregue via arquivos MSI e instaladores falsos - [[s1064-svcready|SVCReady]] (malware) - loader distribuído via propriedades de documento Word - [[s0670-warzonerat|WarzoneRAT]] (malware) - RAT comercial frequentemente entregue via phishing com anexos de Office - [[s0637-nativezone|NativeZone]] (malware) - loader usado pelo APT29 em campanhas de spearphishing - [[s0331-agent-tesla|Agent Tesla]] (malware) - infostealer amplamente utilizado no Brasil via documentos Office maliciosos - [[s0499-hancitor|Hancitor]] (malware) - loader que chega via macro de Word e baixa payloads secundários - [[s0428-poetrat|PoetRAT]] (malware) - RAT entregue via documentos Word em campanhas de espionagem --- *Fonte: [MITRE ATT&CK - T1204.002](https://attack.mitre.org/techniques/T1204/002)*