# T1491.001 - Internal Defacement ## Descrição **Internal Defacement** (Desfiguração Interna) é uma sub-técnica de [[t1491-defacement|T1491 - Defacement]] na qual adversários modificam conteúdo visual disponível **internamente** à rede da organização, comprometendo a integridade de sistemas, mensagens e interfaces para intimidar usuários, semear confusão ou demonstrar a profundidade do acesso já obtido. Ao contrário da desfiguração externa - que visa impacto público e reputacional -, a desfiguração interna é uma mensagem direcionada: ela revela ao quadro funcional e aos times de TI que o adversário está presente, com acesso a ativos internos críticos. Isso cria pânico, desconfiança nas ferramentas internas e pode paralisar operações enquanto equipes tentam avaliar a extensão do comprometimento. As formas mais comuns de desfiguração interna incluem: - **Troca de papéis de parede (wallpaper)** em estações de trabalho e servidores - frequentemente com imagens ofensivas, mensagens de extorsão ou logos de grupos ransomware - **Modificação de portais internos** - intranets, wikis corporativos, SharePoint, painéis de monitoramento SOC - **Alteração de mensagens de login** - banners de servidores SSH, RDP ou sistemas legados exibindo comúnicados dos atacantes - **Manipulação de dashboards de monitoramento** - alterando métricas ou alertas para enganar analistas de segurança - **Substituição de arquivos de configuração de interface** - em sistemas ESXi, painéis de controle de storage e hypervisors Por expor a presença do adversário, essa técnica tipicamente ocorre **nas fases finais do ataque**, após o cumprimento dos objetivos primários - exfiltração de dados, implantação de ransomware, ou estabelecimento de persistência. É um ato deliberado: o atacante optou por se revelar, o que indica que a missão principal foi concluída ou que o impacto psicológico foi o objetivo desde o início. Grupos como [[g0032-lazarus-group|Lazarus Group]] (APT38/HIDDEN COBRA) têm histórico documentado de combinar desfiguração interna com ataques destrutivos, especialmente em campanhas contra o setor financeiro e de infraestrutura crítica. O [[g0047-gamaredon|Gamaredon Group]], associado ao serviço de segurança russo FSB, utiliza a técnica em campanhas de espionagem e sabotagem contra alvos ucranianos. Ransomware como [[g1043-blackbyte|BlackByte]], [[blackcat|BlackCat]] e [[qilin|Qilin]] rotineiramente alteram papéis de parede para exibir notas de resgate. ## Como Funciona A execução da desfiguração interna varia conforme o ambiente-alvo e os objetivos do adversário. O fluxo típico envolve: **1. Acesso e Reconhecimento Prévio** O adversário já possui acesso estabelecido - sejá via credenciais comprometidas ([[t1078-valid-accounts|T1078 - Valid Accounts]]), exploração de vulnerabilidades ou movimento lateral ([[t1021-remote-services|T1021 - Remote Services]]). Nesta fase, ele mapeia os sistemas de maior visibilidade: servidores de arquivos, controladores de domínio, servidores de intranet e máquinas de usuários com alto perfil. **2. Modificação de Wallpaper via Scripts** Em ambientes Windows, o adversário pode usar scripts PowerShell para alterar o papel de parede em múltiplos sistemas simultaneamente, especialmente via GPO (Group Policy Object) comprometida ou ferramentas de administração remota como PsExec. Em ambientes Linux, scripts bash podem substituir arquivos de configuração de gerenciadores de jánela (GNOME, KDE). **3. Alteração de Banners de Login** Em servidores Linux/Unix, o arquivo `/etc/motd` (Message of the Day) e `/etc/issue` podem ser modificados para exibir mensagens dos atacantes. Em servidores Windows, banners de RDP e de login de domínio são alvos comuns via edição do registro ou GPO. **4. Modificação de Portais Internos** Intranets baseadas em SharePoint, Confluence ou WordPress corporativo são alvos de modificação de templates, páginas de início ou injeção de conteúdo via exploração de vulnerabilidades CMS ou credenciais comprometidas de administradores. **5. Manipulação de Hypervisors (ESXi)** Em ambientes de virtualização VMware ESXi - cada vez mais visados por ransomware -, adversários como [[g1043-blackbyte|BlackByte]] e [[blackcat|BlackCat]] modificam interfaces de gestão para exibir mensagens de resgate diretamente nos painéis de administração de VMs. ## Attack Flow ```mermaid graph TB A["Acesso Inicial<br/>Credenciais/Exploração"] --> B["Movimento Lateral<br/>T1021 - Remote Services"] B --> C["Reconhecimento Interno<br/>Mapeamento de ativos visíveis"] C --> D["Escalação de Privilégios<br/>Admin local / Domain Admin"] D --> E{"Vetor de Desfiguração"} E --> F["Wallpaper via GPO/PowerShell<br/>Estações de trabalho"] E --> G["Banner de Login<br/>SSH/RDP/MOTD"] E --> H["Portal Interno<br/>Intranet/SharePoint/Confluence"] E --> I["Hypervisor UI<br/>ESXi / VMware"] F --> J["Impacto Psicológico<br/>Intimidação / Pânico"] G --> J H --> J I --> J J --> K["Objetivo Cumprido<br/>Extorsão / Sabotagem / Disrupção"] ``` ## Exemplos de Uso ### Gamaredon Group - Campanhas contra a Ucrânia O [[g0047-gamaredon|Gamaredon Group]] (também conhecido como Primitive Bear, ACTINIUM) conduz campanhas persistentes contra entidades governamentais, militares e de infraestrutura crítica ucranianas. Em múltiplas intrusões documentadas, o grupo combinou espionagem com desfiguração interna - modificando sistemas de usuários em agências governamentais para exibir mensagens políticas pró-Rússia, sinalizando a profundidade do comprometimento e gerando desestabilização. ### BlackByte e BlackCat - Ransomware com Impacto Visual Operadores de [[blackcat|BlackCat]] (ALPHV) e [[g1043-blackbyte|BlackByte]] usam sistematicamente a troca de wallpaper como parte do playbook de ransomware. Após cifragem, todos os sistemas acessíveis exibem a nota de resgate como papel de parede, maximizando o impacto psicológico e garantindo que a vítima compreenda imediatamente a extensão do ataque. O [[qilin|Qilin]] adota abordagem similar, com notas de resgate altamente personalizadas por vítima. ### Lazarus Group - Ataques Destrutivos ao Setor Financeiro O [[g0032-lazarus-group|Lazarus Group]] tem histórico de combinar [[t1491-001-internal-defacement|Internal Defacement]] com wipers destrutivos (como o DESTOVER no ataque à Sony Pictures em 2014). Após implantação de malware destrutivo, sistemas exibem imagens e mensagens do grupo "GOP" (Guardians of Peace), criando desorientação máxima nos times de resposta. O malware [[s0688-meteor|Meteor]] e [[s1150-roadsweep|ROADSWEEP]] seguem padrão similar em ataques a infraestrutura do Oriente Médio. ### ShrinkLocker - Abuso do BitLocker O [[s1178-shrinklocker|ShrinkLocker]] - ransomware que abusa do BitLocker do Windows - modifica a tela de boot para exibir instruções de resgate, efetivamente transformando o mecanismo nativo de proteção do Windows em veículo de desfiguração da interface de sistema. ### INC Ransomware e Diavol O [[s1139-inc-ransomware|INC Ransomware]] e o [[s0659-diavol|Diavol]] (associado ao grupo TrickBot/Wizard Spider) também registram uso desta técnica, alterando desktops em redes corporativas como parte de campanhas de dupla extorsão, onde a desfiguração interna serve como prova de acesso e pressão psicológica adicional sobre as vítimas. ## Detecção A detecção eficaz de Internal Defacement requer monitoramento de múltiplas fontes de eventos, combinando logs de endpoint, auditoria de Active Directory e monitoramento de integridade de arquivos. ### Regra Sigma - Modificação de Wallpaper via Registro (Windows) ```yaml title: Modificação de Wallpaper Corporativo via Registro status: experimental logsource: category: registry_set product: windows detection: selection: TargetObject|contains: - '\Control Panel\Desktop\Wallpaper' - '\Control Panel\Desktop\WallpaperStyle' Details|contains: - '.bmp' - '.jpg' - '.png' filter_legit: Image|contains: - 'explorer.exe' - 'SystemSettingsAdminFlows.exe' condition: selection and not filter_legit level: medium tags: - attack.impact - attack.t1491.001 falsepositives: - Ferramentas legítimas de gestão de desktops corporativos (SCCM, InTune) - Usuários alterando wallpaper manualmente via configurações ``` ### Regra Sigma - Modificação de Banner SSH/MOTD (Linux) ```yaml title: Modificação de Mensagem MOTD ou Banner de Login status: experimental logsource: category: file_change product: linux detection: selection: TargetFilename|contains: - '/etc/motd' - '/etc/issue' - '/etc/issue.net' - '/etc/ssh/sshd_config' condition: selection level: high tags: - attack.impact - attack.t1491.001 falsepositives: - Administradores atualizando banners de segurança legítimos - Processos de provisionamento automatizado (Ansible, Puppet, Chef) ``` ### Regra Sigma - GPO Modificada para Distribuição de Wallpaper ```yaml title: Group Policy Object Modificada - Possível Distribuição de Wallpaper Malicioso status: experimental logsource: product: windows service: security detection: selection: EventID: 5136 AttributeLDAPDisplayName: gPCFileSysPath condition: selection level: high tags: - attack.impact - attack.t1491.001 - attack.t1484 falsepositives: - Administradores de domínio realizando mudanças legítimas de GPO ``` ### Fontes de Dados Prioritárias | Fonte | Eventos Relevantes | Prioridade | |-------|-------------------|------------| | Windows Event Log - Security | EventID 5136 (GPO modificado), 4670 (permissões alteradas) | Alta | | Sysmon | EventID 13 (RegistryValueSet) para chaves de wallpaper | Alta | | File Integrity Monitoring | Modificações em `/etc/motd`, `/etc/issue`, arquivos HTML de intranet | Alta | | EDR (CrowdStrike/Defender) | Processos escrevendo em caminhos de wallpaper fora do Explorer | Alta | | SIEM (correlação) | Modificações em múltiplos endpoints em curto intervalo (< 5 min) | Crítica | | Active Directory Audit | Modificações de GPO em OUs sensíveis | Alta | ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | [[m1053-data-backup\|M1053]] | Data Backup | Manter backups regulares e verificados de configurações de sistema, templates de portais internos e imagens de servidor. Backups permitem restauração rápida após desfiguração. | | M1026 | Privileged Account Management | Restringir quais contas podem modificar GPOs, políticas de wallpaper corporativo e configurações de banner de login. Aplicar princípio de menor privilégio rigorosamente. | | M1018 | User Account Management | Revisar e limitar privilégios de administração local em estações de trabalho. Usuários comuns não devem ter capacidade de modificar wallpaper via registro em ambientes corporativos gerenciados. | | M1022 | Restrict File and Directory Permissions | Proteger arquivos de configuração de interface (MOTD, arquivos HTML de intranet, templates de SharePoint) com permissões restritas e monitoramento de integridade. | | M1030 | Network Segmentation | Segmentar acesso a sistemas de gestão (hypervisors ESXi, consoles de gerenciamento) para redes de administração dedicadas com acesso bastionado. | ## Contexto Brasil/LATAM O Brasil e a América Latina registram volume significativo de incidentes envolvendo desfiguração de sistemas internos, com características regionais distintas: **Ransomware dirigido ao setor público brasileiro:** Grupos como [[blackcat|BlackCat]], [[lockbit|LockBit]] e [[s1139-inc-ransomware|INC Ransomware]] têm como alvo recorrente prefeituras, tribunais de justiça e autarquias federais brasileiras. O padrão de ataque invariavelmente inclui desfiguração interna - sistemas comprometidos exibem notas de resgate em português (brasileiro ou europeu), com valores em reais ou criptomoeda. O TJRS (Tribunal de Justiça do Rio Grande do Sul), o TJSC e múltiplos municípios brasileiros sofreram incidentes com este modus operandi. **Ataques hacktivistas com motivação política:** Em períodos eleitorais e de crise política, grupos hacktivistas brasileiros e internacionais utilizam desfiguração interna em conjunto com [[t1491-002-external-defacement|T1491.002 - External Defacement]] para maximizar impacto. Portais internos de partidos políticos, órgãos eleitorais e entidades governamentais foram alvos documentados. **Espionagem industrial e desfiguração como disrupção:** Empresas do setor de energia, mineração e agronegócio no Brasil têm sido alvos de campanhas APT que combinam espionagem ([[t1560-archive-collected-data|T1560]]) com desfiguração interna para dificultar a investigação forense - ao gerar pânico e desorientação, os atacantes ganham tempo enquanto equipes de TI focam na restauração visual em vez de na análise de exfiltração. **Ausência de maturidade em FIM (File Integrity Monitoring):** Grande parte das organizações brasileiras de médio porte - especialmente no setor público e em cooperativas financeiras - não possui File Integrity Monitoring (FIM) implementado, tornando a detecção de desfiguração interna dependente de relatos de usuários, o que atrasa substancialmente a resposta. **Grupos regionais de ransomware:** O [[prilex|Prilex]] e outros grupos de origem brasileira focados em fraude financeira raramente usam desfiguração interna como tática principal, preferindo exfiltração silenciosa. Contudo, quando operam em parceria com afiliados internacionais de ransomware-as-a-service (RaaS), o playbook de desfiguração é incorporado. ## Referências - [MITRE ATT&CK - T1491.001 Internal Defacement](https://attack.mitre.org/techniques/T1491/001) - [MITRE ATT&CK - T1491 Defacement (técnica pai)](https://attack.mitre.org/techniques/T1491) - [Mandiant - Gamaredon Group TTPs](https://www.mandiant.com/resources/blog/gamaredon-operations-ukraine) - [CISA Advisory - BlackByte Ransomware](https://www.cisa.gov/news-events/cybersecurity-advisories/aa22-321a) - [Unit 42 - BlackCat/ALPHV Ransomware Analysis](https://unit42.paloaltonetworks.com/blackcat-ransomware/) - [Kaspersky - ROADSWEEP e Meteor Wiper](https://securelist.com/roadsweep-ransomware-and-zerocleare-targeting-albania/107652/) - [ShrinkLocker - Abuso do BitLocker como ransomware](https://www.eset.com/int/about/newsroom/press-releases/research/eset-research-discovers-shrinklocker-novel-ransomware-that-abuses-bitlocker/) - [CERT.br - Relatório de Incidentes 2024](https://www.cert.br/stats/) **Notas relacionadas:** [[t1491-defacement|T1491 - Defacement]] · [[t1491-002-external-defacement|T1491.002 - External Defacement]] · [[t1485-data-destruction|T1485 - Data Destruction]] · [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] · [[m1053-data-backup|M1053 - Data Backup]] · [[g0047-gamaredon|Gamaredon Group]] · [[g0032-lazarus-group|Lazarus Group]] · [[blackcat|BlackCat]] · [[g1043-blackbyte|BlackByte]] --- *Fonte: [MITRE ATT&CK - T1491.001](https://attack.mitre.org/techniques/T1491/001)*