# T1565.001 - Stored Data Manipulation
## Descrição
**Stored Data Manipulation** (Manipulação de Dados Armazenados) é uma sub-técnica de [[t1565-data-manipulation|T1565 - Data Manipulation]] na qual adversários inserem, excluem ou alteram dados **em repouso** para influenciar processos de negócio, comprometer a integridade de decisões organizacionais, ou ocultar evidências de atividades maliciosas.
Diferentemente de ataques de destruição de dados ([[t1485-data-destruction|T1485 - Data Destruction]]) ou de criptografia para extorsão ([[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]]), a manipulação de dados armazenados é **silenciosa e cirúrgica**: o objetivo não é tornar dados inacessíveis, mas corrompê-los de forma sutil o suficiente para que a alteração passe despercebida enquanto produz efeitos reais nos sistemas e decisões que dependem desses dados.
A técnica é especialmente perigosa porque:
- **Integridade comprometida sem disponibilidade afetada** - sistemas continuam operando normalmente, com dados corrompidos, sem alertas óbvios
- **Difícil de detectar retrospectivamente** - sem baseline de integridade, é impossível determinar quando e quais dados foram alterados
- **Alto potencial de dano financeiro e operacional** - manipulação de registros contábeis, balancetes, dados de transações bancárias ou registros regulatórios pode ter consequências catastróficas
- **Vetor de desinformação** - dados alterados em sistemas de inteligência, militares ou governamentais podem levar a decisões estratégicas equivocadas
Os tipos de dados armazenados frequentemente visados incluem: arquivos Office (planilhas, documentos financeiros), bancos de dados relacionais (PostgreSQL, MySQL, MSSQL, Oracle), e-mails armazenados em servidores Exchange/M365, arquivos de configuração de sistemas críticos, logs de auditoria e sistemas de versionamento de código-fonte. Sistemas complexos - como plataformas de trading financeiro, sistemas SCADA/ICS ou bancos de dados hospitalares - requerem conhecimento especializado do adversário, tipicamente adquirido via campanha prolongada de reconhecimento.
O grupo [[g0082-apt38|APT38]], unidade do [[g0032-lazarus-group|Lazarus Group]] especializada em crime financeiro patrocinado pela Coreia do Norte, é o ator mais documentado no uso desta técnica. Em campanhas contra instituições financeiras na América Latina, Europa e Ásia, o APT38 manipulou registros de transações em sistemas SWIFT para ocultar transferências fraudulentas, posteriormente apagando os rastros da manipulação.
## Como Funciona
A execução de Stored Data Manipulation exige acesso prévio ao ambiente e conhecimento profundo dos sistemas-alvo. O fluxo típico envolve:
**1. Reconhecimento de Sistemas de Dados**
O adversário realiza reconhecimento interno ([[t1082-system-information-discovery|T1082 - System Information Discovery]]) para mapear onde dados críticos são armazenados: servidores de banco de dados, repositórios de arquivos, sistemas de backup, servidores de e-mail. Ferramentas como BloodHound, ADRecon e queries LDAP personalizadas auxiliam na identificação de ativos de alto valor.
**2. Acesso a Dados Armazenados**
Com credenciais privilegiadas obtidas via [[t1003-os-credential-dumping|T1003 - OS Credential Dumping]] ou [[t1555-credentials-from-password-stores|T1555 - Credentials from Password Stores]], o adversário acessa diretamente bancos de dados via SQL, monta shares de rede ou acessa sistemas de arquivos remotamente via [[t1021-remote-services|T1021 - Remote Services]].
**3. Identificação e Modificação Cirúrgica**
A modificação é feita de forma direcionada: alterar saldos em tabelas financeiras, modificar timestamps em logs de auditoria, injetar registros falsos em bancos de dados de compliance, ou substituir linhas específicas em arquivos de configuração. O adversário visa minimizar o footprint enquanto maximiza o impacto no processo de negócio-alvo.
**4. Cobertura de Rastros**
Após a modificação, o adversário pode alterar logs de acesso a banco de dados, manipular metadados de arquivos (timestamps de modificação) via [[t1070-indicator-removal|T1070 - Indicator Removal]], e eventualmente destruir evidências forenses adicionais. O malware [[s0562-sunspot|SUNSPOT]] (associado ao ataque SolarWinds) demonstrou capacidade de modificar código-fonte em pipelines de build sem deixar rastros óbvios nos sistemas de versionamento.
**5. Persistência da Manipulação**
Em alguns casos, o adversário garante que a manipulação persista nos backups - aguardando ciclos de backup antes de executar a modificação, para que a versão corrompida substitua os backups anteriores. Isso torna a recuperação extremamente difícil.
## Attack Flow
```mermaid
graph TB
A["Acesso Inicial<br/>Credenciais / Exploração"] --> B["Reconhecimento Interno<br/>Mapeamento de sistemas de dados"]
B --> C["Acesso a Credenciais<br/>T1003 - Credential Dumping"]
C --> D["Acesso aos Dados<br/>SQL / SMB / API / Filesystem"]
D --> E{"Tipo de Dado Alvo"}
E --> F["Banco de Dados<br/>SQL INSERT/UPDATE/DELETE"]
E --> G["Arquivos Office/PDF<br/>Modificação direta de conteúdo"]
E --> H["Código-fonte<br/>Injeção em repositório/build"]
E --> I["E-mails/Logs<br/>Alteração de registros de auditoria"]
F --> J["Cobertura de Rastros<br/>T1070 - Indicator Removal"]
G --> J
H --> J
I --> J
J --> K["Impacto no Negócio<br/>Decisões incorretas / Fraude / Compliance"]
```
## Exemplos de Uso
### APT38 - Manipulação de Transações SWIFT
O [[g0082-apt38|APT38]] - braço financeiro do [[g0032-lazarus-group|Lazarus Group]] - realizou uma das aplicações mais sofisticadas desta técnica no contexto de roubo financeiro de larga escala. Em ataques a bancos no Bangladesh (2016), Vietnã, Taiwan e instituições financeiras na América Latina, o grupo:
1. Obteve acesso ao software de mensageria SWIFT (Society for Worldwide Interbank Financial Telecommúnication) das instituições-alvo
2. Criou ordens de transferência fraudulentas enquanto simultaneamente modificava os registros locais para que as transações não aparecessem nos sistemas de auditoria internos
3. Utilizou o malware [[evtdiag|EVTDIAG]] e ferramentas customizadas para manipular logs do servidor SWIFT e registros de banco de dados locais, ocultando as transferências por horas enquanto os fundos eram movimentados
4. O roubo ao Banco Central do Bangladesh resultou em USD 81 milhões transferidos com sucesso
Esta operação demonstra a sofisticação máxima da técnica: modificação cirúrgica de dados em sistemas financeiros críticos, com conhecimento profundo do sistema-alvo adquirido via intrusão prolongada.
### SUNSPOT - Manipulação de Pipeline de Build (SolarWinds)
O malware [[s0562-sunspot|SUNSPOT]], implantado pelo [[g0016-apt29|APT29]] (Cozy Bear) no ataque à cadeia de suprimentos da SolarWinds (2020), representa uma aplicação de Stored Data Manipulation em código-fonte. O SUNSPOT monitorava processos de build do Orion Platform e, quando detectava o processo de compilação, substituía temporariamente arquivos de código-fonte legítimos por versões com backdoor ([[s0559-sunburst|SUNBURST]] implantado), restaurando o arquivo original após a compilação. O resultado foi um produto legítimo, assinado digitalmente, contendo código malicioso - sem que qualquer desenvolvedor percebesse a modificação.
### MultiLayer Wiper - Manipulação antes da Destruição
O [[s1135-multilayer-wiper|MultiLayer Wiper]], documentado em ataques a infraestrutura crítica, combina manipulação de dados com destruição posterior. Antes de executar a fase destrutiva, o malware manipula configurações de backup e registros de sistema para maximizar o dano da fase subsequente de wipagem.
## Detecção
A detecção de Stored Data Manipulation é significativamente mais difícil do que a de outras técnicas de impacto, pois não há interrupção de serviços. As estrategias mais eficazes são preventivas (baselines de integridade) e de monitoramento de anomalias comportamentais.
### Regra Sigma - Acesso Anômalo a Banco de Dados por Processo Não-Padrão
```yaml
title: Acesso a Banco de Dados por Processo Incomum
status: experimental
logsource:
category: network_connection
product: windows
detection:
selection:
DestinationPort:
- 1433 # MSSQL
- 3306 # MySQL
- 5432 # PostgreSQL
- 1521 # Oracle
Initiated: 'true'
filter_known:
Image|contains:
- 'sqlservr.exe'
- 'mysql.exe'
- 'psql.exe'
- 'java.exe'
- 'python.exe'
- 'node.exe'
condition: selection and not filter_known
level: medium
tags:
- attack.impact
- attack.t1565.001
falsepositives:
- Ferramentas legítimas de administração de banco de dados (DBeaver, HeidiSQL, SSMS)
- Scripts de manutenção automatizados
```
### Regra Sigma - Modificação em Massa de Arquivos em Repositório de Dados
```yaml
title: Modificação em Massa de Arquivos em Diretório Sensível
status: experimental
logsource:
category: file_event
product: windows
detection:
selection:
EventType: 'FileModified'
TargetFilename|contains:
- '\Finance\\'
- '\Accounting\\'
- '\Database\\'
- '\Backup\\'
timeframe: 5m
condition: selection | count() > 50
level: high
tags:
- attack.impact
- attack.t1565.001
falsepositives:
- Processos legítimos de ETL (Extract, Transform, Load)
- Operações de backup em execução
```
### Regra Sigma - Query SQL de Alto Volume por Usuário Incomum
```yaml
title: Execução de Queries SQL UPDATE/DELETE em Volume Anômalo
status: experimental
logsource:
product: mssql
service: audit
detection:
selection:
EventClass: 'SQL:BatchCompleted'
TextData|contains:
- 'UPDATE '
- 'DELETE '
- 'INSERT '
LoginName|endswith:
- '