t1565-data-manipulation

# T1565 - Data Manipulation ## Descrição **T1565 - Data Manipulation** é uma das técnicas de impacto mais insidiosas do framework MITRE ATT&CK. Diferentemente de ataques que destroem ou criptografam dados, a manipulação de dados tem como objetivo **alterar a integridade da informação de forma sutil** - frequentemente sem alertas imediatos -, corrompendo a confiabilidade dos dados que embasam decisões organizacionais, operacionais ou financeiras. O adversário pode inserir, modificar ou deletar dados em sistemas críticos para **influenciar decisões externas**, **ocultar atividades maliciosas** ou **causar danos operacionais** que só se manifestam depois de um longo período. A natureza silenciosa da manipulação é o que a torna particularmente perigosa: organizações podem operar por semanas ou meses com dados comprometidos antes de perceberem o problema. Esta técnica se manifesta em três modalidades distintas, cada uma com vetor e impacto específicos: - **[[t1565-001-stored-data-manipulation|T1565.001 - Stored Data Manipulation]]**: modificação de dados em repouso - bancos de dados, arquivos de configuração, logs, backups - **[[t1565-002-transmitted-data-manipulation|T1565.002 - Transmitted Data Manipulation]]**: interceptação e alteração de dados em trânsito - ataques MITM, manipulação de APIs, replay attacks - **[[t1565-003-runtime-data-manipulation|T1565.003 - Runtime Data Manipulation]]**: modificação de dados em memória durante execução - injeção em processos, hook de funções, manipulação de variáveis em tempo real O grupo [[g1016-fin13|FIN13]] é um exemplo documentado de ator de ameaça que utilizou manipulação de dados em ataques financeiros sofisticados no México, manipulando registros de transações e logs de auditoria para encobrir transferências fraudulentas de alto valor. A técnica está intimamente relacionada à tática [[_impact|Impact]] e pode ser combinada com [[t1070-indicator-removal|T1070 - Indicator Removal]] para apagar rastros da manipulação, tornando a detecção forense ainda mais difícil. --- ## Como Funciona A manipulação de dados é um processo que requer acesso privilegiado e conhecimento profundo do sistema alvo. O ciclo de ataque completo envolve: **1. Acesso Inicial e Reconhecimento** O adversário precisa primeiro estabelecer acesso ao sistema onde os dados residem. Isso pode ocorrer via exploração de vulnerabilidades, phishing com [[t1566-phishing|T1566]], roubo de credenciais com [[t1078-valid-accounts|T1078]] ou movimento lateral após comprometimento inicial. Durante o reconhecimento interno, o atacante mapeia estruturas de banco de dados, esquemas de arquivos e fluxos de dados. **2. Identificação dos Dados Estratégicos** Nem todos os dados têm o mesmo valor. O adversário identifica dados de alto impacto: registros financeiros, logs de auditoria, configurações de sistemas críticos, dados de inventário, registros médicos, ou qualquer dataset que fundamente decisões críticas. Em sistemas financeiros, tabelas de saldo, registros de transação e logs de autorização são alvos primários. **3. Modificação dos Dados** Dependendo da sub-técnica, a modificação ocorre de formas distintas: - **SQL injection** ou acesso direto ao banco de dados para alterar registros - **Manipulação de arquivos de configuração** (`.conf`, `.ini`, `.yaml`, `.json`) para alterar comportamento de sistemas - **Injeção em processos** para modificar dados em memória antes de serem gravados em disco - **Interceptação de tráfego** (via ARP spoofing, BGP hijacking, SSL stripping) para alterar dados em trânsito - **Modificação de backups** para garantir que a versão "limpa" dos dados também estejá comprometida **4. Ocultação das Modificações** Para manter o acesso e evitar detecção, o adversário pode: - Alterar timestamps de arquivos modificados (`touch -t`) - Modificar logs de auditoria para remover evidências da alteração - Usar ferramentas anti-forense para apagar artefatos - Modificar checksums e hashes armazenados junto aos dados **5. Persistência e Impacto Prolongado** Em ataques sofisticados, a manipulação é projetada para ser lenta e incremental, de modo que anomalias estatísticas demorem mais para emergir. [[g1016-fin13|FIN13]], por exemplo, operou por meses em redes comprometidas antes de executar a fase de exfiltração/manipulação financeira. --- ## Attack Flow ```mermaid graph TB A[Acesso inicial - T1566 Phishing / T1078 Valid Accounts] --> B[Reconhecimento interno] B --> C[Mapeamento de estruturas de dados críticos] C --> D{Modalidade de manipulação} D --> E[T1565.001 - Dados armazenados] D --> F[T1565.002 - Dados em trânsito] D --> G[T1565.003 - Dados em runtime] E --> H[Acesso direto ao banco de dados] E --> I[Modificação de arquivos de configuração] F --> J[Interceptação MITM] F --> K[Manipulação de API / replay] G --> L[Injeção em processo] G --> M[Hook de funções em memória] H --> N[Modificação de registros] I --> N J --> N K --> N L --> N M --> N N --> O[Ocultação - T1070 Indicator Removal] O --> P[Impacto - decisões baseadas em dados corrompidos] P --> Q[Fraude financeira] P --> R[Falha operacional] P --> S[Comprometimento de integridade regulatória] ``` --- ## Exemplos de Uso ### FIN13 - Ataques ao Setor Financeiro Mexicano O grupo [[g1016-fin13|FIN13]] conduziu operações extensas contra instituições financeiras no México entre 2016 e 2022. O grupo manipulou registros bancários e logs de transações para encobrir transferências fraudulentas. A técnica de manipulação de dados armazenados foi combinada com eliminação de indicadores (T1070) para criar uma jánela temporal onde as transferências podiam ser concluídas antes de qualquer alerta ser gerado. O Mandiant relatou que o FIN13 chegou a modificar bancos de dados de monitoramento antifraude para criar isenções temporárias para as contas usadas nas transações fraudulentas. ### Manipulação de Dados em Sistemas SCADA Em ambientes industriais, a manipulação de dados de sensores em sistemas SCADA pode causar reações automáticas incorretas em processos físicos. Ao falsificar leituras de temperatura, pressão ou fluxo, um adversário pode induzir operadores a tomar decisões incorretas ou forçar sistemas automatizados a acionar respostas inadequadas - desde simples falhas de produção até acidentes industriais. ### NotPetya - Manipulação de MBR O malware [[s0368-notpetya|NotPetya]] (2017) combinou destruição de dados com manipulação do Master Boot Record (MBR), tornando sistemas irrecuperáveis. Embora categorizado primariamente como [[t1485-data-destruction|T1485 - Data Destruction]], a fase intermediária envolveu manipulação de runtime data para criptografar a MFT (Master File Table) antes do wipe completo. ### Manipulação de Logs de Auditoria Grupos APT frequentemente modificam logs de auditoria (Event Logs do Windows, `/var/log/auth.log` no Linux, logs de SIEM) como parte de operações de cobertura de rastros. Isso se enquadra em T1565.001 e complementa [[t1070-clear-windows-event-logs|T1070.001 - Clear Windows Event Logs]]. --- ## Detecção ### Indicadores Comportamentais - Alterações em registros de banco de dados sem uma transação legítima correspondente - Discrepâncias entre logs de auditoria e estado atual dos dados - Timestamps de arquivos inconsistentes com padrões de uso - Queries SQL anômalas (UPDATE/DELETE em grandes volumes fora do horário comercial) - Processos acessando memória de outros processos (cross-process memory access) - Tráfego de rede com payloads adulterados detectados por IDS com análise de protocolo ### Sigma Rule - Modificação Anômala de Banco de Dados ```yaml title: Anomalous Mass Database Record Modification status: experimental logsource: category: database product: mssql detection: selection: EventID: 33205 statement|contains: - 'UPDATE' - 'DELETE' - 'INSERT' filter_normal_hours: timestamp|re: '(0[0-9]|1[0-9]|2[0-3]):(0[0-9]|[1-5][0-9]):[0-9]{2}' condition: selection level: high tags: - attack.impact - attack.t1565 - attack.t1565.001 falsepositives: - Operações de manutenção agendadas - Processos de ETL legítimos ``` ### Sigma Rule - Modificação de Arquivos de Log do Sistema ```yaml title: Suspicious Modification of System Log Files status: experimental logsource: category: file_event product: linux detection: selection: TargetFilename|startswith: - '/var/log/' - '/var/audit/' EventType: 'FileModified' filter_logrotaté: Image|endswith: 'logrotaté' condition: selection and not filter_logrotaté level: high tags: - attack.impact - attack.t1565 - attack.t1070 ``` ### Controles de Detecção Recomendados - **Monitoramento de Integridade de Arquivos (FIM):** Tripwire, OSSEC, Wazuh para detectar modificações não autorizadas - **Database Activity Monitoring (DAM):** Imperva, IBM Guardium para auditoria granular de operações SQL - **UEBA (User and Entity Behavior Analytics):** Detecção de anomalias baseada em baseline comportamental - **Network Traffic Analysis:** Zeek, Suricata para detecção de manipulação em trânsito - **Integridade criptográfica:** Hash/checksum de arquivos críticos armazenados em sistema segregado --- ## Mitigação | ID | Mitigação | Descrição | |----|-----------|-----------| | M1041 | [[m1041-encrypt-sensitive-information\|M1041 - Encrypt Sensitive Information]] | Criptografar dados sensíveis em repouso e em trânsito. Dados criptografados são muito mais difíceis de manipular de forma silenciosa, pois qualquer alteração inválida assinaturas criptográficas. | | M1029 | [[m1029-remote-data-storage\|M1029 - Remote Data Storage]] | Armazenar backups e cópias de dados críticos em sistemas remotos e isolados. Garante que uma versão íntegra dos dados estejá disponível para detecção de manipulação e recuperação. | | M1030 | [[m1030-network-segmentation\|M1030 - Network Segmentation]] | Isolar sistemas com dados críticos em segmentos de rede segregados. Limita o alcance de um adversário que obteve acesso inicial a uma parte da rede. | | M1022 | [[m1022-restrict-file-and-directory-permissions\|M1022 - Restrict File and Directory Permissions]] | Aplicar princípio do menor privilégio em sistemas de arquivos e bancos de dados. Apenas processos e usuários que precisam escrever dados devem ter essa permissão. | | - | Write-Once Storage | Para logs de auditoria e dados forenses, usar armazenamento write-once (WORM) ou sistemas com assinatura criptográfica de entradas. | | - | Checksums e Assinaturas Digitais | Assinar criptograficamente arquivos de configuração e dados críticos. Verificações regulares de integridade detectam modificações. | | - | Separação de Funções | Implementar controles que exijam múltiplas aprovações para modificações em dados sensíveis, especialmente em sistemas financeiros. | --- ## Contexto Brasil / LATAM A manipulação de dados representa uma ameaça significativa e subestimada no contexto brasileiro e latino-americano: **Setor Financeiro Brasileiro:** O Brasil possui um dos sistemas financeiros mais digitalizados do mundo, com o Pix processando mais de 100 milhões de transações por dia. Fraudes financeiras sofisticadas que envolvem manipulação de registros bancários são um vetor de alto interesse para grupos como [[g1016-fin13|FIN13]] (que já demonstrou foco no México e pode expandir para o Brasil) e grupos locais de cybercrime organizado, como os operadores do [[s0531-grandoreiro|Grandoreiro]]. **Setor de Saúde:** O Brasil possui o maior sistema de saúde pública do mundo (SUS). Manipulação de registros médicos eletrônicos - sejá para fraude de planos de saúde, sejá para comprometer decisões clínicas - representa um risco crescente. O Ministério da Saúde foi alvo de ataques em 2021, quando dados de vacinação foram temporariamente adulterados. **Eleições e Processos Democráticos:** O Tribunal Superior Eleitoral (TSE) e os sistemas de urna eletrônica brasileiros são frequentemente alvo de desinformação sobre possível manipulação. Embora o sistema eleitoral brasileiro tenha controles robustos de integridade criptográfica, a ameaça de manipulação de dados em sistemas adjacentes (cadastro eleitoral, sistemas de divulgação de resultados) é real e monitorada. **LGPD e Compliance:** A Lei Geral de Proteção de Dados (LGPD) cria obrigações específicas de integridade de dados. Organizações que sofrem manipulação de dados pessoais têm obrigações de notificação à ANPD e podem enfrentar sanções significativas, tornando o impacto regulatório um componente adicional do dano causado por esta técnica. **Grupos Ativos na Região:** O [[g0099-blind-eagle-apt-c-36|Blind Eagle]] e grupos de cibercrime financeiro brasileiro têm histórico de comprometimento prolongado de redes corporativas - exatamente o tipo de acesso necessário para executar manipulação de dados sofisticada. O tempo médio de permanência (dwell time) de adversários em redes latino-americanas ainda é elevado, criando jánelas longas para operações de manipulação. --- ## Sub-técnicas - [[t1565-001-stored-data-manipulation|T1565.001 - Stored Data Manipulation]] - [[t1565-002-transmitted-data-manipulation|T1565.002 - Transmitted Data Manipulation]] - [[t1565-003-runtime-data-manipulation|T1565.003 - Runtime Data Manipulation]] ## Referências - [MITRE ATT&CK - T1565](https://attack.mitre.org/techniques/T1565) - [Mandiant - FIN13: A Cybercriminal Threat Actor Focused on Mexico](https://www.mandiant.com/resources/blog/fin13-cybercriminal-mexico) - [CISA - Data Integrity Guidance](https://www.cisa.gov/sites/default/files/publications/data_integrity_recovering_ransomware_attacks_0.pdf) - [[g1016-fin13|FIN13]] (threat actor que utiliza esta técnica) - [[_impact|Tática: Impact]] - [[t1070-indicator-removal|T1070 - Indicator Removal]] (técnica complementar) - [[t1485-data-destruction|T1485 - Data Destruction]] (técnica relacionada) - [[m1041-encrypt-sensitive-information|M1041 - Encrypt Sensitive Information]] (mitigação) - [[m1029-remote-data-storage|M1029 - Remote Data Storage]] (mitigação) - [[m1022-restrict-file-and-directory-permissions|M1022 - Restrict File and Directory Permissions]] (mitigação) --- *Fonte: [MITRE ATT&CK - T1565](https://attack.mitre.org/techniques/T1565)*