# T1091 - Replication Through Removable Media ## Descrição **T1091 - Replication Through Removable Media** é uma técnica de [[lateral-movement|Movimentação Lateral]] e [[initial-access|Acesso Inicial]] na qual adversários copiam malware para mídias removíveis - pen drives, HDs externos, cartões SD - e exploram o recurso de Execução Automática (Autorun/AutoPlay) do Windows para infectar novos sistemas no momento da inserção. No contexto de **movimentação lateral**, o malware pode modificar executáveis legítimos já armazenados na mídia ou se disfarçar com ícones e nomes de arquivos que imitam documentos comuns (`.pdf`, `.docx`, `.xlsx`), induzindo o usuário a abrir o arquivo infectado em outro host. No contexto de **acesso inicial**, a mídia pode ser entregue fisicamente - deixada em estacionamentos, recepções ou distribuída em eventos - explorando a curiosidade humana. ### Contexto Brasil e LATAM No Brasil, esta técnica é particularmente relevante em ambientes industriais e governamentais com **redes air-gapped** - sistemas de controle industrial (ICS/SCADA) de usinas hidrelétricas, refinarias e instalações do setor de [[energy|energia]] frequentemente proibem conexão à internet, mas permitem o uso de pen drives para transferência de dados, criando um vetor de ataque privilegiado. O caso mais emblemático globalmente foi o [[s0603-stuxnet|Stuxnet]], que infectou centrífugas de enriquecimento nuclear iranianas exatamente por este vetor. Na LATAM, grupos como [[g0129-mustang-panda|Mustang Panda]] e [[g0007-apt28|APT28]] já utilizaram variantes desta técnica contra alvos governamentais e diplomáticos. O malware [[s1130-raspberry-robin|Raspberry Robin]], identificado como worm de pen drive com capacidade de baixar payloads adicionais, teve presença confirmada em redes corporativas brasileiras em 2023-2024. Organizações do [[financial|setor financeiro]] e [[government|governo]] no Brasil devem considerar esta ameaça especialmente em filiais, postos avançados e ambientes de produção fabril onde controles de endpoint são mais frouxos. --- --- ## Attack Flow ```mermaid graph TB A([Adversário]) --> B[Prepara mídia infectada<br/>Autorun + payload oculto] B --> C[Entrega física<br/>ou acesso ao host] C --> D{{"T1091<br/>Inserção da mídia"}}:::highlight D --> E[Autorun executa<br/>malware automaticamente] D --> F[Usuário abre<br/>arquivo disfarçado] E --> G[Host infectado] F --> G G --> H[Lateral Movement<br/>para próximo host] G --> I[Exfiltração ou<br/>carga de C2] classDef highlight fill:#e74c3c,color:#fff ``` --- ## Como Funciona **Passo 1 - Preparação da mídia maliciosa** O adversário grava o malware na mídia removível junto de um arquivo `autorun.inf` que instrui o Windows a executar automaticamente o payload quando a mídia é inserida. Alternativamente, cria arquivos com ícones de pastas ou documentos para enganar o usuário. Ferramentas como [[s0013-plugx|PlugX]] e [[s1130-raspberry-robin|Raspberry Robin]] incluem rotinas nativas de auto-replicação para mídias USB. **Passo 2 - Inserção e execução no host-alvo** Quando a mídia é inserida no sistema-alvo, o Windows (dependendo da configuração de AutoPlay/Autorun) executa automaticamente o `autorun.inf` ou exibe um prompt que o usuário tende a aceitar. Em cenários de engenharia social, o usuário é induzido a abrir um arquivo aparentemente legítimo - o duplo-clique em um `.lnk` disfarçado de pasta, por exemplo, dispara o payload em background enquanto abre o explorador de arquivos normalmente. **Passo 3 - Replicação e persistência** Após infectar o host, o malware monitora a inserção de novas mídias removíveis e se copia automaticamente para elas, garantindo propagação contínua sem necessidade de comúnicação C2. Em redes air-gapped, esta capacidade de auto-replicação é crítica para o adversário manter presença e exfiltrar dados - o [[s0603-stuxnet|Stuxnet]] usava arquivos `.lnk` e quatro zero-days distintos para garantir execução mesmo sem Autorun ativo. --- ## Detecção ### Event IDs Relevantes (Windows) | Event ID | Log | Indicador | |----------|-----|-----------| | **4663** | Security | Acesso a objeto em mídia removível (auditoria de objeto) | | **4656** | Security | Solicitação de handle para objeto em unidade removível | | **6416** | Security | Novo dispositivo de hardware externo reconhecido pelo sistema | | **20001** | System | Instalação de driver de dispositivo removível (PnP) | | **7045** | System | Serviço novo instalado - pode indicar persistência via USB | | **4688** | Security | Novo processo criado a partir de caminho em mídia removível (ex: `E:\`, `F:\`) | ### Regra Sigma ```yaml title: Execução de processo a partir de mídia removível id: 7f5c4e1a-3b2d-4a8f-9c0e-1d6b7a2f5e3c status: experimental description: Detecta criação de processo a partir de letras de unidade típicas de mídia removível references: - https://attack.mitre.org/techniques/T1091 author: RunkIntel daté: 2026/03/24 tags: - attack.lateral_movement - attack.t1091 logsource: category: process_creation product: windows detection: selection: Image|startswith: - 'D:\' - 'E:\' - 'F:\' - 'G:\' - 'H:\' filter_legit: Image|contains: - '\Windows\' - '\Program Files\' condition: selection and not filter_legit falsepositives: - Aplicações instaladas em unidades secundárias legítimas - Ferramentas de backup em HDs externos corporativos level: medium ``` > [!tip] Dica operacional para SOCs brasileiros > Correlacione o Event ID **6416** (novo dispositivo) com **4688** (novo processo) nos próximos 30 segundos. Se o processo criado tiver caminho fora de `C:\`, priorize a investigação. Em ambientes OT/ICS, qualquer execução a partir de mídia removível deve ser tratada como **alta prioridade**. ## Mitigação | Controle | Mitigação MITRE | Implementação para Organizações Brasileiras | |----------|----------------|---------------------------------------------| | Desabilitar Autorun/AutoPlay | [[m1042-disable-or-remove-feature-or-program\|M1042]] | GPO: `Computer Configuration → Administrative Templates → Windows Components → AutoPlay Policies → Turn off AutoPlay` - aplicar em todos os domínios | | Bloquear hardware USB por política | [[m1034-limit-hardware-installation\|M1034]] | Uso de soluções DLP (ex: Symantec DLP, Forcepoint) ou GPO `Device Installation Restrictions` - listar apenas dispositivos aprovados por GUID | | EDR com prevenção comportamental | [[m1040-behavior-prevention-on-endpoint\|M1040]] | CrowdStrike Falcon, Microsoft Defender for Endpoint ou SentinelOne - ativar regras de bloqueio de execução a partir de mídia removível | | Controle de acesso físico | Processo | Em ambientes industriais e governamentais brasileiros: registrar e inspecionar toda mídia removível; usar estações de quarentena (kiosk) para scan antes de inserção em hosts de produção | | Segmentação de rede OT/IT | Arquitetura | Seguir diretrizes ANPD e IEC 62443 para separação de redes industriais - minimizar pontos onde pen drives são o único vetor de transferência | --- ## Threat Actors que Usam esta Técnica ### [[g0007-apt28|APT28]] (Fancy Bear) Grupo de espionagem russo vinculado ao GRU que utilizou o worm [[s0092-agentbtz|Agent.btz]] - propagado via USB - para comprometer redes classificadas do Departamento de Defesa dos EUA em 2008. Atua contra alvos governamentais e diplomáticos, incluindo embaixadas na LATAM. ### [[g0129-mustang-panda|Mustang Panda]] APT chinês que usa [[s0013-plugx|PlugX]] com módulos de replicação USB para persistência em redes diplomáticas e governamentais. Campanhas documentadas contra países do sudeste asiático e África podem ter vetores similares em missões diplomáticas latino-americanas. ### [[g0047-gamaredon|Gamaredon Group]] Grupo russo focado em alvos ucranianos que utiliza mídias removíveis como vetor secundário, especialmente em ambientes militares e governamentais onde conectividade à internet é restrita. ### [[g0046-fin7|FIN7]] Grupo de crime organizado financeiro que distribuiu pen drives USB infectados pelo correio para funcionários de empresas-alvo no setor de varejo e hospitalidade nos EUA - técnica de entrega física que pode ser replicada em campanhas contra o [[financial|setor financeiro]] brasileiro. ### [[g0081-tropic-trooper|Tropic Trooper]] APT taiwanês/asiático que opera em redes governamentais e de defesa usando [[s1230-hiupan|HIUPAN]] e outros worms USB como vetor de movimentação lateral em redes segmentadas. --- ## Software Associado | Malware | Tipo | Relevância | |---------|------|------------| | [[s0603-stuxnet\|Stuxnet]] | Worm ICS | Referência histórica - explorou 4 zero-days via USB contra ICS/SCADA | | [[s1130-raspberry-robin\|Raspberry Robin]] | Worm/Loader | Ativo em 2023-2024, incluindo redes corporativas no Brasil; baixa payloads como [[lockbit\|LockBit]] | | [[s0013-plugx\|PlugX]] | RAT | Módulo USB nativo; usado por múltiplos APTs chineses em missões diplomáticas | | [[s0092-agentbtz\|Agent.btz]] | Worm | Comprometeu redes classificadas DOS/EUA - precursor do malware russo moderno | | [[s0143-flame\|Flame]] | Espionagem | Sofisticado spyware com replicação USB; operação de estado-nação no Oriente Médio | | [[s1230-hiupan\|HIUPAN]] | Worm USB | Usado pelo [[g0081-tropic-trooper\|Tropic Trooper]] contra alvos governamentais asiáticos | | [[s0062-dustysky\|DustySky]] | RAT | Grupo Gaza Cybergang; replicação USB em ambientes de baixa conectividade | --- *Fonte: [MITRE ATT&CK - T1091](https://attack.mitre.org/techniques/T1091)*