t1546-001-change-default-file-association

# T1546.001 - Change Default File Association > [!danger] Técnica de Persistência e Escalação de Privilégios > Adversários modificam associações de arquivo padrão no Registro do Windows para executar código malicioso silenciosamente toda vez que um tipo de arquivo específico é aberto pelo usuário. ## Descrição A técnica **T1546.001 - Change Default File Association** explora o mecanismo do Windows que mapeia extensões de arquivo a programas responsáveis pela abertura desses arquivos. Ao modificar entradas no Registro do Windows, um adversário pode garantir que, ao abrir um arquivo aparentemente inofensivo (como um `.txt`, `.html` ou `.bat`), o sistema operacional execute um binário malicioso no lugar do - ou em adição ao - programa legítimo. Essa técnica é classificada pelo [[mitre-attack|MITRE ATT&CK]] como sub-técnica de [[t1546-event-triggered-execution|T1546 - Event Triggered Execution]] e pode ser usada tanto para **persistência** quanto para **escalação de privilégios**, dependendo do contexto em que a associação é modificada. As associações de arquivo no Windows são armazenadas em duas localizações principais do Registro: - `HKEY_CLASSES_ROOT\.[extensão]` - aponta para o handler registrado - `HKEY_CLASSES_ROOT\[handler]\shell\[ação]\command` - define o comando executado Por exemplo, ao modificar `HKEY_CLASSES_ROOT\txtfile\shell\open\command`, um adversário pode interceptar a abertura de qualquer arquivo `.txt` no sistema. A técnica também pode ser aplicada no nível do usuário via `HKEY_CURRENT_USER\Software\Classes`, sem necessidade de privilégios administrativos, tornando-a acessível a adversários com acesso de usuário comum. ## Como Funciona O fluxo de execução desta técnica envolve três etapas principais: 1. **Reconhecimento do alvo**: O adversário identifica uma extensão de arquivo amplamente utilizada no ambiente-alvo (ex: `.txt`, `.docx`, `.html`, `.bat`, `.py`). 2. **Modificação do Registro**: O adversário altera o valor padrão da chave `command` associada à extensão. O novo valor inclui o binário malicioso, frequentemente passando o arquivo original como argumento para manter a aparência de funcionamento normal. Exemplo de valor malicioso: ``` "C:\Users\Public\evil.exe" "%1" ``` O `%1` passa o nome do arquivo original como argumento, permitindo que o programa legítimo sejá aberto após a execução do payload. 3. **Acionamento**: A próxima vez que o usuário (ou qualquer processo) abrir um arquivo da extensão modificada, o payload malicioso é executado automaticamente - sem qualquer indicação visual ao usuário. Ferramentas como o utilitário nativo `assoc.exe` e `ftype.exe` podem ser utilizadas para verificar e modificar associações, assim como acesso direto ao Registro via `reg.exe` ou APIs do Windows. A persistência é garantida porque a associação permanece no Registro até ser explicitamente removida - sobrevivendo a reinicializações do sistema. ## Attack Flow ```mermaid graph TB A([Adversário com acesso inicial]) --> B[Reconhecimento de extensões usadas] B --> C{Nível de privilégio?} C -->|Usuário comum| D[Modifica HKCU\\Software\\Classes] C -->|Administrador| E[Modifica HKCR ou HKLM] D --> F[Define novo handler malicioso] E --> F F --> G[Payload armazenado em disco] G --> H[Usuário abre arquivo da extensão alvo] H --> I[Windows consulta Registro para handler] I --> J[Executa binário malicioso] J --> K[Payload executa com contexto do usuário] K --> L[Abre arquivo original para disfarce] K --> M[Estabelece persistência / C2] M --> N([Objetivo atingido]) style A fill:#c0392b,color:#fff style J fill:#e74c3c,color:#fff style M fill:#8e44ad,color:#fff style N fill:#27ae60,color:#fff ``` ## Exemplos de Uso ### Kimsuky (APT43 / Grupo norte-coreano) O grupo [[g0094-kimsuky|Kimsuky]], vinculado ao governo da Coreia do Norte, utiliza esta técnica como parte de campanhas de espionagem direcionadas a think tanks, governo e academia sul-coreana - com impacto documentado em targets globais incluindo Brasil e América Latina. Em campanhas atribuídas ao Kimsuky, a modificação de associação de `.chm` (arquivos de ajuda do Windows) foi utilizada para executar scripts [[t1059-001-powershell|PowerShell]] maliciosos que estabeleciam backdoors persistentes. O fluxo típico: 1. Phishing com anexo `.chm` aparentemente legítimo 2. Ao abrir o `.chm`, o handler modificado executa um dropper via [[s0692-silenttrinity|SILENTTRINITY]] 3. O dropper instala um RAT e mantém persistência via a própria associação modificada ### SILENTTRINITY O framework de pós-exploração [[s0692-silenttrinity|SILENTTRINITY]] (escrito em Python/Boo) possui módulos específicos para abuso de associações de arquivo como mecanismo de persistência. É frequentemente associado a operações do [[g0094-kimsuky|Kimsuky]] e grupos similares voltados a espionagem. ### Cenário Brasil/LATAM Campanhas de [[t1566-phishing|phishing]] direcionadas ao setor financeiro brasileiro frequentemente entregam payloads via arquivos com extensões modificadas. Malwares como [[s0531-grandoreiro|Grandoreiro]] e [[mekotio|Mekotio]] - amplamente documentados no Brasil - utilizam técnicas de persistência via Registro que incluem variantes desta sub-técnica, associando extensões `.url` e `.lnk` a executores maliciosos. ## Detecção ### Sigma Rule - Modificação de Handler de Extensão de Arquivo ```yaml title: Suspicious File Association Handler Modification id: a7b1c234-5678-90ab-cdef-1234567890ab status: experimental description: > Detecta modificação de handlers de extensão de arquivo no Registro do Windows, indicando possível persistência via T1546.001. author: RunkIntel daté: 2026-03-24 references: - https://attack.mitre.org/techniques/T1546/001/ tags: - attack.persistence - attack.privilege_escalation - attack.t1546.001 logsource: category: registry_set product: windows detection: selection: TargetObject|contains: - '\shell\open\command' - '\shell\print\command' - '\shell\printto\command' TargetObject|startswith: - 'HKCR\' - 'HKEY_CLASSES_ROOT\' - 'HKCU\Software\Classes\' filter_legitimate: Image|startswith: - 'C:\Program Files\' - 'C:\Program Files (x86)\' - 'C:\Windows\System32\' condition: selection and not filter_legitimate falsepositives: - Instalação legítima de softwares que registram handlers de arquivo - Ferramentas de desenvolvimento que associam extensões específicas level: medium fields: - TargetObject - Details - Image - User ``` ### Fontes de Dados Recomendadas | Fonte | O que monitorar | |-------|----------------| | Windows Registry (Sysmon Event ID 13) | Modificações em `HKCR\*\shell\*\command` | | Windows Event Log (Process Creation) | Execuções inesperadas a partir de handlers de arquivo | | EDR (telemetria de processo) | Processos-pai incomuns ao abrir arquivos comuns | | Sysmon Event ID 1 | `assoc.exe` ou `ftype.exe` executados por usuários comuns | ## Mitigação | ID | Mitigação | Descrição | Prioridade | |----|-----------|-----------|------------| | - | Monitoramento de Registro | Alertar sobre modificações em `HKCR\*\shell\open\command` | Alta | | - | Least Privilege | Restringir acesso de gravação ao Registro para usuários comuns | Alta | | - | Application Control | Usar AppLocker/WDAC para bloquear executáveis não autorizados | Média | | - | Baseline de Associações | Manter inventário das associações de arquivo legítimas | Média | | - | EDR com detecção comportamental | Correlacionar abertura de arquivo com execução de processo inesperado | Alta | > [!tip] Recomendação Operacional > Implementar alertas no SIEM para qualquer gravação em chaves de Registro contendo `\shell\open\command` por processos fora de `C:\Program Files\` ou `C:\Windows\`. A combinação com detecção de processo-pai incomum aumenta significativamente a fidelidade do alerta. ## Contexto Brasil/LATAM No Brasil, esta técnica tem relevância particular em dois cenários: **1. Espionagem Corporativa e Governamental** O [[g0094-kimsuky|Kimsuky]] e outros grupos APT com interesse em inteligência geopolítica têm direcionado ataques a órgãos governamentais brasileiros, pesquisadores de defesa e empresas do setor de energia. A modificação de associação de arquivo é uma técnica de persistência "baixo ruído" que passa despercebida em ambientes com monitoramento limitado de Registro. **2. Malware Financeiro Latino-americano** O ecossistema de malware bancário LATAM - representado por famílias como [[s0531-grandoreiro|Grandoreiro]], [[mekotio|Mekotio]] e [[s0528-javali|Javali]] - utiliza técnicas de persistência via Registro que frequentemente incluem a modificação de associações de arquivo. Extensões como `.url`, `.js` e `.lnk` são alvos comuns. Esses grupos têm como alvo primário o setor [[_sectors|financeiro]] brasileiro, com bancos como Banco do Brasil, Itaú e Bradesco entre os clientes-alvo mais documentados. **3. Campanhas de Phishing com Arquivos .CHM** Arquivos de ajuda `.chm` são um vetor de entrega documentado no Brasil, especialmente em campanhas de spear-phishing contra o setor [[government|governamental]]. A modificação do handler `.chm` para executar scripts maliciosos é uma variante comum. > [!warning] Indicador de Compromisso > Presença de valores incomuns em `HKCU\Software\Classes\*\shell\open\command` com caminhos em `%APPDATA%`, `%TEMP%` ou `%PUBLIC%` é forte indicativo de comprometimento. ## Referências - [MITRE ATT&CK - T1546.001](https://attack.mitre.org/techniques/T1546/001/) - [Microsoft - Programmatic Identifiers (ProgIDs)](https://docs.microsoft.com/en-us/windows/win32/shell/fa-progids) - [Securelist - Kimsuky Group Analysis](https://securelist.com/the-kimsuky-apt-group-targeted-south-korean-government/109701/) - [[t1546-event-triggered-execution|T1546 - Event Triggered Execution]] (técnica pai) - [[t1059-001-powershell|T1059.001 - PowerShell]] (frequentemente combinada) - [[t1112-modify-registry|T1112 - Modify Registry]] (mecanismo base) - [[g0094-kimsuky|Kimsuky]] (principal ator documentado) - [[s0692-silenttrinity|SILENTTRINITY]] (ferramenta associada) - [[s0531-grandoreiro|Grandoreiro]] (contexto LATAM) - [[mekotio|Mekotio]] (contexto LATAM)