# DC0020 — Process Modification ## Descrição O **Process Modification** registra alterações feitas em um processo em execução — escrita em sua memória, modificação de fluxo de execução, injeção de código ou alteração de tokens de acesso. Diferentemente do [[dc0032-process-creation|Process Creation]], que captura o nascimento de processos, este componente monitora o que acontece *dentro* de processos já existentes após sua inicialização. Adversários utilizam modificação de processos extensivamente para executar payloads maliciosos sem criar novos processos detectáveis. Técnicas como Process Hollowing (esvaziar um processo legítimo e substituir seu código), Thread Injection (injetar threads em processos remotos via `CreateRemoteThread`) e APC Injection (Asynchronous Procedure Calls) são capturadas por este componente. O objetivo é frequentemente "esconder" a execução maliciosa no espaço de endereço de processos confiáveis como `explorer.exe`, `svchost.exe` ou `lsass.exe`. A modificação de tokens de acesso ([[t1134-access-token-manipulation|T1134-access-token-manipulation]]) também cai nessa categoria — um adversário pode duplicar ou impersonar tokens de outros processos para escalar privilégios ou acessar recursos restritos sem criar novos processos. Esse padrão é comum em ataques de movimento lateral dentro de redes corporativas brasileiras, especialmente após comprometimento inicial via phishing. A telemetria de Process Modification é especialmente difícil de coletar sem um EDR ou Sysmon configurado adequadamente, pois os sistemas operacionais não registram nativamente escritas de memória entre processos. Ferramentas como Sysmon (Event ID 8 — CreateRemoteThread), Windows ETW (Event Tracing for Windows) e APIs de callback de EDRs são as principais fontes de dados para este componente. ## Telemetria | Plataforma | Event ID | Descrição | Log Source | |---|---|---|---| | Windows | Sysmon 8 | CreateRemoteThread — thread criada em processo remoto | Sysmon | | Windows | Sysmon 25 | ProcessTampering — imagem do processo adulterada | Sysmon | | Windows | 4656 | Handle aberto para objeto do sistema (processo alvo) | Security.evtx | | Windows | 4690 | Tentativa de duplicação de handle | Security.evtx | | Linux | `ptrace` syscall | Rastreamento e modificação de processo | Auditd | | Linux | `process_vm_writev` | Escrita direta em memória de processo remoto | Auditd | | macOS | `ES_EVENT_TYPE_AUTH_PROC_SUSPEND_RESUME` | ESF — suspensão/retomada de processo | ESF | ## Queries de Detecção ### KQL — Azure Sentinel / Microsoft Defender ```kql // Detecção de CreateRemoteThread em processos sensíveis DeviceEvents | where ActionType == "CreateRemoteThreadApiCall" | where InitiatingProcessFileName !in~ ("csrss.exe", "svchost.exe", "wininit.exe") | where FileName in~ ("lsass.exe", "winlogon.exe", "explorer.exe", "svchost.exe") | project Timestamp, DeviceName, FileName, ProcessId, InitiatingProcessFileName, InitiatingProcessCommandLine, InitiatingProcessParentFileName | order by Timestamp desc ``` ### SPL — Splunk (com Sysmon) ```spl index=sysmon EventCode=8 TargetImage IN ("*\\lsass.exe", "*\\winlogon.exe", "*\\explorer.exe", "*\\svchost.exe") | where SourceImage != TargetImage | eval risk=case( match(TargetImage, "(?i)lsass"), "critical", match(TargetImage, "(?i)winlogon"), "high", 1=1, "medium") | stats count by Computer, SourceImage, TargetImage, StartAddress, risk | sort - risk, count ``` ## Técnicas Relacionadas | Técnica | Nome | Relevância | |---|---|---| | [[t1055-process-injection\|T1055-process-injection]] | Process Injection | Núcleo da técnica — injeção de código em processos remotos | | [[t1134-access-token-manipulation\|T1134-access-token-manipulation]] | Access Token Manipulation | Modificação de token de segurança do processo | | [[t1562-impair-defenses\|T1562-impair-defenses]] | Impair Defenses | Modificação de processos de segurança para desabilitá-los | ## Contexto LATAM > [!globe] Relevância Regional > A detecção de Process Modification é um dos principais gaps em SOCs brasileiros de médio porte que não possuem EDR — a telemetria nativa do Windows é insuficiente sem Sysmon ou similar. Grupos como [[g0032-lazarus-group]] e operadores de [[s0154-cobalt-strike]] frequentemente usam injeção de processos para persistir em ambientes corporativos brasileiros de forma silenciosa. Recomenda-se habilitar o Sysmon Event ID 8 (CreateRemoteThread) como prioridade imediata para times de detecção no Brasil. ## Referências - [MITRE ATT&CK — DC0020 Process Modification](https://attack.mitre.org/datasources/DS0009/#Process%20Modification) - [Sysmon Event ID 8 — CreateRemoteThread](https://learn.microsoft.com/en-us/sysinternals/downloads/sysmon) - [[ds0009-process|DS0009 — Process]] - [[t1055-process-injection|T1055-process-injection]] - [[t1134-access-token-manipulation|T1134-access-token-manipulation]]