dc0032-process-creation

# DC0032 — Process Creation ## Descrição O **Process Creation** é um dos componentes de dados mais fundamentais e amplamente monitorados em segurança ofensiva e defensiva. Registra cada vez que um novo processo é iniciado no sistema operacional, capturando informações como nome do processo, caminho do executável, linha de comando completa, processo pai (PPID), usuário de contexto, hash do executável e variáveis de ambiente. A telemetria de criação de processos é o backbone de grande parte das detecções de endpoint. Ela permite identificar execução de scripts maliciosos ([[t1059-command-and-scripting-interpreter|T1059-command-and-scripting-interpreter]] — PowerShell, cmd.exe, Python, wscript), binários suspeitos executados por usuários comuns ([[t1204-user-execution|T1204-user-execution]]), tarefas agendadas que disparam malware ([[t1053-scheduled-task-job|T1053-scheduled-task-job]]), e serviços iniciados como mecanismo de execução ([[t1569-system-services|T1569-system-services]]). A linha de comando completa é especialmente valiosa — muitas técnicas de ataque incluem flags ou parâmetros característicos que constituem indicadores confiáveis. Relações pai-filho entre processos são um indicador poderoso. Um `word.exe` que spawna `cmd.exe` ou `powershell.exe` é altamente suspeito (execução de macro maliciosa). Um `svchost.exe` executando sem linha de comando adequada ou com parâmetros incomuns pode indicar um processo hollow. Ferramentas de ataque como [[s0154-cobalt-strike]] e [[metasploit]] frequentemente criam padrões reconhecíveis de processo pai-filho. No contexto LATAM, este componente é fundamental para detectar os banking trojans brasileiros (família BRATA, [[s0531-grandoreiro]], [[mekotio]]) que utilizam extensivamente PowerShell e wscript/mshta para execução de payloads iniciais, bem como ataques de ransomware que frequentemente envolvem a execução de `vssadmin.exe`, `wbadmin.exe` e ferramentas de cifragem. ## Telemetria | Plataforma | Event ID | Descrição | Log Source | |---|---|---|---| | Windows | 4688 | Criação de novo processo (com linha de comando se auditoria configurada) | Security.evtx | | Windows | Sysmon 1 | Process Create — linha de comando, hashes, PPID, usuário | Sysmon | | Windows | Microsoft-Windows-Kernel-Process | Evento ETW de criação de processo | ETW | | Linux | Auditd `execve` | Execução de programa (equivalente ao 4688) | Auditd | | Linux | `/proc/<pid>/cmdline` | Linha de comando do processo (polling ou trigger) | Procfs | | macOS | `ES_EVENT_TYPE_NOTIFY_EXEC` | ESF — execução de processo | ESF | | macOS | Unified Logs `execve` | Execução via DTrace ou Unified Logs | Unified Logs | ## Queries de Detecção ### KQL — Azure Sentinel / Microsoft Defender ```kql // Filho suspeito de aplicações Office (possível macro maliciosa) DeviceProcessEvents | where InitiatingProcessFileName in~ ("winword.exe", "excel.exe", "powerpnt.exe", "outlook.exe", "mspub.exe") | where FileName in~ ("cmd.exe", "powershell.exe", "wscript.exe", "cscript.exe", "mshta.exe", "regsvr32.exe", "rundll32.exe", "certutil.exe", "bitsadmin.exe") | project Timestamp, DeviceName, InitiatingProcessFileName, FileName, ProcessCommandLine, AccountName, InitiatingProcessCommandLine | order by Timestamp desc ``` ### SPL — Splunk (com Sysmon) ```spl index=sysmon EventCode=1 ParentImage IN ("*\\winword.exe", "*\\excel.exe", "*\\powerpnt.exe", "*\\outlook.exe") Image IN ("*\\cmd.exe", "*\\powershell.exe", "*\\wscript.exe", "*\\cscript.exe", "*\\mshta.exe", "*\\regsvr32.exe", "*\\rundll32.exe") | eval risk="high" | stats count by Computer, ParentImage, Image, CommandLine, User, risk | sort - count ``` ## Técnicas Relacionadas | Técnica | Nome | Relevância | |---|---|---| | [[t1059-command-and-scripting-interpreter\|T1059-command-and-scripting-interpreter]] | Command and Scripting Interpreter | PowerShell, cmd, Python, Bash, wscript/cscript | | [[t1053-scheduled-task-job\|T1053-scheduled-task-job]] | Scheduled Task/Job | Tarefas agendadas criando processos maliciosos | | [[t1569-system-services\|T1569-system-services]] | System Services | Serviços Windows executando binários maliciosos | | [[t1204-user-execution\|T1204-user-execution]] | User Execution | Usuário clica em arquivo malicioso e gera processo | | [[t1106-native-api\|T1106-native-api]] | Native API | Criação de processo via `NtCreateProcess` diretamente | ## Contexto LATAM > [!globe] Relevância Regional > O Process Creation é o componente de dados mais coletado em SOCs brasileiros — o Windows Event ID 4688 com linha de comando habilitada e/ou Sysmon está disponível em práticamente todos os ambientes maduros. Banking trojans como [[s0531-grandoreiro]] e campanhas de BEC (Business Email Compromise) no Brasil dependem fortemente de execução via PowerShell e wscript, tornando a detecção de pai-filho (Office → scripting engine) um controle de alta eficácia para o contexto regional. ## Referências - [MITRE ATT&CK — DC0032 Process Creation](https://attack.mitre.org/datasources/DS0009/#Process%20Creation) - [Windows Event ID 4688 — Process Creation](https://learn.microsoft.com/en-us/windows/security/threat-protection/auditing/event-4688) - [Sysmon Event ID 1 — Process Create](https://learn.microsoft.com/en-us/sysinternals/downloads/sysmon) - [[ds0009-process|DS0009 — Process]] - [[t1059-command-and-scripting-interpreter|T1059-command-and-scripting-interpreter]] - [[t1053-scheduled-task-job|T1053-scheduled-task-job]]