dc0034-process-metadata

# DC0034 — Process Metadata ## Descrição O **Process Metadata** captura dados contextuais sobre processos em execução — informações que vão além da simples criação ou término. Inclui atributos como nome da imagem, caminho completo do executável, hash do arquivo em disco, usuário proprietário, variáveis de ambiente, integridade do processo (IL — Integrity Level no Windows), assinatura digital do executável, e identificadores do processo (PID, PPID). A análise de metadados de processos é essencial para detectar [[t1036-masquerading|T1036-masquerading]] — a técnica em que adversários nomeiam processos maliciosos com nomes de processos legítimos do sistema (ex.: `svchost.exe` em `C:\Users\Temp\` em vez de `C:\Windows\System32\`). O caminho do executável, combinado com o hash e a assinatura digital, permite identificar impostores com alta confiabilidade. Process Metadata também é fundamental para detectar Process Hollowing — onde um processo legítimo é criado suspenso, seu código é substituído por código malicioso, e então retomado. Nesse cenário, o metadado do processo (nome, PID, token) parece legítimo, mas o hash do código em execução na memória não corresponde ao arquivo em disco. EDRs modernos detectam esse padrão via comparação de hash em disco vs. memória. A integridade do processo (IL) é outro indicador valioso — um processo `svchost.exe` rodando em High Integrity ou System Integrity iniciado por um usuário comum é anômalo. Da mesma forma, processos com tokens de usuário elevados ou tokens de sistema sendo executados de diretórios de usuário são fortemente suspeitos. ## Telemetria | Plataforma | Event ID | Descrição | Log Source | |---|---|---|---| | Windows | Sysmon 1 | Process Create — inclui hashes, assinatura, IL | Sysmon | | Windows | 4688 | Criação de processo (caminho, usuário, PPID) | Security.evtx | | Windows | Sysmon 25 | ProcessTampering — alteração da imagem do processo | Sysmon | | Linux | `/proc/<pid>/` | Diretório de metadados de processo (status, cmdline, environ) | Procfs | | Linux | Auditd `execve` | Execução com UID, GID e argumentos | Auditd | | macOS | `ps` / `procinfo` | Metadados de processo via ferramentas nativas | macOS Native | | Todos | EDR telemetria | Hash em memória vs. em disco, IL, tokens | EDR | ## Queries de Detecção ### KQL — Azure Sentinel / Microsoft Defender ```kql // Processos do sistema executando de caminhos não-padrão (masquerading) DeviceProcessEvents | where FileName in~ ("svchost.exe", "lsass.exe", "csrss.exe", "winlogon.exe", "services.exe", "wininit.exe", "explorer.exe", "taskhost.exe") | where not(FolderPath in~ (@"C:\Windows\System32", @"C:\Windows\SysWOW64", @"C:\Windows\", @"C:\Windows\explorer.exe")) | project Timestamp, DeviceName, FileName, FolderPath, SHA256, ProcessTokenElevation, AccountName, InitiatingProcessFileName | order by Timestamp desc ``` ### SPL — Splunk (com Sysmon) ```spl index=sysmon EventCode=1 Image IN ("*\\svchost.exe", "*\\lsass.exe", "*\\csrss.exe", "*\\winlogon.exe", "*\\explorer.exe") NOT (Image IN ( "C:\\Windows\\System32\\*", "C:\\Windows\\SysWOW64\\*", "C:\\Windows\\explorer.exe" )) | stats count by Computer, Image, ParentImage, User, Hashes, Signed | sort - count ``` ## Técnicas Relacionadas | Técnica | Nome | Relevância | |---|---|---| | [[t1036-masquerading\|T1036-masquerading]] | Masquerading | Processo malicioso com nome legítimo em caminho errado | | [[t1055-process-injection\|T1055-process-injection]] | Process Injection | Detecção por divergência de hash em memória vs. disco | | [[t1134-access-token-manipulation\|T1134-access-token-manipulation]] | Access Token Manipulation | Token de processo com nível de integridade anômalo | ## Contexto LATAM > [!globe] Relevância Regional > A detecção baseada em metadados de processo (especialmente caminho do executável vs. nome esperado) é eficaz contra banking trojans brasileiros que frequentemente usam nomes como `svchost.exe` ou `explorer.exe` para disfarçar seus processos. Ferramentas como [[s0531-grandoreiro]] e variantes de RATs distribuídos no Brasil utilizam masquerading como técnica padrão de evasão. O Sysmon Event ID 1 com enriquecimento de hash e verificação de assinatura digital é o controle mais acessível para detectar isso em SOCs brasileiros. ## Referências - [MITRE ATT&CK — DC0034 Process Metadata](https://attack.mitre.org/datasources/DS0009/#Process%20Metadata) - [Sysmon Event ID 1 — Process Create](https://learn.microsoft.com/en-us/sysinternals/downloads/sysmon) - [[ds0009-process|DS0009 — Process]] - [[t1036-masquerading|T1036-masquerading]] - [[t1055-process-injection|T1055-process-injection]]