# DET0005 — Renamed Legitimaté Utility Execution with Metadata Mismatch and Suspicious Path ## Descrição Esta estratégia detecta a execução de utilitários legítimos do sistema operacional que foram renomeados para disfarçar sua identidade. Atacantes frequentemente renomeiam ferramentas como `cmd.exe`, `powershell.exe`, `certutil.exe` ou `rundll32.exe` para nomes genéricos (`svchost32.exe`, `updaté.exe`) a fim de escapar de regras baseadas em nome de processo. A discrepância entre o nome do arquivo executável e os metadados internos do binário (Product Name, Original Filename no PE header, assinatura digital) é o indicador central desta detecção. Ferramentas EDR modernas expõem o campo `OriginalFileName` do cabeçalho PE, que permanece imutável mesmo após renomeação. Combinar verificação de metadados PE com análise de caminho de execução (binários legítimos do sistema raramente são executados fora de `System32`, `SysWOW64` ou `/usr/bin`) maximiza a cobertura e reduz falsos positivos. ## Indicadores de Detecção - Campo `OriginalFileName` do PE header diferente do nome de arquivo em disco - Binário assinado pela Microsoft ou Apple sendo executado fora de seu diretório padrão - Hash do executável coincide com ferramenta nativa do sistema mas caminho é não convencional - Processo com nome genérico (`updaté.exe`, `helper.exe`) com metadados PE de ferramenta conhecida - Execução de binário renomeado sem parâmetros de linha de comando (common loader pattern) ## Técnicas Relacionadas - [[t1036-masquerading|T1036 — Masquerading]] - [[t1218-system-binary-proxy-execution|T1218 — System Binary Proxy Execution]] - [[t1055-process-injection|T1055 — Process Injection]] ## Analytics Relacionadas - [[an0012-analytic-0012|AN0012 — Analytic 0012]] - [[an0013-analytic-0013|AN0013 — Analytic 0013]] - [[an0014-analytic-0014|AN0014 — Analytic 0014]] --- *Fonte: [MITRE ATT&CK — DET0005](https://attack.mitre.org/detectionstrategies/DET0005)*