det0010-behavioral-detection-of-event-triggered-execution-across-platforms

# DET0010 — Behavioral Detection of Event Triggered Execution Across Platforms ## Descrição Esta estratégia detecta mecanismos de persistência baseados em execução disparada por eventos do sistema — uma categoria ampla que inclui WMI Event Subscriptions, AppInit DLLs, Screensaver hijacking (Windows), launchd agents (macOS) e cron jobs (Linux). O denominador comum é que o código malicioso é executado em resposta a um evento legítimo do SO, dificultando a correlação com o atacante. Em Windows, WMI Event Subscriptions são particularmente furtivos por não aparecerem em registros de serviços ou agendadores tradicionais. Em Linux/macOS, scripts inseridos em `cron`, `at`, `/etc/profile.d/` ou launch agents maliciosos são os vetores mais frequentes. A detecção requer auditoria de modificações nos mecanismos de evento do SO: criação de WMI subscriptions (Event ID 5857-5861), alterações em arquivos de configuração de launchd, novas entradas em crontab e modificações em chaves de registro AppInit_DLLs e Winlogon. ## Indicadores de Detecção - Criação de WMI EventFilter, EventConsumer ou FilterToConsumerBinding (Event ID 5857-5861) - Modificação de `HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\` com processo não padrão - Nova entrada em crontab ou `/etc/cron.d/` adicionada por processo não relacionado a gestão de sistema - Arquivo `.plist` criado em `~/Library/LaunchAgents/` por processo não relacionado a software comercial - AppInit_DLLs modificado para incluir DLL não assinada ## Técnicas Relacionadas - [[t1546-event-triggered-execution|T1546 — Event Triggered Execution]] - [[t1053-scheduled-task-job|T1053 — Scheduled Task/Job]] - [[t1547-boot-or-logon-autostart-execution|T1547 — Boot or Logon Autostart Execution]] ## Analytics Relacionadas - [[an0024-analytic-0024|AN0024 — Analytic 0024]] - [[an0025-analytic-0025|AN0025 — Analytic 0025]] - [[an0026-analytic-0026|AN0026 — Analytic 0026]] - [[an0027-analytic-0027|AN0027 — Analytic 0027]] - [[an0028-analytic-0028|AN0028 — Analytic 0028]] - [[an0029-analytic-0029|AN0029 — Analytic 0029]] --- *Fonte: [MITRE ATT&CK — DET0010](https://attack.mitre.org/detectionstrategies/DET0010)*