det0015-detection-strategy-for-exclusive-control

# DET0015 — Detection Strategy for Exclusive Control ## Descrição Esta estratégia detecta técnicas de controle exclusivo de recursos — quando malware ou um atacante tenta garantir execução única ou controle exclusivo sobre um recurso do sistema (mutex, semáforo, arquivo bloqueado, chave de registro) para evitar múltiplas instâncias ou conflito com outras ferramentas. Essa é uma característica frequente em malware que verifica se já está instalado antes de re-infectar, e também em ransomware que impede execução paralela. A criação de mutex com nomes específicos é um artefato forense valioso: muitas famílias de malware usam nomes de mutex codificados como indicadores únicos de presença. Monitorar a criação de mutexes globais, especialmente por processos de baixa reputação ou processos filhos de documentos, é um sinal de alerta relevante. Logs de auditoria de objetos do kernel, telemetria EDR que rastreia criação de handles de mutex e semáforo, e análise de sandbox que reporta nomes de mutex são as fontes primárias para esta detecção. ## Indicadores de Detecção - Criação de mutex global com nome codificado (GUID, string aleatória) por processo não padrão - Processo verificando existência de mutex antes de executar payload principal (pattern anti-reinfecção) - Arquivo criado com lock exclusivo em diretório de sistema por processo de baixa reputação - Mutex com mesmo nome associado a família de malware conhecida (ex: Emotet, Qbot usam mutexes específicos) - Processo filho de documento Office ou script criando mutex global imediatamente após spawn ## Técnicas Relacionadas - [[t1480-execution-guardrails|T1480 — Execution Guardrails]] - [[t1497-virtualizationsandbox-evasion|T1497 — Virtualization/Sandbox Evasion]] - [[t1055-process-injection|T1055 — Process Injection]] ## Analytics Relacionadas - [[an0045-analytic-0045|AN0045 — Analytic 0045]] - [[an0046-analytic-0046|AN0046 — Analytic 0046]] - [[an0047-analytic-0047|AN0047 — Analytic 0047]] --- *Fonte: [MITRE ATT&CK — DET0015](https://attack.mitre.org/detectionstrategies/DET0015)*