det0019-detection-strategy-for-stripped-payloads-across-platforms

# DET0019 — Detection Strategy for Stripped Payloads Across Platforms ## Descrição Esta estratégia detecta payloads que tiveram seus símbolos de depuração, metadados e strings identificáveis removidos (stripped) como técnica de evasão de análise estática. Binários stripped são mais difíceis de analisar por ferramentas de detecção baseadas em strings, heurísticas de nome de função e análise de imports. A técnica é comum em malware Linux/macOS e em loaders Windows avançados. Embora binários stripped sejam legítimos em software de produção, sua presença em contextos suspeitos (dropped em disco, executados por processos pai inesperados, localizados em diretórios temporários) é indicativa de atividade maliciosa. A ausência de seção `.debug`, tabela de símbolos vazia e header PE sem informações de compilação são artefatos verificáveis. A detecção eficaz combina análise de metadados de binário (presença/ausência de símbolos, informações de compilador) com contexto de execução (de onde veio o arquivo, quem o executou, qual comportamento exibiu após execução). ## Indicadores de Detecção - Binário ELF ou Mach-O executado sem tabela de símbolos e sem informações de debug - Executável PE sem versão de produto, copyright ou informações de compilador no cabeçalho - Arquivo stripped criado em disco por processo de rede (download) ou por documento Office - Binário com seção de código alta entropia sem strings ASCII identificáveis (apenas operacional) - Processo filho stripped de browser, cliente de email ou script tendo como pai processo de sistema ## Técnicas Relacionadas - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] - [[t1036-masquerading|T1036 — Masquerading]] ## Analytics Relacionadas - [[an0055-analytic-0055|AN0055 — Analytic 0055]] - [[an0056-analytic-0056|AN0056 — Analytic 0056]] - [[an0057-analytic-0057|AN0057 — Analytic 0057]] - [[an0058-analytic-0058|AN0058 — Analytic 0058]] --- *Fonte: [MITRE ATT&CK — DET0019](https://attack.mitre.org/detectionstrategies/DET0019)*