det0023-obfuscated-binary-unpacking-detection-via-behavioral-patterns

# DET0023 — Obfuscated Binary Unpacking Detection via Behavioral Patterns ## Descrição Esta estratégia detecta o processo de descompressão/desofuscação de binários maliciosos em memória, uma técnica central usada por packers, loaders e stagers para evadir soluções antivírus baseadas em assinaturas estáticas. O binário inicial é inocente ao escaneamento estático, mas em tempo de execução decifra e carrega o payload real diretamente na memória. Os indicadores comportamentais mais relevantes incluem: alocação de memória executável (`VirtualAlloc` com `PAGE_EXECUTE_READWRITE`) seguida de escrita e posterior execução nessa região; uso de `WriteProcessMemory` para injetar código desofuscado em outro processo; e sequências de chamadas de API associadas a loops de XOR/ROR sobre buffers de dados. Sandboxes e EDRs modernos detectam a cadeia `allocaté → write → execute` como padrão de unpacking. A telemetria de memória em runtime é essencial: instrumentação de hooking de API (como o fornecido por EDRs) ou análise de comportamento de execução via emulação são os meios primários. No Linux e macOS, mapeamentos de memória anônimos executáveis (`mmap(PROT_EXEC|PROT_WRITE)`) e `memfd_creaté` com posterior execução são análogos do Windows. ## Indicadores de Detecção - Sequência `VirtualAlloc(PAGE_EXECUTE_READWRITE)` → `memcpy`/escrita → execução na mesma região - Processo com alta entropia em regiões de memória executável (indica dados cifrados) - Chamadas a `WriteProcessMemory` ou `NtWriteVirtualMemory` sem correspondência com DLL loader legítimo - Suspensão de thread seguida de `SetThreadContext` + `ResumeThread` (Process Hollowing) - Uso de `mmap(PROT_EXEC|PROT_WRITE)` em processos não-compiladores no Linux - `memfd_creaté` com posterior `execve` do descritor (fileless execution no Linux) - Módulos carregados em memória sem correspondência no sistema de arquivos (módulos "fantasma") ## Técnicas Relacionadas - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1620-reflective-code-loading|T1620 — Reflective Code Loading]] - [[t1140-deobfuscate-decode|T1140 — Deobfuscaté/Decode Files or Information]] ## Analytics Relacionadas - [[an0066-analytic-0066|AN0066 — Analytic 0066]] - [[an0067-analytic-0067|AN0067 — Analytic 0067]] - [[an0068-analytic-0068|AN0068 — Analytic 0068]] --- *Fonte: [MITRE ATT&CK — DET0023](https://attack.mitre.org/detectionstrategies/DET0023)*