# DET0025 — Detecting Electron Application Abuse for Proxy Execution ## Descrição Esta estratégia detecta o abuso de aplicações baseadas no framework Electron (como VS Code, Slack, Teams, Signal) para executar código JavaScript malicioso como proxy de execução, contornando políticas de AppLocker e outras restrições de execução de código. Como aplicações Electron são binários assinados e frequentemente na whitelist, adversários as utilizam para carregar scripts arbitrários via flags como `--inspect`, `--remote-debugging-port` ou arquivos `asar` modificados. A telemetria de linha de comando é o principal vetor: flags de depuração (`--inspect=0.0.0.0:9229`) passadas a binários Electron legítimos, execução com `--allow-file-access-from-files`, ou carregamento de `app.asar` suspeito são sinais fortes. No Windows, processos Electron iniciando scripts PowerShell ou cmd como filhos são anômalos. A criação ou modificação de arquivos `.asar` fora do diretório de instalação da aplicação também é indicador. Outro vetor é a abertura de DevTools (Chrome DevTools Protocol) remotamente: conexões na porta `9229` ou qualquer porta de debug ChromeDevTools por processos externos ao ambiente de desenvolvimento legítimo devem acionar alertas, especialmente em ambientes de produção ou usuários não-desenvolvedores. ## Indicadores de Detecção - Processo Electron legítimo executado com flags `--inspect`, `--inspect-brk` ou `--remote-debugging-port` - Arquivo `app.asar` criado ou modificado fora do diretório de instalação da aplicação - Conexões TCP de entrada na porta 9229 destinadas a processos Electron em produção - Processo Electron como pai de `cmd.exe`, `powershell.exe`, `sh`, ou `bash` - Execução de `electron.exe --app=<path>` apontando para diretório temporário ou de usuário - Presença de arquivos `.js` maliciosos em diretórios de recursos de apps Electron - Modificação de `package.json` dentro do bundle de aplicação (campo `main`) ## Técnicas Relacionadas - [[t1218-system-binary-proxy-execution|T1218 — System Binary Proxy Execution]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] ## Analytics Relacionadas - [[an0071-analytic-0071|AN0071 — Analytic 0071]] - [[an0072-analytic-0072|AN0072 — Analytic 0072]] - [[an0073-analytic-0073|AN0073 — Analytic 0073]] --- *Fonte: [MITRE ATT&CK — DET0025](https://attack.mitre.org/detectionstrategies/DET0025)*