det0034-detection-of-adversarial-process-discovery-behavior

# DET0034 — Detection of Adversarial Process Discovery Behavior ## Descrição Esta estratégia detecta comportamentos de enumeração de processos em execução típicos da fase de reconhecimento pós-comprometimento. Adversários realizam process discovery para identificar soluções de segurança instaladas (AV, EDR, SIEM agents), aplicações de interesse (navegadores com senhas salvas, clientes de e-mail, ferramentas de desenvolvimento), e processos privilegiados que podem ser alvos de injeção de código. Ferramentas comuns incluem: `tasklist.exe`, `ps aux`, `Get-Process` (PowerShell), `wmic process list`, `pgrep`, e chamadas diretas às APIs `EnumProcesses` (Windows) ou leitura de `/proc/` (Linux). A detecção foca na frequência e contexto: uma única chamada a `tasklist` pode ser legítima; múltiplas chamadas em sequência por um processo suspeito, ou `tasklist` executado imediatamente após comprometimento (ex: como subprocesso de macro Office ou payload de script), indica reconhecimento adversarial. Em ambientes Linux/macOS, varredura de `/proc/*/cmdline` ou múltiplas chamadas a `ps` com diferentes flags em curto intervalo é o padrão análogo. A correlação com outros comandos de discovery (hostname, whoami, ipconfig, net user) em sequência temporal estreita (tríade de reconhecimento) aumenta a fidelidade do alerta. ## Indicadores de Detecção - `tasklist.exe` ou `wmic process list` executado como filho de Office, browsers, ou script engines - Múltiplas chamadas a `Get-Process` ou `EnumProcesses` em < 30 segundos por mesmo processo - Leitura de `/proc/*/exe` ou `/proc/*/cmdline` por processo não-root sem histórico de uso - Sequência: `whoami` → `hostname` → `tasklist` → `net user` em < 2 minutos (tríade de reconhecimento) - API `NtQuerySystemInformation(SystemProcessInformation)` chamada repetidamente por processo de usuário - `pgrep -a` ou `ps aux` por processo filho de shell suspeita (ex: web shell, reverse shell) - Uso de `Get-WmiObject Win32_Process` em script PowerShell sem contexto administrativo legítimo ## Técnicas Relacionadas - [[t1057-process-discovery|T1057 — Process Discovery]] - [[t1518-software-discovery|T1518 — Software Discovery]] - [[t1082-system-information-discovery|T1082 — System Information Discovery]] - [[t1083-file-and-directory-discovery|T1083 — File and Directory Discovery]] ## Analytics Relacionadas - [[an0095-analytic-0095|AN0095 — Analytic 0095]] - [[an0096-analytic-0096|AN0096 — Analytic 0096]] - [[an0097-analytic-0097|AN0097 — Analytic 0097]] - [[an0098-analytic-0098|AN0098 — Analytic 0098]] - [[an0099-analytic-0099|AN0099 — Analytic 0099]] --- *Fonte: [MITRE ATT&CK — DET0034](https://attack.mitre.org/detectionstrategies/DET0034)*