det0043-detection-strategy-for-system-location-discovery

# DET0043 — Detection Strategy for System Location Discovery ## Descrição Esta estratégia detecta tentativas de adversários de identificar a localização geográfica de um sistema comprometido. Informações de localização são frequentemente coletadas para fins de reconhecimento, seleção de alvos regionais ou para verificar se o ambiente é um sandbox analítico (por exemplo, muitos sandboxes operam fora do país-alvo do malware). Alinhada a [[t1614-system-location-discovery|T1614-system-location-discovery]], a técnica é executada via múltiplos vetores: consultas à API do Windows (`GetLocaleInfoW`, `GetUserDefaultLCID`), leitura de chaves de registro (`HKLM\SYSTEM\CurrentControlSet\Control\Nls\Language`), acesso a arquivos de configuração de timezone, ou chamadas a serviços web de geolocalização de IP. Malware com foco em LATAM frequentemente usa essa técnica para garantir operação apenas em sistemas brasileiros ou hispânicos. A detecção requer correlação entre múltiplas fontes de telemetria: chamadas de API via ETW, acesso ao registro via Sysmon, e tráfego DNS/HTTP para serviços de geolocalização conhecidos. A frequência e o contexto da coleta (processo pai, horário, usuário) são fatores determinantes para reduzir falsos positivos. ## Indicadores de Detecção - Acesso a `HKLM\SYSTEM\CurrentControlSet\Control\Nls\Language` por processos não-sistema - Chamadas à API `GetLocaleInfoW` ou `GetUserDefaultLCID` por binários desconhecidos - Requisições HTTP/DNS para serviços de geolocalização (ip-api.com, ipinfo.io, freegeoip.app) - Acesso a arquivos de timezone como `%WINDIR%\System32\tzres.dll` por processos suspeitos - Combinação de descoberta de localização seguida imediatamente de encerramento do processo (sandbox check) ## Técnicas Relacionadas - [[t1614-system-location-discovery|T1614-system-location-discovery]] — técnica primária detectada - [[T1614.001-system-language-discovery]] — verificação de idioma do sistema - [[t1497-virtualizationsandbox-evasion]] — evasão baseada em resultado da descoberta - [[t1082-system-information-discovery|T1082-system-information-discovery]] — reconhecimento sistêmico correlacionado - [[t1016-system-network-configuration-discovery|T1016-system-network-configuration-discovery]] — complementar para localização via IP ## Analytics Relacionadas - [[an0119-analytic-0119|AN0119 — Analytic 0119]] - [[an0120-analytic-0120|AN0120 — Analytic 0120]] - [[an0121-analytic-0121|AN0121 — Analytic 0121]] - [[an0122-analytic-0122|AN0122 — Analytic 0122]] --- *Fonte: [MITRE ATT&CK — DET0043](https://attack.mitre.org/detectionstrategies/DET0043)*