det0045-detection-strategy-for-process-argument-spoofing-on-windows

# DET0045 — Detection Strategy for Process Argument Spoofing on Windows ## Descrição Esta estratégia detecta o spoofing de argumentos de linha de comando em processos Windows, técnica usada por adversários para ocultar parâmetros maliciosos de ferramentas de monitoramento que dependem exclusivamente de logs de criação de processo. O mecanismo explora a diferença entre o campo `CommandLine` na estrutura PEB (Process Environment Block) — que pode ser sobrescrito após a criação do processo — e os argumentos reais usados na execução. Alinhada a [[T1564.010-process-argument-spoofing]], a técnica permite que malware execute com parâmetros ofensivos (como flags de download ou injeção) enquanto reporta argumentos benignos para EDR/SIEM que coletam apenas eventos de criação de processo (Sysmon EID 1, Windows Event 4688). Ferramentas como `CreateProcess` com manipulação posterior de PEB são o vetor principal. A detecção eficaz requer correlação entre a linha de comando reportada no evento de criação e o comportamento subsequente do processo — conexões de rede, arquivos criados, child processes — que sejam inconsistentes com os argumentos declarados. Monitoramento de chamadas `NtQueryInformationProcess` e acessos à memória do PEB de processos remotos também são indicadores relevantes. ## Indicadores de Detecção - Processo reportando argumentos de linha de comando benignos mas iniciando conexões de rede inesperadas - Acesso a `ProcessParameters` no PEB de um processo recém-criado via `WriteProcessMemory` - Child process com comportamento inconsistente com a linha de comando do processo pai - Uso de `CreateProcess` com `CREATE_SUSPENDED` seguido de escrita de memória antes de `ResumeThread` - Discrepância entre argumentos em Sysmon EID 1 e o comportamento capturado por EDR comportamental ## Técnicas Relacionadas - [[T1564.010-process-argument-spoofing]] — técnica primária detectada - [[t1055-process-injection|T1055-process-injection]] — injeção frequentemente combinada com spoofing - [[t1036-masquerading|T1036-masquerading]] — disfarce complementar de identidade de processo - [[t1027-obfuscated-files-or-information|T1027-obfuscated-files-or-information]] — ofuscação de comandos - [[t1620-reflective-code-loading|T1620-reflective-code-loading]] — carregamento reflexivo associado a spoofing ## Analytics Relacionadas - [[an0126-analytic-0126|AN0126 — Analytic 0126]] --- *Fonte: [MITRE ATT&CK — DET0045](https://attack.mitre.org/detectionstrategies/DET0045)*