det0063-cross-platform-behavioral-detection-of-python-execution

# DET0063 — Cross-Platform Behavioral Detection of Python Execution ## Descrição Python é amplamente utilizado em ataques modernos por sua versatilidade, disponibilidade nativa em sistemas Linux/macOS e facilidade de instalação no Windows. Adversários empregam Python para executar payloads, criar stagers de C2, automatizar reconhecimento e realizar exfiltração de dados — frequentemente via scripts inline (`python -c "..."`) ou arquivos `.py` carregados diretamente da memória ou de diretórios temporários. Esta estratégia de detecção cobre múltiplas plataformas (Windows, Linux, macOS) e foca em padrões comportamentais anômalos: Python sendo invocado por processos pai incomuns (navegadores, clientes de e-mail, servidores web), execução de código Python codificado em base64, uso de módulos sensíveis (`subprocess`, `socket`, `ctypes`) e criação de conexões de rede por processos Python não associados a aplicações legítimas. A detecção deve considerar o contexto do ambiente — em estações de desenvolvedores, execuções Python são comuns. O foco deve ser em sistemas que normalmente não executam Python interativamente, como servidores de produção e estações de usuários finais. Grupos como [[g0032-lazarus-group]] e [[g0016-apt29]] utilizam Python extensivamente em suas ferramentas pós-exploração e implantes multiplataforma. ## Indicadores de Detecção - Invocação de `python -c` ou `python3 -c` com strings codificadas em base64 ou hex - Processo Python criado por pai incomum: `outlook.exe`, `chrome.exe`, `apache2`, `nginx` - Script Python executado a partir de `%TEMP%`, `/tmp`, `/dev/shm` ou diretórios de usuário não privilegiado - Uso de `socket`, `subprocess.Popen` ou `ctypes.windll` em scripts não catalogados no inventário - Conexões de rede de saída originadas diretamente de `python.exe` ou `python3` para IPs externos - Download e execução imediata de script Python via `urllib`, `requests` ou pipe de curl ## Técnicas Relacionadas - [[t1059006-command-and-scripting-interpreter-python|T1059.006 — Python]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] ## Analytics Relacionadas - [[an0172-analytic-0172|AN0172 — Analytic 0172]] - [[an0173-analytic-0173|AN0173 — Analytic 0173]] - [[an0174-analytic-0174|AN0174 — Analytic 0174]] - [[an0175-analytic-0175|AN0175 — Analytic 0175]] --- *Fonte: [MITRE ATT&CK — DET0063](https://attack.mitre.org/detectionstrategies/DET0063)*