det0066-user-execution-malicious-link-click-suspicious-egress-downloadwrite-foll

# DET0066 — User Execution – Malicious Link (click → suspicious egress → download/write → follow-on activity) ## Descrição Esta estratégia de detecção cobre a cadeia de eventos que se inicia quando um usuário clica em um link malicioso — sejá em e-mail de phishing, mensagem em plataforma de colaboração ou página web comprometida. A técnica [[t1204001-user-execution-malicious-link|T1204.001]] representa um dos vetores de acesso inicial mais comuns, pois contorna controles técnicos ao depender da interação humana para iniciar a execução do payload. A detecção é baseada em correlação de múltiplos sinais em sequência temporal: (1) clique em URL suspeita por processo de navegador/cliente de e-mail, (2) conexão de saída para domínio de baixa reputação ou recém-registrado, (3) download e escrita de arquivo executável ou script em diretório temporário, e (4) execução subsequente desse arquivo ou criação de processo filho inesperado. Cada sinal isolado pode ser benigno; a cadeia completa tem alta fidelidade de detecção. A estratégia é especialmente eficaz contra campanhas de spear-phishing direcionadas, frequentemente utilizadas por grupos como [[g0016-apt29]], [[g0032-lazarus-group]] e operadores de [[s0367-emotet]] que distribuem links para stagers JavaScript ou arquivos ISO/ZIP contendo payloads de primeira fase. ## Indicadores de Detecção - Navegador ou cliente de e-mail realizando requisição HTTP/S a domínio registrado há menos de 30 dias ou com baixa reputação - Download de arquivo com extensão executável (`.exe`, `.dll`, `.js`, `.hta`, `.iso`, `.lnk`) iniciado por processo de navegador - Arquivo baixado escrito em `%TEMP%`, `%USERPROFILE%\Downloads` e executado nos 60 segundos seguintes - Processo filho inesperado originado de `chrome.exe`, `outlook.exe`, `msedge.exe`, `thunderbird.exe` - Conexão de rede de saída imediatamente após execução do arquivo baixado (beaconing inicial de C2) ## Técnicas Relacionadas - [[t1204001-user-execution-malicious-link|T1204.001 — Malicious Link]] - [[t1566002-phishing-spearphishing-link|T1566.002 — Spearphishing Link]] - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] - [[t1059007-command-and-scripting-interpreter-javascript|T1059.007 — JavaScript]] - [[t1071001-application-layer-protocol-web-protocols|T1071.001 — Web Protocols]] ## Analytics Relacionadas - [[an0178-analytic-0178|AN0178 — Analytic 0178]] - [[an0179-analytic-0179|AN0179 — Analytic 0179]] - [[an0180-analytic-0180|AN0180 — Analytic 0180]] --- *Fonte: [MITRE ATT&CK — DET0066](https://attack.mitre.org/detectionstrategies/DET0066)*