det0081-detection-of-proxy-execution-via-trusted-signed-binaries-across-platform

# DET0081 — Detection of Proxy Execution via Trusted Signed Binaries Across Platforms ## Descrição Esta estratégia detecta o abuso de binários legítimos assinados digitalmente como proxies para execução de código malicioso — técnica conhecida como Living-off-the-Land (LotL). Adversários exploram ferramentas do sistema operacional como `mshta.exe`, `regsvr32.exe`, `certutil.exe`, `rundll32.exe` e similares para executar payloads enquanto evitam controles baseados em reputação de assinatura digital. A detecção foca na cadeia de comportamentos: processo pai legítimo invocando um binário de proxy com argumentos atípicos (URLs remotas, caminhos incomuns, parâmetros codificados em Base64). A telemetria de processo — incluindo linha de comando completa, processo pai e sequências de chamada de API — é fundamental. Ferramentas EDR com capacidade de captura de argumentos de linha de comando são essenciais para cobertura efetiva. Plataformas cobertas incluem Windows (foco primário), macOS (scripts AppleScript/osascript como proxy) e Linux (curl/wget com execução de pipe). O contexto comportamental — horário, frequência, usuário, rede — reduz falsos positivos em ambientes com uso legítimo dessas ferramentas. ## Indicadores de Detecção - `mshta.exe` executando URLs remotas ou arquivos HTA de caminhos incomuns - `regsvr32.exe` com flags `/s /u /i` e caminhos de DLL remotos (scrobj.dll) - `certutil.exe` com argumentos `-urlcache -split -f` para download de payloads - `rundll32.exe` com argumentos de linha de comando extensos ou incomuns - Processo pai inesperado para binários proxy (ex: `winword.exe` → `mshta.exe`) - Binários assinados gerando processos filhos de shell (`cmd.exe`, `powershell.exe`) - Conexões de rede originadas por binários proxy com destinos externos ## Técnicas Relacionadas - [[t1218-system-binary-proxy-execution|T1218 — System Binary Proxy Execution]] - [[t1127-trusted-developer-utilities-proxy-execution|T1127 — Trusted Developer Utilities Proxy Execution]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1564-hide-artifacts|T1564 — Hide Artifacts]] ## Analytics Relacionadas - [[an0226-analytic-0226|AN0226 — Analytic 0226]] - [[an0227-analytic-0227|AN0227 — Analytic 0227]] - [[an0228-analytic-0228|AN0228 — Analytic 0228]] --- *Fonte: [MITRE ATT&CK — DET0081](https://attack.mitre.org/detectionstrategies/DET0081)*