det0087-encrypted-or-encoded-file-payload-detection-strategy

# DET0087 — Encrypted or Encoded File Payload Detection Strategy ## Descrição Esta estratégia detecta payloads maliciosos que utilizam criptografia ou encoding para evadir inspeção por antivírus e sandboxes. As técnicas mais comuns incluem: XOR encoding de shellcode, Base64 multi-camada de scripts PowerShell, AES/RC4 encryption de DLLs e uso de formatos de arquivo não convencionais (`.png`, `.jpg`) como containers de payloads cifrados (polyglots). A telemetria relevante engloba: detecção de alta entropia em arquivos com extensões comuns (medida via análise estática), execução de decodificação em memória via `CertUtil -decode`, `[System.Convert]::FromBase64String()` no PowerShell, e chamadas a `CryptDecrypt`/`BCryptDecrypt` antes de operações de injeção de processo. EDR com visibilidade de operações de memória é essencial para capturar a fase de decryption em runtime. Complementarmente, a estratégia cobre análise comportamental de processos que leem arquivos de alta entropia seguidos de alocação de memória executável (`VirtualAlloc` com `MEM_COMMIT | MEM_RESERVE` e proteção `PAGE_EXECUTE_READWRITE`). Grupos como [[g0016-apt29]] e [[g0080-cobalt-group]] frequentemente empacotam implants em arquivos de aparência legítima. ## Indicadores de Detecção - Arquivos com entropia superior a 7.0 em diretórios de staging (`%TEMP%`, `%APPDATA%`, pasta Downloads) - Uso de `CertUtil.exe -decode` ou `-urlcache -f` para baixar e decodificar payloads - Chamadas PowerShell a `FromBase64String` seguidas de `iex` ou `Invoke-Expression` - Presença de strings Base64 longas (>1000 chars) em argumentos de linha de comando - Processos abrindo arquivos de imagem (`.png`, `.jpg`, `.bmp`) e realizando alocações de memória executável - Escrita e execução imediata de arquivos em locais temporários sem interação de usuário ## Técnicas Relacionadas - [[t1027-obfuscated-files-or-information]] — Ofuscação de arquivos e informações - [[t1027001-binary-padding]] — Padding para alteração de hash - [[t1027002-software-packing]] — Packing de executáveis - [[t1140-deobfuscate-decode]] — Decodificação em tempo de execução - [[t1059001-powershell]] — PowerShell para decoding de payloads ## Analytics Relacionadas - [[an0237-analytic-0237|AN0237 — Analytic 0237]] - [[an0238-analytic-0238|AN0238 — Analytic 0238]] - [[an0239-analytic-0239|AN0239 — Analytic 0239]] --- *Fonte: [MITRE ATT&CK — DET0087](https://attack.mitre.org/detectionstrategies/DET0087)*