det0097-detection-of-application-window-enumeration-via-api-or-scripting

# DET0097 — Detection of Application Window Enumeration via API or Scripting ## Descrição Esta estratégia detecta a enumeração de janelas de aplicativo como técnica de reconhecimento de ambiente ou preparação para ataques de captura de tela e keylogging direcionado. Adversários utilizam APIs como `EnumWindows`, `FindWindow`, `GetWindowText` e `GetClassName` para identificar aplicações abertas — especialmente browsers, clientes de e-mail, gerenciadores de senhas e aplicações bancárias — antes de direcionar ataques de captura de credenciais ou UI interaction. A telemetria relevante inclui: chamadas massivas a `EnumWindows` por processos não-GUI (sem janela própria visível), uso de `FindWindowA/W` com strings de busca relacionadas a aplicações financeiras ou de segurança (ex: "MetaMask", "KeePass", "Outlook"), e scripts PowerShell ou VBScript utilizando `[System.Runtime.InteropServices.Marshal]` para enumerar handles de janela. EDR com visibilidade de chamadas de API de usuário (user32.dll) é a fonte primária. Banker trojans como [[s0531-grandoreiro]] e [[s0528-javali]] — com forte presença no Brasil e LATAM — frequentemente usam esta técnica para detectar aplicações bancárias abertas antes de iniciar overlay de tela ou captura de credenciais. A estratégia deve correlacionar enumeração de janelas com outros indicadores de infostealer como acesso a diretórios de perfil de browser e captura de clipboard. ## Indicadores de Detecção - Processo sem janela visível realizando >100 chamadas a `EnumWindows` ou `FindWindow` em <10 segundos - Uso de `GetWindowText` ou `GetClassName` em loop por processos em diretórios temporários - Scripts PowerShell acessando `[System.Windows.Forms.Form]` ou `user32.dll` para enumeração de janelas - Busca por títulos de janela contendo nomes de bancos, "MetaMask", "KeePass", "1Password", "LastPass" - Combinação: enumeração de janelas + acesso a clipboard + leitura de diretório de perfil de browser - Processos filho de documentos Office ou scripts realizando enumeração de GUI do sistema ## Técnicas Relacionadas - [[t1010-application-window-discovery]] — Técnica principal - [[t1056001-keylogging]] — Keylogging frequentemente direcionado por window discovery - [[t1115-clipboard-data]] — Captura de clipboard combinada com window enumeration - [[t1113-screen-capture]] — Captura de tela direcionada a janelas específicas - [[t1417-input-capture]] — Captura de input em plataformas móveis (técnica relacionada) ## Analytics Relacionadas - [[an0271-analytic-0271|AN0271 — Analytic 0271]] - [[an0272-analytic-0272|AN0272 — Analytic 0272]] - [[an0273-analytic-0273|AN0273 — Analytic 0273]] --- *Fonte: [MITRE ATT&CK — DET0097](https://attack.mitre.org/detectionstrategies/DET0097)*