det0101-detection-strategy-for-lua-scripting-abuse

# DET0101 — Detection Strategy for Lua Scripting Abuse ## Descrição Esta estratégia detecta o abuso de interpretadores Lua embutidos em aplicações legítimas para execução de código malicioso. Lua é frequentemente embutido em jogos (World of Warcraft, Roblox), ferramentas de segurança (Nmap, Wireshark), dispositivos de rede (Cisco IOS, OpenWrt), e aplicações de produtividade. Adversários exploram esses interpretadores como proxy para execução de código — evitando detecção por soluções que focam em PowerShell, Python e VBScript. Os vetores de abuso incluem: scripts Lua maliciosos carregados via `require()` ou `dofile()` a partir de caminhos não-padrão, uso do interpretador standalone `lua.exe` ou `lua5.x` para executar payloads, e exploração de bindings Lua-C em aplicações para chamar funções de sistema operacional (`os.execute`, `io.popen`). Em dispositivos de rede, Lua scripts em configurações de router são usados para persistência difícil de detectar. A telemetria relevante inclui: execução de `lua.exe` ou `luajit.exe` com argumentos de arquivo em diretórios temporários, chamadas `os.execute()` ou `io.popen()` em contexto de aplicações como Nmap scripting engine (NSE), e carregamento de módulos Lua não assinados em aplicações que normalmente usam Lua de forma restrita. Grupos APT que comprometem infraestrutura de rede frequentemente utilizam Lua para scripts de persistência em routers comprometidos. ## Indicadores de Detecção - Execução de `lua.exe`, `lua5.3.exe` ou `luajit.exe` com scripts em `%TEMP%`, `%APPDATA%` ou diretórios de usuário - Aplicações que embarcam Lua (Nmap, WoW, VLC) executando `os.execute` ou `io.popen` com comandos de sistema - Carregamento de módulos Lua (`.lua`, `.luac`) de caminhos não relacionados ao diretório da aplicação - Scripts Lua contendo chamadas a `socket.tcp()` ou `socket.udp()` para conexões de rede - Interpretador Lua iniciando processos filho (`cmd.exe`, `powershell.exe`, `sh`, `bash`) - Arquivos `.luac` (Lua bytecode compilado) em diretórios de staging ou entregues via e-mail/download ## Técnicas Relacionadas - [[t1059-command-and-scripting-interpreter]] — Categoria pai de abuso de interpreters - [[t1027002-software-packing]] — Bytecode Lua como forma de obfuscação - [[t1218-system-binary-proxy-execution]] — Uso de binário legítimo (lua.exe) como proxy - [[t1059006-python]] — Python como alternativa de scripting abuse - [[t1071-application-layer-protocol]] — Comúnicação de rede via sockets Lua ## Analytics Relacionadas - [[an0278-analytic-0278|AN0278 — Analytic 0278]] - [[an0279-analytic-0279|AN0279 — Analytic 0279]] - [[an0280-analytic-0280|AN0280 — Analytic 0280]] - [[an0281-analytic-0281|AN0281 — Analytic 0281]] --- *Fonte: [MITRE ATT&CK — DET0101](https://attack.mitre.org/detectionstrategies/DET0101)*