det0106-behavioral-detection-of-pe-injection-via-remote-memory-mapping

# DET0106 — Behavioral Detection of PE Injection via Remote Memory Mapping ## Descrição Esta estratégia detecta injeção de Portable Executable (PE) em processos remotos via mapeamento de memória — uma variante mais furtiva do process injection que utiliza `NtCreateSection`/`NtMapViewOfSection` ao invés do clássico `WriteProcessMemory`. O método mapeia uma seção de memória compartilhada entre o processo injetor e o alvo, evitando algumas detecções baseadas em `WriteProcessMemory`, e permite injeção de DLLs ou executáveis PE completos sem escrita direta no espaço de memória do processo alvo. O fluxo típico de injeção via mapeamento: `NtCreateSection(SEC_COMMIT | PAGE_EXECUTE_READWRITE)` → copia do PE para a seção → `NtMapViewOfSection` no processo alvo → `NtCreateThreadEx` ou APC para executar o PE mapeado. A telemetria ETW (Event Tracing for Windows) com chamadas de syscall nível-kernel é necessária, pois `NtMapViewOfSection` cross-processo não é capturado por Sysmon padrão. Indicadores comportamentais complementam a detecção de API: processos legítimos (`explorer.exe`, `svchost.exe`) executando código fora de seus módulos carregados (detecção via análise de memória/shellcode scanning), comportamento de rede originado de processos normalmente sem conectividade, e alocações de memória em regiões não-backed por arquivo em disco. [[s0154-cobalt-strike]], [[metasploit]] e loaders de [[g0096-apt41]] usam mapeamento de memória extensivamente. ## Indicadores de Detecção - Chamadas `NtCreateSection` seguidas de `NtMapViewOfSection` para um PID de processo diferente do chamador - Seções de memória criadas com `SEC_COMMIT` e proteção `PAGE_EXECUTE_READWRITE` mapeadas cross-processo - Processo legítimo (sem histórico de rede) iniciando conexões TCP para IPs externos após ser alvo de mapeamento - Regiões de memória em processos alvo sem backing em arquivo de disco (Phantom DLL / reflective injection) - `NtCreateThreadEx` ou `RtlCreateUserThread` chamados em processo alvo após `NtMapViewOfSection` - EDR alertas de "unbacked executable memory" em processos de sistema (`lsass`, `svchost`, `explorer`) ## Técnicas Relacionadas - [[t1055002-process-injection-portable-executable-injection]] — Técnica principal - [[t1055-process-injection]] — Categoria pai - [[t1055004-process-injection-asynchronous-procedure-call]] — APC injection como método de execução pós-mapeamento - [[t1620-reflective-code-loading]] — Reflective loading como técnica relacionada - [[t1134-access-token-manipulation]] — Manipulação de token frequentemente pós-injeção ## Analytics Relacionadas - [[an0297-analytic-0297|AN0297 — Analytic 0297]] --- *Fonte: [MITRE ATT&CK — DET0106](https://attack.mitre.org/detectionstrategies/DET0106)*