det0117-detection-of-masqueraded-tasks-or-services-with-suspicious-naming-and-ex

# DET0117 — Detection of Masqueraded Tasks or Services with Suspicious Naming and Execution ## Descrição Esta estratégia detecta serviços Windows e tarefas agendadas com nomes projetados para imitar componentes legítimos do sistema, mas com comportamento ou path de execução suspeitos. Adversários registram serviços com nomes como `WindowsUpdateService`, `MicrosoftEdgeUpdaté`, `svchost32`, ou `GoogleChromeUpdaté` — imitando serviços legítimos — mas executando binários maliciosos de locais não-padrão. Os indicadores principais incluem: serviços com nomes que imitam Microsoft/Google/Adobe mas com `ImagePath` em diretórios de usuário ou temporários, tarefas agendadas com nomes de sistema (`\Microsoft\Windows\`) criadas com ações apontando para caminhos suspeitos, e processos com nomes idênticos a processos legítimos mas rodando de caminhos diferentes (`C:\Users\Public\svchost.exe` vs. `C:\Windows\System32\svchost.exe`). O hash do binário diferindo do binário legítimo é prova definitiva. A análise de entropia de nomes de serviço (nomes de serviço com caracteres aleatórios disfarçados de legítimos) e verificação de assinatura digital do binário executado complementam a detecção. Grupos como [[g0046-fin7]], [[g0050-apt32]] e operadores de ransomware frequentemente utilizam nomes de serviço que se misturam com o ruído de um inventário Windows típico para prolongar o tempo de permanência sem detecção. ## Indicadores de Detecção - Serviço com nome similar a serviço Microsoft legítimo mas `ImagePath` fora de `C:\Windows\`, `C:\Program Files\`, ou `C:\Program Files (x86)\` - Tarefa agendada em `\Microsoft\Windows\` path criada recentemente com ação em diretório de usuário - Processo com nome de processo de sistema (`svchost.exe`, `lsass.exe`, `services.exe`) executando de path não-`C:\Windows\System32\` - Binário de serviço sem assinatura digital ou com assinatura de certificado autoassinado - Nomes de serviço com erros ortográficos sutis: `WindowsUpdaté` (sem espaço), `MicrsoftEdge`, `Windowss` - Hash de binário de serviço não correspondendo ao hash conhecido do binário legítimo de mesmo nome ## Técnicas Relacionadas - [[t1036004-masquerading-match-legitimate-name-or-location]] — Masquerade de nome legítimo - [[t1036-masquerading]] — Categoria pai - [[t1543003-create-or-modify-system-process-windows-service]] — Criação de serviço malicioso - [[t1053005-scheduled-task]] — Tarefas agendadas mascaradas - [[t1574-hijack-execution-flow]] — Hijacking de execução para binário legítimo substituído ## Analytics Relacionadas - [[an0324-analytic-0324|AN0324 — Analytic 0324]] - [[an0325-analytic-0325|AN0325 — Analytic 0325]] - [[an0326-analytic-0326|AN0326 — Analytic 0326]] --- *Fonte: [MITRE ATT&CK — DET0117](https://attack.mitre.org/detectionstrategies/DET0117)*