det0119-detection-strategy-for-steganographic-abuse-in-file-script-execution

# DET0119 — Detection Strategy for Steganographic Abuse in File & Script Execution ## Descrição Esta estratégia detecta o uso de esteganografia para ocultar payloads maliciosos dentro de arquivos de aparência legítima (imagens, áudio, documentos) e a execução subsequente desses payloads. A esteganografia em CTI é usada para: ocultar configurações de C2 em imagens postadas públicamente (em Twitter/Imgur), empacotar shellcode nos bytes LSB de imagens PNG/BMP, e esconder scripts PowerShell em metadados EXIF ou comentários de arquivos. A detecção foca em comportamento de acesso a arquivos: processos que abrem arquivos de imagem ou áudio e em seguida realizam alocações de memória executável são altamente suspeitos. Análise estatística de imagens (LSB analysis, chi-square test para detectar distribuição não-aleatória de bits menos significativos) pode identificar imagens esteganografadas mesmo sem conhecer o payload. Ferramentas como `zsteg`, `steghide` e `stegsolve` são indicadores de presença no ambiente. Grupos como [[g0016-apt29]] (que usou esteganografia em imagens de Mona Lisa para exfiltração de dados de C2) e malwares como [[s0038-duqu]] e [[stegoloader]] demonstram o uso real desta técnica em campanhas avançadas. A estratégia também cobre polyglot files — arquivos válidos como ambos os formatos (ex: PNG válido que também é um ZIP), frequentemente usados para bypass de filtros de extensão. ## Indicadores de Detecção - Processo abrindo arquivo de imagem (`.png`, `.jpg`, `.bmp`) seguido de `VirtualAlloc(PAGE_EXECUTE_READWRITE)` - Script PowerShell contendo download de imagem seguido de `[System.Drawing.Bitmap]` e extração de bytes de pixels - Presença de ferramentas de esteganografia (`steghide.exe`, `zsteg.rb`, `stegsolve.jar`) em sistemas corporativos - Imagem com distribuição de LSB anômala (chi-square test com p-value < 0.05) baixada de domínio suspeito - Arquivo com extensão de imagem mas magic bytes de arquivo executável ou ZIP (polyglot) - Script que faz download de imagem de domínio público e extrai strings longas de pixels RGB/LSB ## Técnicas Relacionadas - [[t1027-obfuscated-files-or-information]] — Ofuscação via esteganografia - [[t1132-data-encoding]] — Encoding de dados em canal de C2 (steganography como forma) - [[t1105-ingress-tool-transfer]] — Transferência de payload via imagem esteganografada - [[t1204002-user-execution-malicious-file]] — Execução de arquivo aparentemente legítimo - [[t1071001-web-protocols]] — Download de imagem com C2 config via HTTP ## Analytics Relacionadas - [[an0331-analytic-0331|AN0331 — Analytic 0331]] - [[an0332-analytic-0332|AN0332 — Analytic 0332]] - [[an0333-analytic-0333|AN0333 — Analytic 0333]] --- *Fonte: [MITRE ATT&CK — DET0119](https://attack.mitre.org/detectionstrategies/DET0119)*