det0124-behavior-chain-detection-for-t1132001-data-encoding-standard-encoding-ba

# DET0124 — Behavior-chain detection for T1132.001 Data Encoding: Standard Encoding (Base64/Hex/MIME) across Windows, Linux, macOS, ESXi ## Descrição Esta estratégia detecta o uso de codificações padrão (Base64, Hex, MIME) por adversários para ofuscar comúnicações C2 ou ocultar payloads em tráfego de rede. A técnica T1132.001 é amplamente utilizada por malware e frameworks de pós-exploração como Cobalt Strike e Metasploit para encapsular dados em protocolos aparentemente legítimos (HTTP, DNS, SMTP). A detecção baseia-se em cadeia comportamental: processo suspeito gerando strings Base64/Hex longas em linha de comando, seguido de tráfego de saída com corpo codificado para destinos incomuns. Em PowerShell, o padrão `-EncodedCommand` é um indicador clássico; em Linux/macOS, o uso de `base64` ou `xxd` por processos não interativos deve ser correlacionado com conexões de rede subsequentes. A telemetria cobre múltiplas plataformas: Windows (Sysmon, PowerShell ScriptBlock logging, Sysmon Event ID 3), Linux/macOS (auditd, endpoint telemetry), e ESXi (shell logs). A abordagem de behavior-chain reduz falsos positivos ao exigir que a codificação estejá contextualizada com atividade de rede ou lançamento de processo anômalo. ## Indicadores de Detecção - PowerShell com parâmetro `-EncodedCommand` ou `-enc` contendo string Base64 longa (>100 chars) - Processo invocando `base64`, `certutil -encode`, ou `xxd` seguido de conexão de rede - Corpo de requisição HTTP/HTTPS com alta entropia e padrão de caracteres Base64 para IP externo incomum - `cmd.exe` ou `sh` executando pipeline com `| base64` ou `| xxd` em contexto não-administrativo - Strings hex de longa extensão em argumentos de processo filhos de `wscript.exe` ou `mshta.exe` ## Técnicas Relacionadas - [[t1132-data-encoding|T1132 — Data Encoding]] - [[t1059-command-and-scripting-interpreter|T1059 — Command and Scripting Interpreter]] - [[t1071-application-layer-protocol|T1071 — Application Layer Protocol]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1105-ingress-tool-transfer|T1105 — Ingress Tool Transfer]] ## Analytics Relacionadas - [[an0345-analytic-0345|AN0345 — Analytic 0345]] - [[an0346-analytic-0346|AN0346 — Analytic 0346]] - [[an0347-analytic-0347|AN0347 — Analytic 0347]] - [[an0348-analytic-0348|AN0348 — Analytic 0348]] --- *Fonte: [MITRE ATT&CK — DET0124](https://attack.mitre.org/detectionstrategies/DET0124)*