det0127-behavioral-detection-of-masquerading-across-platforms-via-metadata-and-e

# DET0127 — Behavioral Detection of Masquerading Across Platforms via Metadata and Execution Discrepancy ## Descrição Esta estratégia detecta técnicas de mascaramento onde adversários disfarçam processos maliciosos como processos legítimos do sistema operacional, manipulando nome de arquivo, metadados PE, ícone ou localização do executável. A discrepância entre o comportamento esperado de um processo e o que ele efetivamente executa é o sinal central desta detecção, cobrindo Windows, Linux e macOS. Em Windows, o mascaramento inclui binários fora do caminho canônico (ex: `svchost.exe` em `C:\Users\`) ou com assinatura digital inválida/ausente enquanto emulam processos do sistema. Em Linux/macOS, envolve executáveis com nome de daemon de sistema (`systemd`, `launchd`) em caminhos de usuário. Frameworks como Cobalt Strike e Sliver frequentemente renomeiam seus beacons para emular processos legítimos. A telemetria exige correlação de múltiplas fontes: Sysmon Event ID 1 (hash + caminho + linha de comando), verificação de assinatura digital (Authenticode), Process Hacker events, e EDR para verificação de integridade de metadados PE. O behavior-chain inclui verificar se o hash do processo corresponde ao hash conhecido do binário legítimo no mesmo caminho. ## Indicadores de Detecção - Processo com nome de binário de sistema (`svchost.exe`, `lsass.exe`, `systemd`) executando fora do caminho canônico - Hash de executável divergindo do hash esperado para aquele binário de sistema - Binário sem assinatura digital válida emulando processo assinado pelo fabricante do SO - Processo filho gerado por processo pai inesperado (ex: `explorer.exe` gerando `lsass.exe`) - Metadados PE (CompanyName, ProductName, Description) não correspondendo ao nome do arquivo ## Técnicas Relacionadas - [[t1036-masquerading|T1036 — Masquerading]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] - [[t1574-hijack-execution-flow|T1574 — Hijack Execution Flow]] - [[t1055-process-injection|T1055 — Process Injection]] - [[t1134-access-token-manipulation|T1134 — Access Token Manipulation]] ## Analytics Relacionadas - [[an0355-analytic-0355|AN0355 — Analytic 0355]] - [[an0356-analytic-0356|AN0356 — Analytic 0356]] - [[an0357-analytic-0357|AN0357 — Analytic 0357]] - [[an0358-analytic-0358|AN0358 — Analytic 0358]] - [[an0359-analytic-0359|AN0359 — Analytic 0359]] --- *Fonte: [MITRE ATT&CK — DET0127](https://attack.mitre.org/detectionstrategies/DET0127)*