# DET0132 — Detection of Mutex-Based Execution Guardrails Across Platforms ## Descrição Esta estratégia detecta o uso de mutexes (objetos de exclusão mútua) como guardrails de execução por malware, técnica associada a T1480 (Execution Guardrails). Adversários criam ou verificam a existência de um mutex específico antes de executar payload malicioso, garantindo que apenas uma instância rode por vez e evitando execução em ambientes de sandbox que monitoram criações de objetos kernel. Malwares como Emotet, TrickBot e QakBot usam mutexes com nomes específicos (frequentemente GUIDs ou strings hardcoded) para se identificar e evitar dupla infecção. Em Windows, mutexes globais (`Global\`) são visíveis entre sessões e são os mais utilizados. Em Linux, o equivalente são arquivos de lock em `/tmp/` ou `/var/run/`. A detecção foca em mutexes com nomes de alta entropia ou padrões conhecidos de famílias de malware. A telemetria inclui Sysmon Event ID 17/18 (criação de named pipe, similar a mutexes), ferramentas de monitoramento de handles do Windows (Process Monitor, API hooking via EDR), e listas de threat intel de nomes de mutex conhecidos. A correlação com outros indicadores de infecção reduz falsos positivos de aplicações legítimas que também usam mutexes. ## Indicadores de Detecção - Criação de mutex `Global\` com nome de GUID ou string de alta entropia por processo suspeito - Mutex com nome correspondendo a IOCs conhecidos de famílias de malware (TrickBot, Emotet, QakBot) - Processo verificando existência de mutex antes de executar comportamento malicioso (pattern de guardrail) - Arquivo lock em `/tmp/.<string_aleatória>` criado por processo não-interativo em Linux - Múltiplas instâncias do mesmo processo verificando o mesmo mutex em intervalo curto ## Técnicas Relacionadas - [[t1480-execution-guardrails|T1480 — Execution Guardrails]] - [[t1497-virtualizationsandbox-evasion|T1497 — Virtualization/Sandbox Evasion]] - [[t1106-native-api|T1106 — Native API]] - [[t1027-obfuscated-files-or-information|T1027 — Obfuscated Files or Information]] ## Analytics Relacionadas - [[an0372-analytic-0372|AN0372 — Analytic 0372]] - [[an0373-analytic-0373|AN0373 — Analytic 0373]] - [[an0374-analytic-0374|AN0374 — Analytic 0374]] --- *Fonte: [MITRE ATT&CK — DET0132](https://attack.mitre.org/detectionstrategies/DET0132)*